Det er vigtigt, at du er opmærksom på, hvad der er din rolle i forbindelse med behandlingen af personoplysninger.
Når du som privat virksomhed, offentlig myndighed, fysisk person, institution eller ethvert andet organ behandler personoplysninger om andre personer – f.eks. ved at indsamle, registrere, videregive eller slette oplysninger – er det vigtigt at få afklaret, hvilken rolle du har i behandlingen. Det er vigtigt, fordi kravene til en dataansvarlig og en databehandler er forskellige.
Kort kan man sige, at den dataansvarlige afgør, hvorfor (med hvilket formål) og hvordan (med hvilke hjælpemidler) personoplysninger behandles.
En databehandler er derimod den, der behandler personoplysninger på vegne af den dataansvarlige – altså efter instruks fra den dataansvarlige.
Generelt
Hvis de parter, der deltager i en behandling af personoplysninger, er usikre på, hvem der har ansvaret for at leve op til reglerne om databeskyttelse, er der en risiko for, at ingen af parterne påtager sig ansvaret, eller at en part påtager sig et ansvar, som den pågældende reelt ikke har.
Det er derfor vigtigt, at du – inden du begynder at behandle personoplysninger – får afklaret, hvilken rolle du og eventuelle andre parter har i forbindelse med behandlingen.
Databehandlerkonstruktion eller ej?
Det er vigtigt at bemærke, at det ikke i alle tilfælde er sådan, at en aftale mellem to parter betyder, at den ene part har rollen som databehandler.
For at der er tale om en databehandlerkonstruktion, skal aftalen mellem parterne først og fremmest dreje sig om behandling af personoplysninger – f.eks. indsamling, registrering eller opbevaring.
Hvis aftalen derimod vedrører en anden type ydelse, vil der normalt ikke være tale om en databehandlerkonstruktion.
Eksempel på en databehandlerkonstruktion
En fitnesskæde har behov for at behandle personoplysninger om sine medlemmer, herunder navne, personnumre, e-mailadresser og kontooplysninger. Formålet med behandlingen er blandt andet at kunne administrere medlemskaber og opkræve betaling.
Fitnesskæden ønsker at anvende et elektronisk medlemssystem og indgår derfor en aftale med en it-virksomhed, som har udviklet systemet. Oplysningerne, som fitnesskæden registrerer i systemet, opbevares på servere hos it-virksomheden.
Det fremgår af aftalen mellem parterne, at it-virksomheden kun må behandle oplysningerne efter instruks fra fitnesskæden. Fitnesskæden bestemmer dermed både formålet med behandlingen og rammerne for behandlingen og er derfor dataansvarlig.
It-virksomheden behandler oplysningerne på vegne af fitnesskæden og er derfor databehandler.
Eksempel uden databehandlerkonstruktion
En virksomhed hyrer en reparatør til at reparere virksomhedens kopimaskine. På kopimaskinen kan der være gemt dokumenter med personoplysninger.
Formålet med aftalen er imidlertid alene, at reparatøren skal udføre en teknisk reparation. Der er derfor ikke tale om en databehandlerkonstruktion.
Hvis der er risiko for, at reparatøren kan få adgang til personoplysninger, kan virksomheden som led i sine sikkerhedsforanstaltninger eksempelvis bede reparatøren underskrive en tavshedspligtserklæring.
Fælles dataansvar
Fælles dataansvar kan opstå, hvis to eller flere parter i fællesskab bestemmer både formålet med behandlingen og midlerne til behandlingen.
I sådanne tilfælde skal parterne aftale, hvordan ansvaret fordeles, herunder i forhold til de registreredes rettigheder.