Jurainfo logo
LUK
Juridiske nyheder Kurser Find juridisk specialist Jobbørs Domme
Om Jurainfo Podcasts Juridiske links Privatlivspolitik Kontakt
Ansøg om en profil Bliv kursusudbyder Bliv jobannoncør
Artikel

Har du styr på, om du er dataansvarlig eller databehandler?

TVC Advokatfirma
24/11/2017
Har du styr på, om du er dataansvarlig eller databehandler?

Med den nye EU-persondataforordning følger krav til et fælles dataansvar. Som virksomhed er det vigtigt at have styr på, hvornår du er henholdsvis dataansvarlig og databehandler. Få overblik over forskellen mellem de to samt reglerne om det fælles dataansvar.



Når den nye EU-persondataforordning træder i kraft den 25. maj 2018 følger særlige regler om et fælles dataansvar. Af reglerne fremgår det, at dataansvarlige kan gøres solidarisk ansvarlige for brud på datasikkerheden i forbindelse med behandling af persondata. Dertil stilles der krav til, at virksomhederne ved aftale klart afgrænser, hvem der bærer ansvaret for de forskellige dele af databehandlingen.

Som virksomhed er det derfor vigtigt at gøre sig klart, hvorvidt man behandler personoplysninger som dataansvarlig eller databehandler, herunder om man er selvstændig dataansvarlig eller bærer et fælles dataansvar med andre virksomheder.

Den 15. november 2017 udkom Datatilsynet med en vejledning om dataansvarlige og databehandlere. Vejledningen er i denne sammenhæng en god rettesnor.


Definition af dataansvarlige og databehandlere


Det er først og fremmest afgørende, at man har styr på, hvorvidt man behandler personoplysninger som dataansvarlig eller databehandler. Dette skyldes, at der gælder forskellige regler og sanktioner, alt efter hvilken rolle man indtager. Sondringen har desuden betydning for det fælles dataansvar.

Den nye persondataforordning definerer den dataansvarlige som:

”En fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger.”

Heroverfor står definitionen af databehandleren, der lyder som følger:

”En fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der behandler personoplysninger på den dataansvarliges vegne.”

Det er således særligt vigtigt, hvem der bestemmer formålet med behandlingen, samt hvordan, dvs. med hvilke hjælpemidler, behandlingen foretages.

Datatilsynets vejledning oplister desuden en række momenter, der kan tillægges betydning, når det skal afgøres, om virksomheden behandler oplysninger som dataansvarlig eller databehandler, herunder bl.a. om:

  • Oplysningerne behandles på virksomhedens vegne

  • Virksomheden er ved lov eller lignende pålagt en opgave vedrørende behandling af oplysningerne

  • Virksomheden har udstedt instrukser vedrørende behandlingen til den anden part

  • Virksomheden fører kontrol med den anden parts behandling af oplysninger

  • Den registrerede har en forventning om, at virksomheden er ansvarlig for behandlingen

  • Virksomheden har tilbagekaldelses- og sletningsbeføjelser i forhold til behandlingen af oplysningerne hos den anden part


Som det fremgår af ordlyden på definitionen af den dataansvarlige, kan der forekomme situationer, hvor flere dataansvarlige sammen afgør formålet og hjælpemidlerne ved behandlingen. Er dette tilfældet, er der tale om et fælles dataansvar.


Hvad dækker det det fælles dataansvar over?


Det fælles dataansvar forudsætter, at der er tale om to dataansvarlige, der i fællesskab har ansvar for en behandling af persondata. Det er yderligere et krav, at alle parter kan bruge oplysningerne til egne formål.

I den nye EU-persondataforordning er det fælles dataansvar direkte reguleret. En definition af det fælles dataansvar følger af forordningens artikel 26, der som noget nyt giver en direkte regulering af, hvilke krav de fælles dataansvarlige virksomheder og myndigheder skal overholde.

Ifølge bestemmelsen skal virksomhederne på en gennemsigtig måde redegøre for, hvordan de sikrer compliance med reglerne i forordningen. Dette betyder bl.a., at virksomhederne skal gøre sig overvejelser om, hvordan den registrerede kan håndhæve sine rettigheder, herunder bl.a.:

  • Retten til indsigt

  • Retten til berigtigelse af oplysninger

  • Retten til sletning af oplysninger

  • Retten til at gøre Indsigelser

  • Retten til dataportabilitet


Ovenstående skal sikres ved, at de to (eller flere dataansvarlige) indgår en aftale, der skarpt afgrænser, hvor og hvordan behandlingen af personoplysninger sker hos de respektive parter. I praksis skal der laves en skriftlig aftale, der tager stilling til de områder, hvor der sker behandling af persondata.

Bestemmelsen tilsiger i forlængelse heraf, at der skal være adgang for den registrerede til at se indholdet af den aftalte ansvarsfordeling mellem parterne, samt at den registrerede skal kunne henvende sig til begge parter med henblik på at håndhæve sine rettigheder.

Det er vigtigt at understrege, at parterne bærer et fælles ansvar for overholdelsen af reglerne. Sker der et brud på persondatasikkerheden med et erstatningsansvar til følge, hæfter parterne således solidarisk for det fulde beløb.


