Databehandler, dataansvarlig og fælles dataansvarlig: Her er alt, du skal vide om databeskyttel-sesretlige roller under GDPR

Udgivet den:
October 25, 2024
|
Læsetid
4 min.
SKREVET AF
Emil Galletta Rene
Assistant attorney
INDHOLDSFORTEGNELSE

Vil du vide mere om GDPR-kravene?

Find alt, hvad du har brug for i „Den lille guide til GDPR“ - en ligetil opdeling af nøgleforpligtelser.

Er du dataansvarlig?

Så er det vigtigt, at du forstår, hvilke databeskyttelsesretlige roller du og din leverandør har:

Din leverandør kan fx være enten databehandler eller selvstændig dataansvarlig, men det kan også være, at din leverandør og din organisation er fælles dataansvarlige.

Uanset har jeres GDPR-roller betydning for, hvilken aftale I skal indgå. Fx databehandleraftale, aftale om fælles dataansvar osv.

Så læs med nu, når jeg tager dig igennem de forskellige ‘GDPR-kasketter’, som din leverandør og din organisation kan have på.

Databehandler versus dataansvarlig

Hvis din organisation er dataansvarlig, betyder det, at du bestemmer, hvad der skal ske med personoplysningerne, og hvordan de må anvendes.

Din organisation ‘ejer’ med andre ord formålet og behandlingsgrundlaget.

Der kan dog være tilfælde, hvor I videregiver personoplysninger til en anden organisation, såsom en leverandør, for at kunne afgive ordrer eller indgå konsulentaftaler.

Hér kan leverandøren blive ansvarlig for personoplysningerne, de modtager. Men i situationer, hvor leverandøren behandler oplysningerne på jeres vegne, fungerer leverandøren som databehandler.

Det kan fx være, fordi du betaler dem for at opbevare oplysningerne på deres servere, eller hvis de skal levere et HR-system, der skal bruges til at holde styr på oplysninger om din organisations medarbejdere.

I disse situationer hvor I ikke er alene om behandlingen, er der brug for et setup, der sikrer, at I stadig har ansvaret for behandlingen og holder øje med, at der bliver passet ordentligt på personoplysningerne.

Det betyder, at I skal have en databehandleraftale, som instruerer databehandleren – altså, jeres leverandør – i, hvad der skal ske med personoplysningerne.

Rollerne afhænger af hjemmelsgrundlaget

I rollefordelingen, hvor din organisation er dataansvarlig, og din leverandør er databehandler, ‘låner’ din leverandør behandlingsgrundlaget og formålet fra dig som den dataansvarlige.

Det er dog ikke tilfældet, hvis din leverandør er selvstændig dataansvarlig. Hér har din leverandør sit eget behandlingsgrundlag og formål og er derfor også ansvarlig for at overholde GDPR.

Du kan få et overblik over, hvilket ‘spillerum’ din leverandør har, når denne er enten databehandler og selvstændig dataansvarlig her:

Sådan finder du ud af, om din leverandør er selvstændig dataansvarlig eller databehandler

Vi har opstillet fem scenerier, der taler for, at din leverandør er databehandler.

Passer scenerierne ikke på din organisation, vil jeres leverandør typisk være selvstændig dataansvarlig (vær dog obs på, at det ikke er et krav, at I skal kunne sige ja til alle udsagnene, før jeres leverandør er databehandler):

  1. Leverandøren skal tage sig af en opgave, som din organisation i princippet selv kunne have udført.
  2. Leverandøren behandler alene oplysningerne på jeres vegne.
  3. Aftalen mellem jer og leverandøren indeholder en direkte instruks om behandling af personoplysninger (modsat en aftale som alene retter sig mod levering af en anden ydelse).
  4. I kan kræve oplysningerne tilbageleveret eller slettet hos leverandøren, hvis I ikke længere ønsker, at leverandøren skal behandle oplysningerne.
  5. I fører kontrol med, at leverandøren behandler oplysningerne som aftalt.

Fælles dataansvar

Det kan også ske, at din organisation er fælles dataansvarlig med jeres leverandør.

Et klassisk eksempel er, hvis I har en virksomhedskonto på Facebook.

En organisation og en leverandør er fælles dataansvarlige, når parterne sammen bestemmer, hvordan og hvorfor de behandler data.

Fx når en virksomhed samarbejder med en markedsføringsleverandør om en kampagne, hvor parterne sammen beslutter, hvordan de indsamler og bruger kundeoplysninger.

Hvilke roller ser vi mest i leverandørforhold?

Det er svært at sige, hvilke databeskyttelsesretlige roller der typisk er sat sammen, da det afhænger af, hvilken type virksomhed du har.

Dog ser vi, at mange leverandører er databehandlere.

Derfor er databehandleraftalen et nødvendigt dokument i jeres leverandørstyring.

Den kan I fx lave via ComplyCloud – ræk ud til vores interne advokater, hvis du vil høre mere.

Vil du vide mere om GDPR-kravene?

Find alt, hvad du har brug for i „Den lille guide til GDPR“ - en ligetil opdeling af nøgleforpligtelser.

Download
Published:
October 25, 2024
Category:
GDPR