Den nye persondataforordning stiller krav om et fælles dataansvar. Derfor er det vigtigt at have styr på, hvilken rolle man har – om man behandler personoplysninger som dataansvarlig eller som databehandler. Vi har derfor udarbejdet dette blogindlæg for kort at præcisere, hvad en hhv. dataansvarlig og databehandler er, samt deres respektive ansvar. Vi vil også kort gennemgå hvilke krav der er til en databehandleraftale. 

Den dataansvarlige 

Den nye persondataforordning definerer den dataansvarlige som:  

”En fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger.”  

Den dataansvarlige har som udgangspunkt ansvaret for, at reglerne overholdes i behandlingen af personoplysninger. Den dataansvarlige skal ligeledes sikre, at der er et sagligt formål med behandlingen af personoplysninger. Herudover er den dataansvarlige ansvarlig for, at der foreligger hjemmel til den behandling, som databehandleren instrueres i at foretage.  

Den dataansvarlige kan være en arbejdsgiver, der behandler personoplysninger om sine ansatte og kunder. 

Databehandleren 

Databehandleren defineres i persondataforordningen som:  

”En fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der behandler personoplysninger på den dataansvarliges vegne.” 

Databehandleren behandler aldrig personoplysninger til egne formål. Databehandleren behandler således kun personoplysninger på vegne af den dataansvarlige. Derfor må denne ikke bruge de tilgængelige oplysninger til andet end udførelsen af opgaven for den dataansvarlige.  

Databehandleren skal omgående underrette den dataansvarlige, hvis en instruks efter databehandlerens mening er i strid med lovgivningen for behandling af personoplysninger.  

Den samme virksomhed kan agere hhv. dataansvarlig overfor egne medarbejdere og databehandler overfor for kunderne f.eks. 

Databehandleraftale
Det er et direkte krav i persondataforordningen, at der skal udarbejdes en skriftlig aftale mellem den dataansvarlige og databehandleren. En databehandleraftale kan indgås som en selvstændig aftale eller som en del af f.eks. en kontrakt. Er der ikke tale om en databehandler/dataansvarlig relation, men f.eks. en aftale om køb af en ydelse, vil der ikke være behov for at udarbejde en aftale om behandlingen af personoplysninger, men blot en almindelig samarbejdsaftale.  

Databehandleraftalen regulerer, hvordan databehandlere må behandle oplysninger på den dataansvarliges vegne og til hvilke formål. Det er derfor vigtigt, at aftalen er på plads inden databehandleren går i gang med at behandle personlige oplysninger på vegne af den dataansvarlige.  

Det er den dataansvarlige virksomheds ansvar at sørge for, at databehandlerne overholder deres databehandleraftaler.  

Hvis du har brug for hjælp til vejledning og rådgivning på området for persondataret, er du velkommen til at kontakte os.