Hvad er forskellen på en dataansvarlig og en databehandler?

Kort om sagen

Sagens omdrejningspunkt var, at en underdatabehandler, en underleverandør af et it-system, afviste at tilbagelevere kundeoplysninger til den dataansvarlige.

Ifølge underdatabehandleren var det databehandleren, leverandøren af it-systemet, der var den dataansvarlige, og de to parter havde indgået en databehandleraftale, hvori databehandleren blev omtalt som dataansvarlig.

Datatilsynet fandt dog, at databehandleren og underdatabehandleren begge behandlede kundeoplysninger på vegne af tredjepart, som dermed var den reelle dataansvarlige.

Den dataansvarlige havde således ret til at få tilbageleveret personoplysningerne fra underdatabehandleren.

Datatilsynet udtalte i afgørelsen alvorlig kritik af underdatabehandlerens tilbageholdelse af oplysningerne og udstedte et påbud om tilbagelevering samt et forbud mod at behandle kundeoplysninger igen, medmindre behandlingen skete efter den dataansvarliges instruks.

Læs om hele sagen her: Alvorlig kritik: underdatabehandler afviste at udlevere oplysninger til den dataansvarlige.

Inden for GDPR skelnes der mellem, om du er dataansvarlig for behandlingen af personoplysninger, eller om du er databehandler for en dataansvarlig.

Kravene til en dataansvarlig og en databehandler er forskellige, og derfor er det meget vigtigt, at du kender din og eventuelt øvrige parters rolle, når du behandler persondata, så I hver især kender jeres ansvarsområder.

En dataansvarlig er; ”en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger.” (databeskyttelsesforordningens artikel 4, nr. 7).

En databehandler er; ”en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der behandler personoplysninger på den dataansvarliges vegne”. (databeskyttelsesforordningens artikel 4, nr. 8).

Det er således den dataansvarlige, der afgør, hvorfor (med hvilket formål), hvordan og af hvem (med hvilke hjælpemidler) de pågældende personoplysninger, skal behandles. Databehandleren behandler derimod personoplysningerne på vegne af, og efter instruks fra, den dataansvarlige.

Læs også: Hvornår har I etableret tilstrækkelige sikkerhedsforanstaltninger?

Afgørelsen fra datatilsynet viser, at der kan være forvirring om rollefordelingen mellem en dataansvarlig og en eller flere databehandlere. Ifølge Datatilsynet er det altid de faktiske forhold, dvs. hvem der rent faktisk bestemmer hvorfor og hvordan, der foretages behandling af personoplysninger, der er det afgørende for, om man er dataansvarlig eller databehandler – og ikke eksempelvis formuleringen i en databehandleraftale. Du kan læse mere i Datatilsynets vejledning om rollefordelingen mellem en dataansvarlig og en databehandler her.