Forordningen sætter krav til at man laver databehandler-aftaler hvis man udliciterer behandling af persondata til andre.
Det kan nogle gange dog være svært at skelne imellem dataANSVARLIG og dataBEHANDLER. Man kan også være begge dele.
Vi vil i denne artikel prøve at give et overblik over hvornår man er det ene og hvornår man er det andet.
- Dataansvarlig er den der bestemmer formålet med behandlingen af persondata og hvilke hjælpemidler der benyttes til behandlingen.
- Databehandler er den som der ”behandler personoplysninger på den dataansvarliges vegne”.
Lav kun aftaler hvor det er berettiget
Spørgsmålet er måske hvorfor det egentlig er vigtigt at adskille. Man kan jo – i teorien – bare lave databehandler-aftaler med alle.. eller hvad? Risikoen ved at inddrage databehandlerkonstruktionen i alle ens samarbejder, er at det eksponeres til det absurde, idet konstruktionen ikke bliver brugt til det tilsigtede formål og i praksis vil man hurtigt drukne i databehandleraftaler – og miste overblikket.
Hvis aftalen mellem dig og en anden part først og fremmest drejer sig om levering af en anden ydelse end behandling af personoplysninger, f.eks. en håndværkerydelse, hvor du ikke har behov for at give en instruks om behandling af personoplysninger, vil den anden part ikke være din databehandler. Dette gælder også, selvom du giver den anden part nogle personoplysninger (f.eks. navn og adresse), som er nødvendige for, at denne part kan levere sin hovedydelse, nemlig håndværkerydelsen. (ref. datatilsynets vejledning).
Har du eller samarbejdspartneren ansvaret?
Det kan umiddelbart virke klart i ovenstående definitioner hvornår hvem er hvad, men i dagligdagen kan der alligevel opstå tvivl om hvornår en samarbejdspartner er en databehandler eller hvornår den er en selvstændig dataansvarlig (’tredjemand’ jf. artikel 4, stk. 10).
Når I som virksomhed vælger ikke at udføre en aktivitet selv, men udliciterer den til en anden virksomhed, vil ansvaret i udgangspunktet følge med opgaven.
Hvis den anden virksomhed derimod kun stiller et hjælpemidler til rådighed (f.eks. til at indsamle, registrere, opbevare, videregive eller slette) for jeres virksomhed, vil ansvaret forblive hos jer som dataansvarlig, der vil bruge oplysningerne til at udføre opgaven.
Datatilsynet har lavet en liste over spørgsmål I kan stille jer selv for at vurdere om der er tale om det ene eller det andet. Punkt 3.1.3 på side 11 i datatilsynets vejledning.
Eksempler på typiske databehandlerkonstruktioner mellem jer og ”leverandøren”:
- Brug af økonomi og lønsystemer (f.eks. e-conomic, Danløn, Bluegarden etc.)
- Ekstern bogholder
- Cloudløsning (f.eks. Office 365, Dropbox)
- Webhostning (f.eks. Unoeuro, Dan Domain, Scannet)
- Online mail-systemer til marketing (f.eks. Mailchimp)
Eksempler på hvor der (typisk) IKKE er tale om en databehandlerkonstruktion:
- Håndværkerydelser – f.eks. reparatør af printer eller en maler
- Rengøringshjælp
- Udbringning af post, pakker og mad.
- Telefonudbyderen
- DK-domæner (F.eks. DK Hostmaster)
- Din revisor, din bank, dit forsikringsselskab, pensionsselskab, SKAT
Læs her om hvad en databehandler-aftale skal indeholde.