Denne artikel er skrevet til virksomheder, som er databehandlere.
I GDPR jargon, så er alle virksomheder dataansvarlige, mens blot nogle er databehandlere. Hvis din virksomhed er databehandler, så er der nogle særlige forhold, som du skal være opmærksom.
Er jeg databehandler?
Du er databehandler, hvis du behandler data på en dataansvarligs vegne. Hvis din kunde kan diktere hvordan du behandler og opbevarer deres data, så er din kunde dataansvarlig, og din virksomhed er databehandler.
Dine pligter som databehandler minder meget om dine pligter som dataansvarlig, men der er dog forskelle, som I bør være særligt opmærksomme på. Denne vejledning forklarer dine pligter som databehandler.
Fortegnelse over behandlingsaktiviteter
Hvis din virksomhed er databehandler, så skal der føres en fortegnelse, og der skal skabes et overblik over hvilke behandlingsaktiviteter der udføres på vegne af den dataansvarlige. Dokumentationskravene som databehandler er lig kravene til den dataansvarlige. Det anbefales, at I blot anvender den samme kortlægningsskabelon uanset om virksomheden er dataansvarlig eller databehandler, da det kan gøre arbejdet mere simpelt. Herunder fremgår minimumskravene til indhold i fortegnelsen for databehandlere:
Navn og kontaktoplysninger
Fortegnelsen skal indeholde dit navn og kontaktoplysninger, og hver dataansvarlig virksomhed, som databehandleren handler på vegne af.
Kategorier af behandlinger
Din fortegnelse skal indeholde oplysning om de kategorier af behandlinger, virksomheden foretager på vegne af den enkelte dataansvarlige.
Tredjelandsoverførsel
Hvis din virksomhed forventer at overføre personoplysningerne til et tredjeland, skal virksomheden informere om det i fortegnelsen med angivelse af det pågældende tredjeland.
Sikkerhedsforanstaltningerne
Hvis det er muligt, skal fortegnelsen indeholde en generel beskrivelse af virksomhedens tekniske og organisatoriske sikkerhedsforanstaltninger.
Sikkerhed – Hvordan griber jeg opgaven an?
I bør foretage den samme gennemgang af jeres behandlingsaktiviteter, som I ville gøre som dataansvarlig. I bør derfor foretage en kortlægning af behandlingsaktiviteten, foretage en risikovurdering, og følge op på denne ved at sikre, at der er passende tekniske og organisatoriske foranstaltninger implementeret i virksomheden.
Indgåelse af databehandleraftale
I skal som databehandlere indgå en bindende kontrakt (en databehandleraftale) med de dataansvarlige virksomheder, som I behandler personoplysninger på vegne af.
Der er en række krav til indholdet af en databehandleraftale, og der vil ikke være tale om en gyldig databehandleraftale, hvis blot ét af kravene ikke fremgår. Anvend evt. Datatilsynets standardskabelon til dette for at sikre at kravene overholdes.
Rammen for behandlingen af personoplysninger
Der er en række elementer som skal indgå i databehandleraftalen for at fastsætte rammen for behandlingen af personoplysninger. Ved at anvende Datatilsynets standardskabelon, så sikrer I jer, at I efterlever minimumskravene hertil.
Krav om dokumenteret instruks
Som databehandler må I kun behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige virksomhed.
Det vil sige, at I ikke må anvende personoplysningerne til andre formål end til netop løsningen af den opgave, som den dataansvarlige virksomhed har givet jer. Desuden må I ikke løse opgaven på andre måder eller med andre midler, end hvad der er aftalt med den dataansvarlige.
Hvis I som databehandler efter EU- eller national lovgivning f.eks. skal videregive personoplysninger til en anden virksomhed eller myndighed – uden at have fået instruks fra den dataansvarlige herom – vil I lovligt kunne gøre dette. I dette tilfælde, skal I forinden underrette den dataansvarlige virksomhed om, at I er underlagt EU eller national lovgivning, som kræver, at videregivelsen skal ske.
I kan kun undlade at underrette den dataansvarlige, hvis det sker af hensyn til vigtige samfundsmæssige interesser.
Underdatabehandlere
Der er særlige krav til jeres anvendelse af underdatabehandlere, og disse skal fremgå af jeres databehandleraftale med den dataansvarlige virksomhed. Hvis din underdatabehandler ikke opfylder sine databeskyttelsesforpligtelser, vil det være dig som databehandler, der er fuldt ansvarlig over for den dataansvarlige virksomhed for opfyldelsen af underdatabehandlerens pligter (kædeansvar). Kravene til brug af databehandlere (og underdatabehandlere) fremgår af artikel 28 i databeskyttelsesforordningen, og I bør læse disse regler, hvis I står i denne situation.
Samarbejde med den dataansvarlige virksomhed
Som databehandler skal du i forskellige sammenhænge hjælpe og bistå den dataansvarlige virksomhed.
Du skal så vidt muligt bistå den dataansvarlige virksomhed med at opfylde anmodninger fra den registrerede om f.eks. at se egne personoplysninger (indsigt) eller sletning af personoplysninger.
Herudover skal du som databehandler bistå den dataansvarlige virksomhed med at:
- etablere et passende sikkerhedsniveau.
- eventuelt finde de relevante oplysninger eller udarbejde redegørelser til brug for den dataansvarliges underretning til Datatilsynet og den registrerede om sikkerhedsbrud.
- eventuelt være behjælpelig med at udarbejde konsekvensanalyse vedrørende databeskyttelse og høring af Datatilsynet herom.
Desuden skal du som databehandler stille alle de oplysninger til rådighed for den dataansvarlige, som er nødvendige for at vise, at kravene til og forpligtelserne i databehandleraftalen er overholdt, samt bidrage til revisioner/inspektioner, der foretages af den dataansvarlige virksomhed.