Roles - GDPR
Databehandlere spiller en vigtig rolle i henhold til GDPR
Når en aktør behandler personoplysninger på vegne af en dataansvarlig, finder behandlingen sted i rollen som persondataassistent. Det kan være en virksomhed, en organisation eller et offentligt organ, der behandler personoplysninger i rollen som databehandler. Det afgørende for rollen er, at det ikke er databehandleren, der bestemmer, hvordan og hvorfor personoplysningerne skal behandles.
Instruktioner fra controlleren
Den dataansvarlige giver instrukser til databehandlere om, hvordan personoplysningerne skal behandles. Instrukserne skal dokumenteres skriftligt. Derudover skal den dataansvarlige og databehandleren indgå en databehandleraftale med hinanden. Dette krav er fastsat i databeskyttelsesforordningens artikel 28. Desuden skal aftalen være skriftlig for at være gyldig.
Det er ikke tilladt for databehandleren at behandle personoplysningerne til egne formål. Desuden er det den dataansvarlige, der afgør formålet med behandlingen. Jobbeskrivelsen kan være meget begrænset eller generel.
Eksempel
- Et eksempel på afgrænsede positioner er, når du outsourcer afsendelse af post.
- Et eksempel på en generelt begrænset stilling kan være en revisor, der udfører lønudbetalingen fra klientenheden til dens ansatte (lønstyring).
Bemærk, at der kan være tilfælde, hvor en instruktion fra den dataansvarlige overtræder GDPR. Hvis databehandleren vurderer dette, underretter vedkommende den dataansvarlige og har ret til at standse behandlingen, indtil sagen er undersøgt.
Eksempler på virksomheder, der ofte behandler personoplysninger i rollen som databehandler
- Markedsføringsbureauer
- Regnskabsfirmaer
- Programmeringsorganer
- Laboratorium
- Udbyder af cloud-lagringstjenester
- Leverandør af finans- eller regnskabssystemer.
Databehandlere har flere forpligtelser i henhold til GDPR
Indgå en skriftlig databehandleraftale
En databehandler skal indgå en databehandleraftale med den dataansvarlige. Dette fremgår af databeskyttelsesforordningens artikel 28, stk. 3, og kontrakten skal opfylde de angivne minimumskrav. Databehandleraftalen skal desuden være skriftlig for at være gyldig i henhold til artikel 28, stk. 9, i GDPR. Dette skriftlige krav adskiller sig fra mange andre typer aftaler, der er lige så gyldige mundtlige som skriftlige.
Indholdet af en databehandlingsaftale
I databehandleraftalen regulerer parterne bl.a.: behandlingens varighed, art og formål, typen af personoplysninger og kategorier af registrerede samt den dataansvarliges forpligtelser og rettigheder. Det minimumsindhold, som databehandleraftalen skal indeholde for at være gyldig, er fastsat i databeskyttelsesforordningens artikel 28, stk. 3.
Skriftlig bemyndigelse til at ansætte underkontraherede registerførere
Det er muligt for en processor at ansætte en anden processor. en såkaldt "underkontraheret registerfører" For eksempel, hvis en databehandler er programmering apps, men er ikke god til statistik og derfor ønsker at ansætte et andet agentur til at hjælpe med specifikt dette. En underkontraheret registerfører må dog kun ansættes af en registerfører, efter at den registeransvarlige har givet sit forudgående samtykke. Dette krav er fastsat i databeskyttelsesforordningens artikel 28, stk. 2.
Kontrakter med underdatabehandlere
I overensstemmelse med databeskyttelsesforordningens artikel 28, stk. 4, er det klart, at en databehandler skal indgå en databehandleraftale med underdatabehandlere. Dette skal ske, inden en underkontraheret registerfører begynder at behandle personoplysninger på vegne af den registeransvarlige. Hvis den underkontraherede registerfører ikke opfylder sine databeskyttelsesforpligtelser, er den oprindelige registerfører fuldt ansvarlig over for den registeransvarlige for opfyldelsen af den underkontraherede registerførers forpligtelser.
Liste over instrukser
Virksomheder, der behandler personoplysninger, skal kunne bevise, at de overholder GDPR, uanset om de behandler personoplysninger i rollen som databehandler eller dataansvarlig. En databehandler bør f.eks. udarbejde lister over instrukser, der modtages fra dataansvarlige.
