Nyheder

I det persondataretlige univers er det afgørende at vide, om man er dataansvarlig eller databehandler. Der er hjælp at hente til vurderingen i en ny vejledning fra Datatilsynet og Justitsministeriet.

Hvornår er man dataansvarlig eller databehandler?

Af Julie Fabrin Gade


Ny vejledning

I en ny vejledning fra november 2017 beskriver Datatilsynet og Justitsministeriet nærmere, hvornår man er dataansvarlig eller databehandler. Det er væsentligt at afklare, om man har den ene eller den anden rolle, da der stilles forskellige krav til henholdsvis databehandlere og dataansvarlige.

Vejledningen indeholder mange eksempler, som private virksomheder og offentlige myndigheder kan anvende, når de skal vurdere, om de er dataansvarlige eller databehandlere i relation til en given behandling af personoplysninger.

Fokus på ydelsen

Ifølge vejledningen, er det vigtigt at se på, hvilken ydelse der skal leveres, når man som dataansvarlig skal vurdere, om man overfører personoplysninger til en databehandler eller en ny selvstændig dataansvarlig. Vejledningen peger på manglende fokus på selve ydelsen, som en af årsagerne til, at vurderingen til tider volder problemer både i det offentlige og i det private.

Hvis ydelsen eller en del af ydelsen består i behandling af personoplysninger efter instruks fra, og på vegne af en anden part, kan dette tale for, at den, der leverer ydelsen, er databehandler for den anden part.

Som eksempel på en klassisk databehandlerkonstruktion nævner vejledningen den situation, hvor en it-leverandør udelukkende handler efter instruks og udfører elektronisk databehandling af personoplysninger  for en anden virksomhed eller myndighed, f.eks. en hostingleverandør.

Hvis ydelsen derimod ikke består i behandling af personoplysninger efter instruks fra, og på vegne af en anden part – men der leveres en helt anden type ydelse – kan dette tale for, at den, der leverer ydelsen, selv er dataansvarlig for den behandling af personoplysninger, der måtte finde sted i forbindelse med levering af ydelsen.

Vejledningen giver som et eksempel en tømrermester, som har indgået en aftale med en kommune om at udføre arbejde hos borgere. Tømrermesteren behandler oplysninger om de pågældende borgere, som er nødvendige for at kunne levere tømrerydelsen. Under henvisning til ydelsernes karakter fastsætter vejledningen, at tømrermesteren er dataansvarlig, når han behandler oplysninger om borgerne i forbindelse med levering af tømrerydelserne. Andre eksempler fra vejledningen, hvor ydelsen som udgangspunkt heller ikke består i behandling af personoplysninger på vegne af en anden dataansvarlig er:

  • Reparation af kopimaskiner
  • Rejsebureauer, hoteller og flyselskabers ydelser
  • Udbringning af post, pakker og mad

Andre vigtige momenter til støtte for vurderingen

Vejledningen oplister tillige en række andre vigtige momenter, som kan tillægges vægt ved vurderingen af, om man er dataansvarlig eller databehandler, samt en række forhold som i sig selv vil være afgørende. Der lægges ikke skjul på, at denne konkrete vurdering kan være kompleks.

Vejledningen indeholder derudover mange eksempler til illustration af, hvordan de konkrete vurderinger kan falde ud i praksis.

Behandling af personoplysninger

Ved behandling af personoplysninger er det afgørende at vide, hvilken rolle man har, da der er forskel på, hvilke krav de databeskyttelsesretlige regler stiller til henholdsvis dataansvarlige og databehandlere.

Hertil kommer, at der er forskel på, hvordan man skal forholde sig til de personoplysninger, der flyder mellem parterne, alt efter hvilke roller parterne har.

En videregivelse af personoplysninger fra en dataansvarlig til en anden dataansvarlig kræver iagttagelse af hjemmelskrav, informationskrav mv.  En overladelse af personoplysninger fra en dataansvarlig til en databehandler, eller fra en databehandler til en underdatabehandler skal baseres på en databehandleraftale eller et andet retligt dokument i overensstemmelse med kravene hertil i databeskyttelsesforordningens artikel 28. Samtidig er en dataansvarlig forpligtet til at føre tilsyn med databehandlerens (samt eventuelle underdatabehandleres) behandling af personoplysninger.