Dataansvarlig eller databehandler

Når du behandler (f.eks. indsamler, registrerer, videregiver eller sletter) oplysninger om andre personer, er det vigtigt, at du er opmærksom på, hvad din rolle er i forbindelse med behandlingen. Det er vigtigt, fordi kravene til en dataansvarlig og en databehandler er forskellige.

En dataansvarlig 

Den dataansvarlige er den, der bestemmer hvorfor (med hvilket formål) og hvordan (med hvilke hjælpemidler), personoplysninger bliver brugt. Du er med andre ord dataansvarlig, når du bestemmer, hvorfor og hvordan personoplysninger bliver brugt i din virksomhed. 

Som dataansvarlig har du ansvaret for, at behandlingen af personoplysninger lever op til GDPR.

Det er som udgangspunkt virksomheden – og ikke den enkelte ansatte - som stilles til ansvar, hvis GDPR ikke overholdes.

Den dataansvarlige kan antage en databehandler til at indsamle eller behandle personoplysninger på sine vegne. F.eks. vil en hosting-leverandør, en cloud-leverandør og en udbyder af ekstern lønadministration ofte være databehandlere.

En databehandler

En databehandler er den, der bruger personoplysninger på vegne af den dataansvarlige – altså efter instruks fra den dataansvarlige. En databehandler kan f.eks. være et firma, der leverer og drifter dit kundehåndteringssystem - eller en anden form for IT-system med personoplysninger - og som derfor bruger personoplysninger om f.eks. dine kunders varekøb, betalingsoplysninger, e-mailadresser osv.

Læs mere om forskellen på en dataansvarlig og en databehandler.

4 eksempler: Hvornår er jeg dataansvarlig - og hvornår er jeg databehandler?

Virksomhed A hyrer en reparatør til at reparere virksomhedens kopimaskine. I kopimaskinen kan der være gemt dokumenter med personoplysninger.

Aftalen mellem virksomhed A og reparatøren går ud på, at reparatøren skal reparere virksomhed A’s kopimaskine.

Virksomhed A vil i denne situation ikke benytte reparatøren som databehandler, fordi aftalen mellem dem på ingen måde drejer sig om, at reparatøren skal behandle personoplysninger på vegne af virksomhed A.

Mekaniker B køber en ydelse fra en revisor, der går ud på, at revisoren skal lave mekanikerens selvangivelse, som kan indeholde personoplysninger. Mekanikers B’s ønske til, hvad revisoren skal gøre er bredt og generelt formuleret og handler kun om, at revisoren skal lave selvangivelsen. Revisoren vil i dette tilfælde være selvstændigt dataansvarlig. Det skyldes, at revisoren selv træffer de væsentlige beslutninger om, hvordan opgaven skal løses.

En fitnesskæde (Fitness A) har brug for at bruge personoplysninger, herunder navne, personnumre, e-mailadresser og kontooplysninger, om sine medlemmer. Formålet med brugen er bl.a., at Fitness A skal kunne opkræve betaling for medlemskab.

Fitness A ønsker at benytte et elektronisk system, hvor de nødvendige oplysninger kan registreres, opbevares og ajourføres mv. Fitness A indgår derfor en aftale med IT-virksomheden Web B, som har udviklet et system ”FitnessCare”, der kan det, som Fitness A ønsker. Oplysningerne, som Fitness A indtaster i systemet, opbevares på servere hos Web B, som ejer og administrerer ”FitnessCare”.

I aftalen mellem Fitness A og Web B fremgår det klart, at Web B kun må bruge oplysninger om Fitness A’s medlemmer på den måde, som er aftalt med og godkendt af Fitness A.

Fitness A bestemmer altså hvorfor personoplysninger skal bruges (så Fitness A kan opkræve betaling fra deres medlemmer mv.) og hvordan de skal bruges. Fitness A er derfor dataansvarlig.

I modsætning til eksempel 1 ovenfor går aftalen mellem Web B og Fitness A her ud på, at Web B skal levere en ydelse, der består i, at Web B skal bruge (opbevare mv.) personoplysninger. Ydelsen er altså en brug af personoplysninger. Når brugen samtidig alene sker på vegne af Fitness A, er Web B i denne situation databehandler.

At Web B er databehandler betyder, at Web B ikke må bruge oplysningerne om Fitness A’s medlemmer til virksomhedens egne formål eller til andre formål end aftalt med Fitness A.

Web B må heller ikke benytte underdatabehandlere uden at have fået lov af Fitness A. Hvis Fitness A har givet en generel godkendelse til at benytte underdatabehandlere, skal Web B underrette Fitness A, inden de indgår aftaler med underdatabehandlere.

Rejsebureauet NiceTravel tilbyder pakkerejser (med bl.a. flyrejse og hotelophold) til sine kunder.

For at kunne booke rejsen og opkræve betaling, indsamler NiceTravel personoplysninger, herunder navn, adresse, personnummer og kontooplysninger, om kunderne.

Rejsebureauet NiceTravel beder Hotellet GreatStay om at booke hotelværelser til kunderne på de bestemte datoer. For at kunne at reservere værelser til kunderne har hotellet brug for oplysninger, bl.a. om kundernes navne. Rejsebureauet videregiver derfor oplysningerne til hotellet.

Rejsebureauet NiceTravel beder desuden Flyselskabet FlyNordic om at reservere flysæder til kunderne på de rette datoer. For at kunne reservere flysæder til rejsende har flyselskabet brug for oplysninger om kundernes navne og personnumre. Rejsebureauet videregiver derfor disse oplysninger til flyselskabet.

Rejseselskabet, hotellet og flyselskabet er hver især dataansvarlige for den behandling, de fortager. De bruge oplysningerne til hvert deres (nye) formål, og har selv vurderet, hvilke oplysninger der er nødvendige for, at de kan udføre deres arbejde.