GDPR – Skabelon til dataansvarlige og databehandlere

HR-Jura | 15/03/2018

af Lisbeth Lindorff Riis

 

Datatilsynet har udviklet en skabelon til en databehandleraftale, som skal hjælpe virksomheder til at blive klar til den nye persondataforordning (GDPR), der træder i kraft den 25. maj 2018.

Hvad er en databehandleraftale?

Uanset om du er privat virksomhed, offentlig myndighed, fysisk person, institution eller et andet organ, som behandler eller f.eks. indsamler, registrerer, videregiver eller sletter personoplysninger om andre personer, er det vigtigt, at du er opmærksom på, hvad din rolle er i forbindelse med behandlingen. Det afgørende er her at få taget stilling til, hvorvidt du er dataansvarlig for en behandling af personoplysninger, eller du udelukkende fungerer som databehandler for en dataansvarlig.

En databehandleraftale er en aftale, som en dataansvarlig og databehandler skal indgå, når databehandler behandler personoplysninger på den dataansvarliges vegne og efter dennes instruks.

Den nye skabelon fra Datatilsynet er opdelt i en generel del, hvor oplysninger såsom dataansvarliges adresse mv. anføres. Derefter følger en specialdel, som virksomheden skal ændre og tilpasse til de vilkår, der er gældende for aftaleforholdet.

Læs mere og hent skabelonen

Hvad er en dataansvarlig?

Datatilsynets definition af en dataansvarlig lyder: ”Typisk en virksomhed eller offentlig myndighed, der afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger.”

Det betyder i praksis, at en dataansvarlig f.eks. kan være en offentlig myndighed, der gennem lovgivning er blevet pålagt at behandle personoplysninger på en bestemt måde. Det kan også være en arbejdsgiver, der behandler personoplysninger om sine ansatte og sine kunder, eller en læge, der behandler patientoplysninger i forbindelse med et forskningsprojekt. Når man som virksomheder opbevarer personoplysninger på f.eks. sine medarbejdere for at kunne udbetale løn hver måned, er man dataansvarlig.

Hvad er en databehandler?

Datatilsynets definition af en dataansvarlig lyder: ”Typisk en virksomhed eller offentlig myndighed, der behandler personoplysninger på den dataansvarliges vegne og efter instruks fra den dataansvarlige.”

I praksis betyder det, at en databehandler f.eks. er en virksomhed, som varetager en anden virksomhed eller en myndigheds IT-systemer. Det kan også være en udbyder af et webhotel, der hoster hjemmesider for andre, ligesom en databehandler kan være et inkassobureau, som får overdraget oplysninger fra den dataansvarlige med henblik på inddrivelse af gæld.

En god tommelfingerregel er, at hvis du opbevarer eller behandler personoplysninger for at løse en opgave for andre, så er du med stor sandsynlighed databehandler.

Hvilken rolle har du som virksomhed?

Det er afgørende at gøre sig klart, hvilken rolle du har i forbindelse med behandlingen, fordi kravene til en dataansvarlig og til en databehandler er forskellige. Hvis du er i tvivl om hvilken rolle du har eller hvordan databehandleraftalen skal sammensættes, er du velkommen til at kontakte Azets’ juridiske rådgivning.

Inden du behandler personoplysninger – uanset om de er følsomme eller ej – er det vigtigt, at du får afklaret hvilken rolle du og eventuelle andre parter har i forbindelse med behandlingen. Et typisk eksempel kunne være når en virksomhed lader ekstern leverandør, f.eks. Azets, til at behandle personoplysninger om medarbejdere.

Vejledning fra Datatilsynet

I november 2017 offentliggjorde Datatilsynet en vejledning til dataansvarlige og databehandlere. Formålet med denne vejledning er at hjælpe de private virksomheder, offentlige myndigheder, fysiske personer, institutioner og andre organer med at afklare, om de handler som dataansvarlig eller databehandler, når de behandler oplysninger om andre personer. Vejledningen præsenterer nogle generelle principper, som kan være nyttige at kende, når du skal foretage vurderingen. Datatilsynet har også valgt at give en lang række eksempler, der kan bruges til at afklare, hvorvidt du er dataansvarlig eller databehandler.

Læs mere og hent vejledningen her

Har I brug for hjælp?

Hvis jeres virksomhed ønsker rådgivning omkring dette, er I velkommen til at kontakte mig.

LÆS MERE OM, HVORDAN VI KAN HJÆLPE

Om Lisbeth Lindorff Riis

Lisbeth Lindorff Riis er uddannet Cand.merc.jur fra Handelshøjskolen i Århus og senere Cand.jur fra Københavns Universitet. Lisbeth har 16 års erfaring med juridisk rådgivning inden for HR, herunder persondataretlige problemstillinger - GDPR, ansættelsesret og barsel. I Azets er Lisbeth Head of HR Legal.