FORSKELLEN PÅ DEN DATAANSVARLIGE & DATABEHANDLEREN

Hvilke aktører er væsentlige for persondataforordningen?

Persondataforordningen har to centrale aktører:

Den dataansvarlige
Databehandleren

Det er disse to aktører, der skal sørge for implementering og overholdelse af forordningen. Din opgave som virksomhed er forskellig, alt efter hvilken rolle du har.

Hvornår er man dataansvarlig?

Den dataansvarlige er den fysiske eller juridiske person, der har kontrollen over behandlingen af en personoplysning. I praksis er det typisk en juridisk person, fx et anpartsselskab, der er den dataansvarlige. Selskabets ansatte, der konkret behandler oplysningen er således ikke den dataansvarlige. Fysiske personer er dog ikke afskåret fra at være dataansvarlige. Dette kunne være en selvstændig erhvervsdrivende, som for eksempel en tømrer, der ikke driver sin virksomhed i selskabsform.

Om man er dataansvarlig afhænger af, om man har kontrol over behandlingen af personoplysninger. En virksomhed vil typisk have kontrollen over de kundeoplysninger, den selv indsamler (fx ved en kundes indmeldelse i en kundeklub, eller ved registrering af oplysninger ved et køb). Herudover kontrollerer virksomheden typisk også de oplysninger som virksomheden har om sine ansatte.

Handler virksomheden med en anden virksomhed, hvor der i forbindelse med handlen bliver videregivet personoplysninger, afhænger det af den modtagende virksomheds selvstændighed, om den er dataansvarlig eller databehandler. Har den modtagende virksomhed stor selvstændighed med opgavens udførelse, er den højst sandsynligt dataansvarlig. Dette kunne eksempelvis være et markedsføringsbureau, der får til opgave at foretage en undersøgelse af en kundegruppes købeadfærd ved selv at udarbejde, planlægge og gennemføre en spørgeskemaundersøgelse.
Som udgangspunkt er der kun én dataansvarlig, men i visse tilfælde kan der være flere. Dette kan være tilfældet, hvis to virksomheder vælger at gå sammen om at tilbyde en ydelse på en fælles internetplatform. Her vil begge virksomheder typisk have kontrol over behandlingen af personoplysningerne.

Hvornår er man databehandler?

En databehandler defineres som den fysiske eller juridiske person, der behandler personoplysninger på vegne af den dataansvarlige. Der er med andre ord tale om en situation, hvor den dataansvarlige selv kunne have foretaget en behandling af en personoplysning, men i stedet lader en anden foretage behandlingen. Databehandleren kan ikke selvstændigt tage væsentlige beslutninger om behandlingen af oplysningerne. Dette kan for eksempel være tilfældet, hvis man hyrer et it-firma til at opbevare oplysninger på en server, eller hvis man har antaget et administrationsfirma til at sørge for udbetaling af løn.

Grænsen mellem en dataansvarlig og en databehandler er dog flydende, og jo mere selvstændig den anden virksomhed er, jo tættere er den på at være dataansvarlig. Derudover kan man være underdatabehandler, hvis man behandler oplysninger på vegne af databehandleren. Underdatabehandleren kan ligeledes på samme vilkår antage endnu en underdatabehandler. Man kan altså have en hel kæde af databehandlere og underdatabehandlere. Databehandleren skal dog have tilladelse af den dataansvarlige, før der antages en underdatabehandler.

Kurser om persondataforordningen

Hos Leoni Advokater afholder vi kurser i, hvordan man i praksis implementerer forordningen i en virksomhed. Kurserne er både rettet til ledelsen, der skal stå for implementeringen, og til de medarbejdere, der skal behandle personoplysninger. Korrekt implementering kræver, at hele virksomheden løfter i flok – både i toppen og i bunden.

Leoni Advokaters samarbejdspartnere

For at klæde dig godt på til de nye regler, har vi hos Leoni Advokater indledt et samarbejde med konsulentvirksomheden eNavigate, konsulentvirksomheden AKON og it-virksomheden n etI P.

På eNavigates hjemmeside vil vi i en række blogindlæg besvare spørgsmål i den nye persondataforordning, der vedrører digital markedsføring og eCommerce. På bloggen har du også mulighed for at stille os spørgsmål om persondata helt kvit og frit. Find bloggen her.

