GDPR - Databeskyttelsesforordningen
Roller
Alle virksomheder, der behandler personoplysninger og er underlagt GDPR, udgør behandlingen enten som databehandler eller dataansvarlig.
Forskellige roller i GDPR
Eksempler på personoplysninger er navne, telefonnumre og andre data, der kan knyttes til en fysisk levende person. Med andre ord behandler de fleste virksomheder personoplysninger om f.eks. kunder og/eller medarbejdere. Det er dog ikke den enkelte i virksomheden, der er dataansvarlig eller databehandler, men det er virksomheden selv, der har rollen. En person kan dog være ansvarlig, hvis han eller hun f.eks. driver en enkeltmandsvirksomhed. Derudover skal nogle virksomheder have en databeskyttelsesansvarlig. Nedenfor kan du læse en oversigt over de forskellige roller i henhold til GDPR.
Den registeransvarlige
Det er den dataansvarlige, der afgør formålet med behandlingen og behandlingsmetoden. Med andre ord, hvordan og hvorfor personoplysninger skal behandles. Det er ikke muligt at overføre ansvaret som dataansvarlig til en anden. Det er dog muligt at overlade den faktiske udførelse af behandlingen af personoplysningerne.
Fælles dataansvarlige
Det er muligt for flere aktører at være fælles dataansvarlige i henhold til artikel 26 i GDPR. På den anden side er det i sådanne tilfælde vigtigt at regulere forholdet mellem de fælles dataansvarlige for at sikre, at de overholder alle bestemmelserne i databeskyttelsesforordningen, såsom de registreredes rettigheder. I henhold til databeskyttelsesforordningen skal de forskellige dataansvarliges ansvar i en sådan situation fremgå af en »fælles ordning«. Dette bør reguleres skriftligt for at blive bevist.
Forarbejdningsvirksomhed
En databehandler behandler personoplysninger på vegne af en anden part, der er den dataansvarlige. Databehandleren må kun behandle personoplysningerne i overensstemmelse med den dataansvarliges instrukser. Eksempler på virksomheder, der normalt er databehandlere:
- Udbyder af cloudtjenester, f.eks. cloudlagring
- Regnskabsfirmaer og udbydere af regnskabssystemer
- Programmeringsvirksomheder og andre typer konsulenter
Databehandlere og dataansvarlige skal i visse tilfælde føre et register over deres behandlingsaktiviteter
Både databehandlere og dataansvarlige skal føre et register over deres behandlingsaktiviteter i visse tilfælde i henhold til artikel 30 i GDPR. Hvis en virksomhed har mere end 249 ansatte, skal de føre et register. Dette gælder, uanset om der er tale om en databehandler eller en dataansvarlig. Mindre virksomheder kan dog også være nødt til at gøre det, f.eks. hvis de behandler følsomme personoplysninger, og det ikke er midlertidigt. For eksempel, hvis en virksomhed har medarbejdere og dermed behandler sygefravær, som er følsomme personoplysninger.
Bemærk venligst, at virksomheden ikke behøver at føre en fortegnelse over al behandling i sådanne tilfælde. Det er tilstrækkeligt at føre et register over de behandlingsaktiviteter, der er omfattet af forpligtelserne. Men hvis du er usikker på, hvilke behandlinger GDPR kræver, vises i en registerliste, er det bedre at registrere flere behandlinger end for få.
Forskel mellem controllere og processorer
Databehandlere modtager instruktioner fra den dataansvarlige om, hvordan personoplysninger behandles. Databehandleren behandler derfor personoplysninger på vegne af en anden part, som er den dataansvarlige. Det er f.eks. den dataansvarlige, der afgør formålene med behandlingen. Dette betyder igen, at databehandleren ikke må behandle personoplysningerne i strid med instruktionerne.
Den dataansvarlige og databehandleren indgår en skriftlig databehandleraftale, hvori de regulerer reglerne for behandling i overensstemmelse med artikel 28 i GDPR. Mundtlige databehandlingsaftaler er ikke gyldige i henhold til GDPR.
