ROLLER I GDPR
Dataansvarlig er en central rolle i henhold til GDPR
Dataansvarlig er en central rolle i henhold til GDPR. Både juridiske og fysiske personer er dataansvarlige. Det samme gælder myndigheder og institutioner. Nedenfor kan du læse mere om, hvad det vil sige at være dataansvarlig, hvilket ifølge GDPR er en central rolle.
Dataansvarlig eller databehandler
Når en virksomhed behandler personoplysninger, sker det enten i rollen som databehandler eller dataansvarlig. Det er ikke en enkelt person i virksomheden, der har rollen, men snarere virksomheden som sådan. Enkeltpersoner kan dog have en sådan rolle i visse tilfælde. For eksempel personer, der driver en enkeltmandsvirksomhed.
Hvad afgør, hvem der er controlleren
Hvad der afgør, hvem der har rollen som dataansvarlig, vurderes på grundlag af afgørelsen om behandlingen. Den person, der bestemmer midlerne til og formålene med behandlingen, er den dataansvarlige. Det vil sige den person, der beslutter, hvordan og hvorfor personoplysningerne skal behandles. Det er derfor et spørgsmål om, hvem der afgør formålet med behandlingen af personoplysninger, og hvordan det skal gøres.
Fælles dataansvarlige
Det er muligt for to eller flere virksomheder at være fælles dataansvarlige. Bemærk, at det er vigtigt at regulere forholdet mellem dem for at sikre overholdelse af de dataansvarliges forpligtelser i henhold til GDPR. F.eks. registreredes rettigheder.
I henhold til artikel 26 i GDPR regulerer de fælles dataansvarlige deres gensidige ordning. For at bevise overholdelsen af artikel 26 i GDPR bør de fælles dataansvarlige indgå en skriftlig aftale mellem hinanden. I aftalen kan de regulere, hvordan de vil opfylde deres ansvar som dataansvarlige, og hvordan behandlingen vil blive udført.
Tildel ansvar
Det er ikke muligt for en dataansvarlig at overdrage ansvaret for behandlingen af personoplysninger. Det er dog muligt at overføre udførelsen af behandlingen til en anden operatør. Med andre ord har en dataansvarlig altid denne rolle i henhold til GDPR.
En dataansvarlig kan dog engagere en databehandler i overensstemmelse med artikel 28 i GDPR og pålægge databehandleren at behandle personoplysningerne på en bestemt måde. I dette tilfælde udføres behandlingen af databehandleren, men på vegne af den dataansvarlige. Behandlingen er således mulig at overføre til en anden for at udføre, men det er stadig den dataansvarlige, der har besluttet, hvordan og hvorfor personoplysningerne skal behandles.
Træffe passende tekniske og organisatoriske foranstaltninger
En dataansvarlig skal sikre, at de behandler personoplysningerne på en sikker måde. Personoplysninger skal beskyttes mod hændelig eller ulovlig tilintetgørelse, tab eller ændring. Der skal også træffes foranstaltninger til at beskytte mod uautoriseret videregivelse af eller adgang til personoplysninger, der er videregivet, opbevaret eller på anden måde behandlet. Dette bør ske ved at gennemføre forskellige passende tekniske og organisatoriske foranstaltninger. Jo mere følsomme personoplysningerne er, jo højere er sikkerhedskravene.
Eksempler på tekniske og organisatoriske foranstaltninger
Multifaktorgodkendelse til login
Kryptering af filer
Brugertilladelser
Lagring af sikkerhedskopier
De registeransvarlige skal i visse tilfælde have et register
Nogle virksomheder, der er dataansvarlige, skal føre en fortegnelse over deres behandling af personoplysninger. Det samme gælder for databehandlere. I henhold til databeskyttelsesforordningens artikel 30 skal den være skriftlig og tilgængelig i elektronisk form. Hvis den nationale tilsynsmyndighed anmoder herom, stilles denne anmodning til rådighed for myndigheden.
Hvis virksomheden har 250 eller flere ansatte, skal virksomheden udarbejde et register. Desuden skal mindre virksomheder gøre dette, hvis de behandler følsomme personoplysninger, eller hvis behandlingen kan udgøre en risiko for registreredes rettigheder og frihedsrettigheder. Dette er på betingelse af, at det ikke vedrører en midlertidig behandling. Dette betyder dog ikke, at mindre virksomheder skal føre register over alle behandlinger, bare fordi en behandling opfylder kravet. I stedet behøver de kun at føre fortegnelser over de behandlinger, der opfylder kravet.
Hvis en virksomhed har medarbejdere og derfor behandler personoplysninger som f.eks. sygefravær, behandler virksomheden følsomme personoplysninger. Da denne behandling finder sted regelmæssigt og ikke er midlertidig, skal virksomheden registrere denne specifikke behandling.
Enkeltpersoner kan være dataansvarlige og databehandlere
Det kan være en privatperson, der er dataansvarlig eller databehandler. For eksempel, hvis du er en enkeltmandsvirksomhed. Det samme gælder, hvis en person har oprettet et kamera på deres ejendom eller lejlighed, filme et offentligt sted. I sådanne tilfælde kan det også være et krav, at personen først skal indhente tilladelse til sin kameraovervågning fra den kompetente myndighed. Mange mennesker begår den fejl at have en klokke med et kamera rettet mod en offentlig vej. Bemærk, at det er ekstra følsomt, hvis kameraet peger på en andens hoveddør, da det betyder, at det er muligt at overvåge, når nogen forlader hjemmet eller kommer hjem.
Læs mere om Roller i GDPR
Virksomheder, der behandler personoplysninger i rollen som databehandler i henhold til GDPR
En virksomhed fungerer som databehandler i henhold til GDPR, når den behandler personoplysninger på vegne af en anden virksomhed. At være databehandler betyder, at du behandler personoplysninger efter en andens anvisninger. For eksempel behandler et revisionsfirma personoplysninger på vegne af sin kunde, som fremgår af kundens fakturaer eller lønsedler, med det formål at administrere kundens konti. I sådanne tilfælde er revisionsfirmaet databehandleren på tidspunktet for behandlingen af sådanne data, og kunden er dataansvarlig. Bemærk, at revisionsfirmaet på den anden side er dataansvarlig, når det behandler personoplysninger om sine egne medarbejdere.