Skip to main content

Hvorfor er distinktionen vigtig?

At kende forskellen mellem databehandler og dataansvarlig er afgørende for virksomheder, der behandler personoplysninger. Dette skel er ikke kun vigtigt for at sikre at man overholder af dataforordninger som GDPR, men også for at definere ansvar og forpligtelser mellem forskellige parter i en databehandlingsaftale.

Denne blog sigter mod at skabe klarhed omkring forskellen mellem databehandler og dataansvarlig, så I er klar over præcist hvad jeres rolle er i forbindelse med databeskyttelse.

Hvad er en dataansvarlig?

En dataansvarlig er en enhed (f.eks. en virksomhed, organisation eller offentlig myndighed) der selv bestemmer formålet med de personoplysninger man råder over, samt midlerne til at behandle disse personoplysninger. Med andre ord er det den dataansvarlige, der beslutter hvorfor og hvordan persondata skal behandles. Generelt kan man sige, at man er dataansvarlig, hvis man kan svare ja til følgende:

  • Bestemmer I formålene med behandlingen af de personoplysninger, I har?
  • Bestemmer I midlerne til behandlingen af de personoplysninger, I har?
  • Er I ansvarlige for at overholde databeskyttelseslovgivningen?

Den dataansvarlige har det ultimative ansvar og er ansvarlige over for de personer, hvis data behandles. Den dataansvarlig har ansvaret over for tilsynsmyndighederne for at sikre, at personoplysningerne behandles i overensstemmelse med lovgivningen.

Modtag vores nyhedsbrev!

I vores nyhedsbrev du får tips og tricks til hvordan du lettere kan håndtere GDPR fra vores grundlægger Sebastian Allerelli.

Når du tilmelder dig vores nyhedsbrev, får du samtidig en gratis licens for én bruger til ShareSimple, som giver dig en e-mail i Outlook. Dette særlige tilbud er kun for nye kunder, med en grænse på én licens pr. virksomhed.

Hvad er en databehandler?

En databehandler er en enhed, der behandler personoplysninger på vegne af den dataansvarlige. Databehandlere kan være tredjeparter eller eksterne serviceudbydere, der udfører opgaver, der inkluderer databehandling. Deres aktiviteter er begrænset til de specifikke opgaver, som den dataansvarlige har instrueret dem i, og de må ikke behandle personoplysningerne til egne formål. Typiske eksempler på databehandlere inkluderer:

  • IT-udbydere, der hoster og vedligeholder data
  • Lønningsbureauer, der behandler medarbejderinformation
  • Cloud-løsninger og SAAS-udbydere brugt af virksomheden

Databehandlerens rolle er mere begrænset og fokuseret sammenlignet med den dataansvarlige, og de må kun handle efter instruktion fra den dataansvarlige.

Hvad er en databehandleraftale?

En databehandleraftale, som også forkortes DPA, er en juridisk kontrakt, der fastlægger relationen mellem en dataansvarlig og en databehandler. Denne aftale er et lovpligtigt krav, når en virksomhed, der betragtes som dataansvarlig, outsourcer behandlingen af persondata til en tredjepart, som så fungerer som databehandler. Aftalen er nødvendig for at sikre, at begge parter forstår og overholder deres juridiske forpligtelser under datalovgivningen, såsom GDPR.

Databehandleraftalen tjener flere formål:

  1. Klarlæggelse af roller og ansvar: Databehandleraftalen specificerer, hvad databehandleren har tilladelse til at gøre med persondata, og hvordan data skal håndteres
  2. Sikkerhedsforanstaltninger: Databehandleraftalen beskriver de sikkerhedsmæssige foranstaltninger, som databehandleren skal implementere for at beskytte data og for at sikre compliance
  3. Underdatabehandlere: Databehandleraftalen regulerer brugen af eventuelle underdatabehandlere, dvs. yderligere tredjeparter, som databehandleren gør brug af
  4. Dataoverførsler: Databehandleraftalen fastlægger regler for overførsel af personoplysninger til tredjelande eller internationale organisationer, hvis relevant
  5. Retten til revision og inspektion: Databehandleraftalen giver den dataansvarlige ret til at udføre audits eller inspektioner for at sikre, at databehandleren overholder databeskyttelseslovgivningen og aftalens vilkår

Start GDPR-oprydningen hvor det trænger mest

Følsomme data kan let ophobe sig i medarbejdernes mails. Med et GDPR Risiko-scan fra DataMapper får I en rapport, der viser potentielle GDPR-risici i virksomhedens Outlook-konti.

Har I brug for hjælp til jeres data-forpligtelser?

For virksomheder er det vigtigt at have en klar forståelse af rollerne som dataansvarlig og databehandler for at sikre, at man har de nødvendige arbejdsprocesser på plads. Det er ikke kun et spørgsmål om at følge datareglerne, men også om at opbygge tillid med kunder og brugere ved at vise en seriøs tilgang til databeskyttelse.

Vi oplever, at de fleste virksomheder er dataansvarlige. Vi ser desværre også, at mange virksomheder har svært ved at leve op til deres ansvar som dataansvarlig. Problemet for mange er at de ikke aner, hvordan de skal starte med at få styr på de personoplysninger, de råder over. I Safe Online har vi udviklet DataMapper, som er et Data Discovery-værktøj, der netop hjælper med at få styr på følsomme data ved at lokalisere følsomme filer fordelt på virksomhedens datasystemer.

Sebastian Allerelli
Grundlægger & COO hos Safe Online
Specialist i Ledelse, Risiko og GDPR

Følg mig på LinkedIn for at få små tips til GDPR her →

GUIDE

Håndtering af følsomme persondata

GUIDE

Sådan findes persondata med Datamapping

GUIDE

Forberedelse til et datatilsyn