Forholdet afgør, om en aktør er dataansvarlig eller databehandler
Det er ikke ordlyden eller indholdet af en databehandleraftale, der afgør, om en aktør er dataansvarlig eller ej. Det samme gælder, hvis den erhvervsdrivende er databehandler. Det er det faktiske forhold mellem parterne, der afgør virksomhedens rolle. Det betyder, at det ikke er muligt at blive enige om, hvem der skal have hvilken rolle.
En virksomhed kan være dataansvarlig for visse behandlingsaktiviteter og databehandler for andre behandlingsaktiviteter. For eksempel, hvis en virksomhed har medarbejdere og leverer en cloud-tjeneste, hvor deres kunder kan gemme backup-filer, der indeholder personoplysninger. Når cloud-tjenesteudbyderen behandler sine egne medarbejderes personoplysninger, er de dataansvarlige, men når de behandler de uploadede backupfiler fra kunder, er de databehandlere.
Databeskyttelsesrådgiver
Nogle virksomheder har brug for en databeskyttelsesrådgiver. Den databeskyttelsesansvarlige overvåger, hvordan virksomheden overholder GDPR. F.eks. ved at rådgive databeskyttelsesforvaltningen, fungere som kontaktperson og samarbejde med databeskyttelsesmyndigheden i tilfælde af tilsyn. Desuden skal virksomheden inddrage databeskyttelsesrådgiveren, når den foretager en konsekvensanalyse. Det samme gælder, hvis de overvejer at foretage en sådan vurdering med henblik på en ny behandling af personoplysninger. Hvis virksomheden udpeger en databeskyttelsesrådgiver, skal dette anmeldes til tilsynsmyndigheden og registreres der.
Personligt ansvar
Det er den dataansvarlige eller databehandleren, der er ansvarlig for at sikre, at de overholder GDPR. Den databeskyttelsesansvarlige har intet personligt ansvar for dette. Desuden er det forbudt for virksomheden at straffe den databeskyttelsesansvarlige for at udføre sine opgaver, når dette fører til noget, som virksomheden f.eks. ikke kan lide. Det kan være tilfældet, at databeskyttelsesrådgiveren fraråder virksomheden at foretage en bestemt behandling, som den reelt ønsker at foretage.
Viden
En databeskyttelsesansvarlig skal have en vis viden for at kunne udføre sine opgaver i sin rolle som databeskyttelsesansvarlig. For eksempel viden om GDPR, kende virksomhedens kerneforretning og være i stand til at skabe en databeskyttelseskultur i virksomheden. Personlige egenskaber kan også spille en vigtig rolle. Det er en fordel, hvis databeskyttelsesrådgiveren er en god leder, der tør tale foran store grupper og er tydelig i sin kommunikation.
Den databeskyttelsesansvarlige er uafhængig:
En databeskyttelsesrådgiver skal have en uafhængig stilling i virksomheden. Dette betyder dog ikke, at personen ikke kan have andre opgaver i virksomheden. Det er tilladt, forudsat at der ikke er nogen interessekonflikt. Der kan f.eks. være en interessekonflikt, hvis en person i ledelsen er databeskyttelsesansvarlig. Et andet eksempel kan være, hvis en person træffer beslutninger i virksomheden, der vedrører kerneforretningen, og som vedrører behandling af personoplysninger.
Flere oplysninger om GDPR
Forskellige typer af brud på persondatasikkerheden i henhold til GDPR
I henhold til GDPR betyder et brud på persondatasikkerheden en sikkerhedshændelse, der fører til utilsigtet eller ulovlig tilintetgørelse, tab eller ændring af personoplysninger. Det kan også føre til uautoriseret adgang til eller videregivelse af personoplysninger. Eksempler på brud på persondatasikkerheden er, når en computer, der indeholder persondata, går ned, og der ikke er nogen backup eller fejldirigeret e-mail, der indeholder persondata. Virksomhederne skal forhindre brud på persondatasikkerheden ved at træffe passende tekniske og organisatoriske sikkerhedsforanstaltninger. Eksempler på foranstaltninger til beskyttelse af personoplysninger kan være at have backupfiler og implementere interne procedurer for medarbejderne.