Nedenfor kan du læse mere om databehandleres forpligtelser
Databehandlere skal føre et register over behandlingen af personoplysninger i visse tilfælde
Som hovedregel behøver mindre virksomheder, der er databehandlere, ikke at føre et register over deres behandlingsaktiviteter. Det kan dog være nødvendigt at gøre det, selv om det ikke er en stor virksomhed. Hvis behandlingen f.eks. indebærer en høj risiko for de registreredes rettigheder og frihedsrettigheder. Det samme gælder for behandling af følsomme personoplysninger.
Virksomheder med 250 eller flere ansatte skal føre et register over behandlingen. Bemærk venligst, at den skal være skriftlig og tilgængelig i elektronisk format. Virksomheden stiller den desuden til rådighed for den nationale databeskyttelsesmyndighed efter anmodning. Dette fremgår af databeskyttelsesforordningens artikel 30.
Underretning af den dataansvarlige om brud på persondatasikkerheden
Et brud på persondatasikkerheden er en type sikkerhedshændelse. det indebærer hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet Hvis der opstår et brud på persondatasikkerheden hos databehandleren, skal denne underrette den dataansvarlige herom. Desuden skal det ske uden unødig forsinkelse. Det er derefter den dataansvarlige, der kan være nødt til at indberette hændelsen til tilsynsmyndigheden inden for 72 timer.
Træffe passende tekniske og organisatoriske foranstaltninger for at beskytte dine personoplysninger
Ligesom dataansvarlige skal en databehandler beskytte de personoplysninger, de behandler, ved at træffe passende tekniske og organisatoriske foranstaltninger. For eksempel ved at kryptere filer, implementere brugertilladelser, multifaktorgodkendelse osv.
Det faktiske forhold afgør, om en virksomhed er databehandler eller dataansvarlig
Bare fordi en virksomhed anser dem for at være en persondatabehandler og derfor indgår en persondatabehandleraftale med en persondataansvarlig, betyder det ikke, at de automatisk er en persondatabehandler. Med andre ord det faktiske forhold, der afgør den rolle, som personoplysninger behandles i, og ikke det, der er angivet i en kontrakt mellem parterne i kontrakten.
En virksomhed kan både være dataansvarlig og databehandler for forskellige behandlingsaktiviteter
En virksomhed kan være dataansvarlig for visse behandlingsaktiviteter, f.eks. når den behandler sine medarbejderes personoplysninger. Derudover kan virksomheden være en databehandler i nogle af sine behandlingsaktiviteter, som den udfører for sine kunder. Med andre ord kan en virksomhed både være dataansvarlig og databehandler, afhængigt af den pågældende behandling.
Når leveringen af behandlingsydelser er ophørt
Databehandleren sletter alle personoplysninger, der behandles på vegne af den dataansvarlige, når leveringen af behandlingstjenesterne er afsluttet. Alternativt skal personoplysningerne returneres til den ansvarlige person. Det er den dataansvarlige, der har ret til at vælge mellem disse to foranstaltninger i henhold til databeskyttelsesforordningens artikel 28, stk. 3, litra g). Databehandleren sikrer desuden, at alle kopier af de personoplysninger, som databehandleren er i besiddelse af, destrueres. Bemærk dog, at den dataansvarlige i nogle tilfælde kan være nødt til at fortsætte behandlingen af personoplysninger, hvis dette er påkrævet i henhold til en retlig forpligtelse.
Mere info om Roller
Databeskyttelsesrådgiver (DPO)
Nogle virksomheder skal have en databeskyttelsesrådgiver i henhold til GDPR. Den databeskyttelsesansvarlige spiller en vigtig rolle i virksomheden og er bl.a. ansvarlig for at udføre kontroller, yde rådgivning og komme med anbefalinger inden for databeskyttelse. Desuden bør både registrerede og medarbejdere kunne kontakte den databeskyttelsesansvarlige i tilfælde af spørgsmål vedrørende virksomhedens behandling af personoplysninger. Databeskyttelsesrådgiveren kan udføre flere opgaver i virksomheden, forudsat at der ikke er nogen interessekonflikt. Et sådant eksempel kan være, hvis en person i ledelsen er en databeskyttelsesansvarlig.