Hvad er forskellen mellem en dataansvarlig og en databehandler? Hvad er deres ansvar i henhold til GDPR? At vide, om man er dataansvarlig, databehandler eller begge dele, er essentielt for at kunne overholde GDPR.
Da den generelle databeskyttelsesforordning (GDPR) har været gældende siden 2018, sørger mange virksomheder nu for, at de handler i overensstemmelse med GDPR.
Hvis du er blandt dem, der arbejder med GDPR-compliance, så er du helt sikkert stødt på begreberne “dataansvarlig” og “databehandler”. Her er, hvad du behøver at vide om hver af disse typer enheder, vigtige forskelle og deres ansvar under GDPR.
Hvad er en dataansvarlig?
I GDPR har den dataansvarlige det største ansvar, når det kommer til at beskytte privatlivets fred og rettighederne for den registrerede, som er de personer, en organisation behandler personoplysninger om. Kort sagt bestemmer den dataansvarlige, hvorfor der skal behandles personoplysninger, og hvordan det skal gøres.
En dataansvarlig kan behandle indsamlede data ved hjælp af sine egne processer. I nogle tilfælde skal en dataansvarlig dog arbejde med en tredjepart eller en ekstern tjeneste for at kunne arbejde med de data, der er blevet indsamlet.
Selv i denne situation afgiver den dataansvarlige ikke kontrollen over dataene til tredjepartstjenesten. Den dataansvarlige forbliver den ansvarlige part ved at specificere, hvordan dataene skal bruges og behandles af den eksterne tjeneste.
Hvad er en databehandler?
En databehandler behandler blot alle de personoplysninger, som den dataansvarlige giver dem. Efter eksemplet ovenfor er databehandleren den tredjepartsvirksomhed, som den dataansvarlige har valgt at bruge til at behandle deres data.
Databehandleren ejer ikke de data, de behandler, og de kontrollerer dem heller ikke. Det betyder, at databehandleren ikke vil være i stand til at ændre formålet med behandlingen af dataene. Databehandlere er endvidere bundet af de instruktioner, som den dataansvarlige giver.
Den dataansvarliges rolle
Du er dataansvarlig, hvis din virksomhed eller organisation beslutter:
- At indsamle personlige oplysninger om dine kunder, ansatte, samarbejdspartnere, besøgende på jeres hjemmeside osv. Du skal altid have lovhjemmel til at gøre det.
- Hvilke personoplysninger, der skal indsamles.
- At de data, der skal indsamles, skal modificeres.
- Hvorfor og hvordan data skal bruges.
- Om dataene skal opbevares internt eller deles med tredjeparter. Du bestemmer også, hvem du skal dele dataene med.
- Hvor længe dataene opbevares, og hvornår de skal slettes.
Databehandlerens rolle
En databehandler er den, der udfører selve behandlingen af dataene efter den dataansvarliges specifikke instruktioner.
Du er databehandler, hvis du bliver instrueret eller pålagt af en dataansvarlig at udføre nogle af følgende opgaver:
- Designe, skabe og implementere IT-processer og -systemer, der gør den dataansvarlige i stand til at indsamle personoplysninger.
- Bruge værktøjer og strategier til at indsamle personoplysninger.
- Implementere sikkerhedsforanstaltninger, der beskytter personoplysninger.
- Opbevare personoplysninger som er indsamlet af den dataansvarlige.
- Overføre data fra den dataansvarlige til en anden organisation eller omvendt.
