Det kan være svært at jonglere mellem begreberne i den nye persondataforordning. Især databehandler og dataansvarlig giver danske virksomheder gråt hår. Hvis du også bliver rundtosset, når det kommer til at forstå forskellen, skal du læse videre nu.
En dataansvarlig bestemmer formålet med behandling af personoplysninger, måden hvorpå personoplysninger behandles og ikke mindst, hvem oplysningerne deles med.
En databehandler behandler derimod personoplysninger på vegne af den dataansvarlige. Det vil altså sige, at en databehandler ikke har noget at skulle sige, når det kommer til at bestemme formålet og hvordan persondata behandles.
Det er vigtigt, at du kan skelne mellem en dataansvarlig og en databehandler, da kravene til disse personer er forskellige. Når du behandler personoplysninger med en anden part, vil du have en af rollerne, og det er – pga. de forskellige krav – uhyre vigtigt, at du kan definere hvilken.
Der kan være tale om en klassisk databehandlerkonstruktion, og i sådanne tilfælde er det ikke synderligt svært at afklare rollefordelingen. Tager vi din virksomhed og IT Forum, er din virksomhed dataansvarlig og IT Forum er databehandler. Det skyldes, at vi fungerer som IT-leverandør og derfor udelukkende handler på instruks og udfører databehandling af personoplysninger på vegne af din virksomhed. Du er på den anden side dataansvarlig, og det er derfor din opgave at definere, hvordan vi skal behandle personoplysningerne. Hvis vi stiller det op sort på hvidt, er det også dig – som dataansvarlig – der bærer hovedansvaret ift., at behandlingen af personoplysningerne lever op til de nye regler.
Som dataansvarlig sikrer du, at behandlingen af oplysningerne lever op til persondataordningen gennem en databehandleraftale. Denne aftale indeholder en decideret kontrakt eller andet retligt dokument, som er bindende. Aftalen skal bl.a. definere varigheden, karakteren, formålet og typen af persondata samt både dine og databehandlerens forpligtelser ift. at varetage opgaven.
Det er dog ikke altid, at der er tale om en klassisk databehandlerkonstruktion. Du kan nemlig også komme ud for, at du som dataansvarlig skal videregive personoplysninger til en anden dataansvarlig. I sådanne tilfælde skal du på forhånd sikre dig, at du har lov til at videregive oplysningerne, og at modtageren har lov til at modtage oplysningerne. Modtageren vil efterfølgende figurere som dataansvarlig for den videre behandling af dataene.
Nu gælder det for alvor om at holde tungen lige i munden, for der kan også være tale om fælles dataansvar, hvis du og en anden part i fællesskab har bestemt hvorfor og hvordan, der skal behandles personoplysninger. Det betyder således også, at I begge har ansvaret for en behandling og ret til at bruge oplysningerne til egne formål.
Ånd du bare lettet op, for nu ved du, hvad der kendetegner en dataansvarlig og en databehandler. Hvis du ønsker at gå mere i dybden, kan du læse datatilsynets vejledning:
https://www.datatilsynet.dk/fileadmin/user_upload/dokumenter/Vejledninger/Vejledning_om_dataansvarlige_og_databehandlere_-_endelig_version.pdf
Du kan også læse vores andre skriv om persondataforordningen, fx hvad konsekvensen er, såfremt du ikke er klar til, at forordningen træder i kraft og hvilke IT-sikkerhedsforanstaltninger der skal gøres, så er du godt rustet til at byde dataforordningen velkommen.