Det korte svar: Forskellen ligger i ansvaret; den dataansvarlige bestemmer formål og midler for behandling af personoplysninger, mens databehandleren kun handler på vegne af den dataansvarlige. Det er afgørende at forstå denne rollefordeling, da den har stor betydning for jeres ansvar, dokumentation og compliance under GDPR.
Hvorfor er forskellen på databehandler og dataansvarlig vigtig?
At kende forskellen mellem databehandler og dataansvarlig er afgørende for virksomheder, der behandler personoplysninger. Dette skel er ikke kun vigtigt for at sikre at man overholder af dataforordninger som GDPR, men også for at definere ansvar og forpligtelser mellem forskellige parter i en databehandlingsaftale.
Denne blog sigter mod at skabe klarhed omkring forskellen mellem databehandler og dataansvarlig, så I er klar over præcist hvad jeres rolle er i forbindelse med databeskyttelse.
Vidste du, at 46% af forbrugerne ikke har tillid til virksomheders datahåndtering?
- CSR.dk
Hvad er en dataansvarlig?
En dataansvarlig er en enhed (f.eks. en virksomhed, organisation eller offentlig myndighed) der selv bestemmer formålet med de personoplysninger man råder over, samt midlerne til at behandle disse personoplysninger. Med andre ord er det den dataansvarlige, der beslutter hvorfor og hvordan persondata skal behandles. Generelt kan man sige, at man er dataansvarlig, hvis man kan svare ja til følgende:
- Bestemmer I formålene med behandlingen af de personoplysninger, I har?
- Bestemmer I midlerne til behandlingen af de personoplysninger, I har?
- Er I ansvarlige for at overholde databeskyttelseslovgivningen?
Den dataansvarlige har det ultimative ansvar og er ansvarlige over for de personer, hvis data behandles. Den dataansvarlig har ansvaret over for tilsynsmyndighederne for at sikre, at personoplysningerne behandles i overensstemmelse med lovgivningen.
Vil du have hjælp til at behandle persondata?
I vores nyhedsbrev du får tips og tricks til hvordan du lettere kan håndtere GDPR fra vores grundlægger Sebastian Allerelli.
Når du tilmelder dig vores nyhedsbrev, får du samtidig en gratis licens for én bruger til ShareSimple, som giver dig en e-mail i Outlook. Dette særlige tilbud er kun for nye kunder, med en grænse på én licens pr. virksomhed.
Hvad er en databehandler?
En databehandler er en enhed, der behandler personoplysninger på vegne af den dataansvarlige. Databehandlere kan være tredjeparter eller eksterne serviceudbydere, der udfører opgaver, der inkluderer databehandling. Deres aktiviteter er begrænset til de specifikke opgaver, som den dataansvarlige har instrueret dem i, og de må ikke behandle personoplysningerne til egne formål. Typiske eksempler på databehandlere inkluderer:
- IT-udbydere, der hoster og vedligeholder data
- Lønningsbureauer, der behandler medarbejderinformation
- Cloud-løsninger og SAAS-udbydere brugt af virksomheden
Databehandlerens rolle er mere begrænset og fokuseret sammenlignet med den dataansvarlige, og de må kun handle efter instruktion fra den dataansvarlige.
Hvad er en databehandleraftale?
En databehandleraftale, som også forkortes DPA, er en juridisk kontrakt, der fastlægger relationen mellem en dataansvarlig og en databehandler. Denne aftale er et lovpligtigt krav, når en virksomhed, der betragtes som dataansvarlig, outsourcer behandlingen af persondata til en tredjepart, som så fungerer som databehandler. Aftalen er nødvendig for at sikre, at begge parter forstår og overholder deres juridiske forpligtelser under datalovgivningen, såsom GDPR.
Databehandleraftalen tjener flere formål:
- Klarlæggelse af roller og ansvar: Databehandleraftalen specificerer, hvad databehandleren har tilladelse til at gøre med persondata, og hvordan data skal håndteres
- Sikkerhedsforanstaltninger: Databehandleraftalen beskriver de sikkerhedsmæssige foranstaltninger, som databehandleren skal implementere for at beskytte data og for at sikre compliance
- Underdatabehandlere: Databehandleraftalen regulerer brugen af eventuelle underdatabehandlere, dvs. yderligere tredjeparter, som databehandleren gør brug af
- Dataoverførsler: Databehandleraftalen fastlægger regler for overførsel af personoplysninger til tredjelande eller internationale organisationer, hvis relevant
- Retten til revision og inspektion: Databehandleraftalen giver den dataansvarlige ret til at udføre audits eller inspektioner for at sikre, at databehandleren overholder databeskyttelseslovgivningen og aftalens vilkår
FAQ om dataansvar og databehandling
1. Hvem har ansvaret ved brud på persondata?
Den dataansvarlige har hovedansvaret – men databehandleren kan også holdes ansvarlig, hvis instrukser ikke følges.
2. Skal der være en databehandleraftale?
Ja, det er et krav under GDPR. Aftalen skal beskrive rettigheder, ansvar og sikkerhedsforanstaltninger.
3. Kan en virksomhed være begge dele?
Ja, det afhænger af situationen. I kan fx være dataansvarlig i én sammenhæng og databehandler i en anden.
Har I brug for hjælp til jeres data-forpligtelser?
Vi oplever, at de fleste virksomheder er dataansvarlige. Vi ser desværre også, at mange virksomheder kæmper med at leve op til ansvaret – ikke fordi de ikke vil, men fordi de mangler overblik over, hvilke personoplysninger de faktisk ligger inde med, og hvor de befinder sig. Uden det overblik er det svært at vurdere risikoen, prioritere indsatsen og sikre, at data beskyttes korrekt.
Derfor har vi udviklet en GDPR-risikovurdering. Den hjælper jer med hurtigt at afdække, hvor der ligger følsomme oplysninger i jeres systemer, hvor I er mest udsatte, og hvilke områder der kræver handling. Med vurderingen får I et klart beslutningsgrundlag, så I kan reducere risikoen for databrud og stå langt stærkere, hvis noget skulle ske.
Læs mere
Sebastian Allerelli
Grundlægger & COO hos Safe Online
Sebastian er medstifter og COO i Safe Online, hvor han fokuserer på at automatisere processer og udvikle innovative løsninger inden for databeskyttelse og compliance. Med en baggrund fra Copenhagen Business Academy og erfaring inden for identitets- og adgangsstyring har han en skarp forståelse for GDPR og datasikkerhed. Som forfatter på Safe Online's Videnshub deler Sebastian sin ekspertise gennem praktiske råd og dybdegående analyser, der hjælper virksomheder med at navigere i det komplekse GDPR-landskab. Hans indlæg kombinerer teknisk indsigt med forretningsforståelse og giver konkrete løsninger til effektiv compliance.