Implementering af forordningen stiller krav til din virksomheds it. Derfor har vi allieret os med it-virksomheden n etIP , der i fremadrettet vil give gode tips til, hvordan din virksomhed kan indrette sig it-teknisk.

netIP anbefaler - Dataansvarlig eller behandler – hvad gøres i praksis?

Der er en klar opdeling mellem den dataansvarlige og databehandleren i forordningen. Det er op til den dataansvarlige at sikre, at databehandleren, hvis en sådan benyttes, lever op til sit ansvar. Til dette skal der indgås en databehandleraftale. I samme ombæring kan I med fordel se på, hvordan I både sikrer og påviser, at en sådan aftale overholdes. Sikringen kan selvfølgelig være aftalt, og ikke IT funderet, i form af aftalt begrænset tilgang til data for et begrænset antal navngivne personer.

Egentlig begrænsning og logning af adgange/ændringer mv. er dog bedre. Derved har man bedre mulighed for at påvise, at adgange/behandlinger er foretaget af rette personer, der kan godtgøre, at tilgangen til data var formålstjenstlig (eller lige så vigtigt, at I kan afklare, hvis det modsatte er tilfældet). I kan også med logning og begrænsning frigøre udenforstående fra både involvering og eventuel mistanke.

I behøver dog ikke gå helt over i den grøft, hvor ”tillid er godt, kontrol er bedre”, det er snarere et spørgsmål om at lade folk fokusere ved at fjerne overflødig adgang og data. Lige så vel som IT kan give viden, så kan det også filtrere - begge dele kan være nyttige her.

Persondatabeskyttelse kræver, at en virksomheds ansatte skal ændre deres vaner, og at kulturen i virksomheden udvikles. Det er ikke altid en let opgave at sætte skub i sådan en udvikling. Vi har derfor inviteret konsulentvirksomheden AKON til i de kommende nyhedsbreve at give deres bud på, hvordan man bedst takler denne problemstilling.

AKON er en konsulentvirksomhed, der beskæftiger sig med rådgivning om psykisk arbejdsmiljø, ledelse & organisation og forretningsudvikling.

AKON anbefaler - Husk at det skal være meningsfuldt for de ansatte

Et er at får rettet arbejdsgangene til, så man i virksomheden lever op til persondataforordningen. Noget andet er, at vi i dagligdagen følger de aftalte arbejdsgange. Det er den menneskelige faktor, der er på spil. Det er svært for os at gøre noget, der umiddelbart virker besværligt og meningsløst. En central opgave er derfor at formulere en mening, også der, hvor den kan være svær at få øje på.

Hvad er relevans og sandsynligt udbytte på individniveau – gruppeniveau – ledelsesniveau – organisationsniveau? Optimalt går man på jagt efter ”sandsynligt udbytte” sammen. Hvor det ikke er muligt er det heldigvis sådan, at vi kan ”låne” meningsfuldhed af hinanden. Hvis min leder siger: ”Dette skal vi nok få noget godt ud af”, så kan mit behov for mening ernære mig på hendes oplevelse af meningsfuldhed. Hvis hun siger: ”Dette er besværligt og helt hen i vejret”, så kommer ikke bare jeg, men hele organisationen på hårdt arbejde.

Derfor – find meningen i form af relevans og sandsynligt udbytte.

Ønsker du at vide mere?

Implementering af regler og paragraffer er aldrig i virksomhedens fokus – og sådan skal det også være. Der er ingen, der bliver erhvervsdrivende for at sidde og nusse med regnskaber, fakturaer, persondatabeskyttelse og andre administrative opgaver. Som virksomhedsleder skal du have fokus på det, du brænder for. Vi er her for at løfte arbejdsbyrden for dig, så du har frie hænder til at lave det, der betyder noget for dig.

Leoni Advokater har fokus på persondataforordningen, hvis du ønsker at vide mere omkring dette, er du velkommen til at kontakte Bent Bro Miltersen som er Leoni Advokaters ekspert på området.

Nærværende materiale er udarbejdet til undervisningsbrug og kan ikke anvendes i forbindelse med løsning af konkrete problemstillinger. Såfremt du ønsker konkret rådgivning inden for persondataret, opfordres man til at henvende sig til Leoni Advokater med spørgsmål og problemstillinger.