I hvilke situationer ser man et fælles dataansvar?


Det fælles dataansvar kan forekomme i flere situationer. Datatilsynet bruger i vejledningen et eksempel, hvor to myndigheder ved lov er forpligtet til at benytte det samme lønsystem.

Af eksemplet fremgår det, at den ene myndighed behandler oplysningerne i systemet med henblik på at udbetale løn til sine medarbejdere. Denne behandling sker samtidig med, at den anden myndighed benytter systemet til at føre kontrol med selvsamme lønudbetalinger, samt til udførelse af statistikker mv. Det er dermed det samme hjælpemiddel (lønsystemet), der bruges dels til et fælles formål (korrekt lønudbetaling) og dels til egne formål (statistisk mv.). Begge parter er således afhængige af de indtastede oplysninger og det pågældende hjælpemiddel.

Udover ovenstående eksempel er det værd at fremhæve situationer, hvor virksomheder er koncernforbundne eller i øvrigt indgår i samarbejdsordninger. Dette kan f.eks. ske ved, at to koncernbundne virksomheder benytter de samme online platforme (hjælpemidler), hvor persondata behandles til både egne og fælles formål.

Et konkret eksempel kan være den situation, hvor virksomheder gør brug af handelsagenter, dvs. hvor et selskab for en agenturgiver (et andet selskab) påtager sig visse forpligtelser i relation til at indhente tilbud til, eller indgå aftaler for, agenturgiveren i dennes navn.

Det afgørende for, om der foreligger et fælles dataansvar, vil i en sådan situation være, at handelsagenten og agenturgiveren f.eks. deler en online platform eller et markedsføringsinstrument, hvor den behandlede persondata er underlagt en fælles proces, der er i hver parts interesse. Det vil her bl.a. blive tillagt betydning, om hver part har ret til at bruge oplysninger til egne formål, og om hver part har bestemmende indflydelse på formålet og fremgangsmåden vedrørende behandlingen.


Er din virksomhed klar?


Er du i tvivl om, hvorvidt I overholder reglerne i den nye EU-persondataforordning anbefaler vi altid en professionel vurdering.

Dette gælder især, hvis I er i tvivl om, hvordan I behandler personoplysninger, herunder om I som virksomhed er dataansvarlig eller databehandler – samt om I er ene dataansvarlig, eller om der er flere solidarisk hæftende dataansvarlige.

Vores specialister sidder altid klar til en uforpligtende snak om din virksomheds case.

Læs mere om fokusområdet for persondata

 

 

 






Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice her →
TVC Advokatfirma logo
Aarhus
Søren Frichs Vej 42A
8230 Åbyhøj
70 11 08 01
tvc@tvc.dk
København
Nimbusparken 24, 2
2000 Frederiksberg
Roskilde
Københavnsvej 69, 1
4000 Roskilde
Gratis Nyhedsservice
Gå ikke glip af vigtig juridisk viden
Vær den første til at modtage relevante juridiske nyheder inden for dine interesseområder
Tilmeld dig nu
Fagligt indhold, der kunne være relevante for dig
Tredjelandsoverførsler og den nye aftale med USA
Jurainfo Exclusive logo
PODCAST
Tredjelandsoverførsler og den nye aftale med USA
Vi sætter fokus på overførsel af personoplysninger til usikre tredjelande, herunder overførsler til USA baseret på den nye aftale mellem EU og USA.
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Jurainfo logo
EXCLUSIVE
VIDEO
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Det kræver et markedsføringssamtykke fra dine kunder, hvis du ønsker at udsende nyhedsmail, sms'er eller på anden måde kontakte dem med gode tilbud. Advokat, Torsten Hylleberg, kommer her nærmere ind på hvad du skal være opmærksom på i forbindelse med indhentelse af markedsføringssamtykker.
4 år med GDPR
Jurainfo Exclusive logo
PODCAST
4 år med GDPR
Hvordan ligger landet 4 år efter ikrafttrædelsen af Databeskyttelsesforordningen?
Artikler, der kunne være relevante for dig
EDPB vedtager udtalelse om den dataansvarliges forpligtelser ved brug af databehandlere
EDPB vedtager udtalelse om den dataansvarliges forpligtelser ved brug af databehandlere
10/10/2024
Persondata
Kræftens Bekæmpelse idømt bøde i GDPR-sag
Kræftens Bekæmpelse idømt bøde i GDPR-sag
11/10/2024
Persondata
EDPB har vedtaget en vejledning om interesseafvejningsreglen
EDPB har vedtaget en vejledning om interesseafvejningsreglen
21/10/2024
Persondata
Ret til indsigt i oplysninger på utilsigtet modtager
Ret til indsigt i oplysninger på utilsigtet modtager
11/11/2024
Persondata
Meta giver brugerne flere valgmuligheder
Meta giver brugerne flere valgmuligheder
18/11/2024
Persondata
Kommune får kritik for deres sikkerhedsprocedurer
Kommune får kritik for deres sikkerhedsprocedurer
19/11/2024
Persondata, Compliance
Jurainfo logo

Jurainfo.dk er landets største juridiske nyhedsside. Her finder du juridiske nyheder, kurser samt ledige juridiske stillinger. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 62B, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du at udgive materiale?
2024 © Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted