Event i november: NIS2-compliance i praksis med erfarne eksperter

Meld dig til nu
Log ind
Book en demo
  • Af Emil Galletta Rene, advokatfuldmægtig

Databehandler, dataansvarlig og fælles dataansvarlig: Her er alt, du skal vide om databeskyttel-sesretlige roller under GDPR

Er du dataansvarlig?

 

Så er det vigtigt, at du forstår, hvilke databeskyttelsesretlige roller du og din leverandør har:

 

Din leverandør kan fx være enten databehandler eller selvstændig dataansvarlig, men det kan også være, at din leverandør og din organisation er fælles dataansvarlige.

 

Uanset har jeres GDPR-roller betydning for, hvilken aftale I skal indgå. Fx databehandleraftale, aftale om fælles dataansvar osv.

 

Så læs med nu, når jeg tager dig igennem de forskellige ‘GDPR-kasketter’, som din leverandør og din organisation kan have på.

Databehandler versus dataansvarlig

Hvis din organisation er dataansvarlig, betyder det, at du bestemmer, hvad der skal ske med personoplysningerne, og hvordan de må anvendes.

 

Din organisation ‘ejer’ med andre ord formålet og behandlingsgrundlaget.

 

Der kan dog være tilfælde, hvor I videregiver personoplysninger til en anden organisation, såsom en leverandør, for at kunne afgive ordrer eller indgå konsulentaftaler.

 

Hér kan leverandøren blive ansvarlig for personoplysningerne, de modtager. Men i situationer, hvor leverandøren behandler oplysningerne på jeres vegne, fungerer leverandøren som databehandler.

 

Det kan fx være, fordi du betaler dem for at opbevare oplysningerne på deres servere, eller hvis de skal levere et HR-system, der skal bruges til at holde styr på oplysninger om din organisations medarbejdere.

 

I disse situationer hvor I ikke er alene om behandlingen, er der brug for et setup, der sikrer, at I stadig har ansvaret for behandlingen og holder øje med, at der bliver passet ordentligt på personoplysningerne.

 

Det betyder, at I skal have en databehandleraftale, som instruerer databehandleren – altså, jeres leverandør – i, hvad der skal ske med personoplysningerne.

Rollerne afhænger af hjemmelsgrundlaget

I rollefordelingen, hvor din organisation er dataansvarlig, og din leverandør er databehandler, ‘låner’ din leverandør behandlingsgrundlaget og formålet fra dig som den dataansvarlige.

 

Det er dog ikke tilfældet, hvis din leverandør er selvstændig dataansvarlig. Hér har din leverandør sit eget behandlingsgrundlag og formål og er derfor også ansvarlig for at overholde GDPR.

 

Du kan få et overblik over, hvilket ‘spillerum’ din leverandør har, når denne er enten databehandler og selvstændig dataansvarlig her:

Sådan finder du ud af, om din leverandør er selvstændig dataansvarlig eller databehandler

Vi har opstillet fem scenerier, der taler for, at din leverandør er databehandler.

 

Passer scenerierne ikke på din organisation, vil jeres leverandør typisk være selvstændig dataansvarlig (vær dog obs på, at det ikke er et krav, at I skal kunne sige ja til alle udsagnene, før jeres leverandør er databehandler):

 

  1. Leverandøren skal tage sig af en opgave, som din organisation i princippet selv kunne have udført.
  2. Leverandøren behandler alene oplysningerne på jeres vegne.
  3. Aftalen mellem jer og leverandøren indeholder en direkte instruks om behandling af personoplysninger (modsat en aftale som alene retter sig mod levering af en anden ydelse).
  4. I kan kræve oplysningerne tilbageleveret eller slettet hos leverandøren, hvis I ikke længere ønsker, at leverandøren skal behandle oplysningerne.
  5. I fører kontrol med, at leverandøren behandler oplysningerne som aftalt.

Fælles dataansvar

Det kan også ske, at din organisation er fælles dataansvarlig med jeres leverandør.

 

Et klassisk eksempel er, hvis I har en virksomhedskonto på Facebook.

 

En organisation og en leverandør er fælles dataansvarlige, når parterne sammen bestemmer, hvordan og hvorfor de behandler data.

 

Fx når en virksomhed samarbejder med en markedsføringsleverandør om en kampagne, hvor parterne sammen beslutter, hvordan de indsamler og bruger kundeoplysninger.

Hvilke roller ser vi mest i leverandørforhold?

Det er svært at sige, hvilke databeskyttelsesretlige roller der typisk er sat sammen, da det afhænger af, hvilken type virksomhed du har. 

 

Dog ser vi, at mange leverandører er databehandlere.

 

Derfor er databehandleraftalen et nødvendigt dokument i jeres leverandørstyring. 

 

Den kan I fx lave via ComplyCloud – ræk ud til vores interne advokater, hvis du vil høre mere.

Få styr på din databehandleraftale via ComplyCloud

Vil du passe godt på dine personoplysninger med en databehandleraftale?

Ja tak

Compliance som det burde være: Enkelt  Transparant  Automatiseret

Ønsker du at blive kontaktet eller blive klogere på vores produkter? 

Book en demo
Kontakt os

LØSNINGER

Databeskyttelse

Informationssikkerhed

NEW: AI compliance

ANDRE PRODUKTER OG SERVICES

Managed services

Whistleblower-software

ComplyHero E-learning

ComplyCloud uddannelse

PLATFORM

Hvorfor ComplyCloud

NEW: ComplyCloud AI

FUNKTIONER

Kortlægning og fortegnelser over behandlingsaktiviteter

Compliance document generator

Risikostyring

Leverandørstyring og tilsyn

Opgavestyring og samarbejde

USE CASES

GDPR

NIS2

ISAE 3000

ISO 27001

EU's AI Act

TIA

Skræddersy dit eget compliance-framework

PRISER

Priser

RESSOURCER

Guider og rapporter

Webinarer og events

Blog

Kundehistorier

Nyhedsbrev

VIRKSOMHED

Om os

Team

Karriere

Kontakt

Databeskyttelse og privatlivspolitik

© 2023 ComplyCloud. All rights reserved

Vi kontakter dig snarest

Udfyld formularen