Databehandlerkonceptet er nemt at forstå når vi bruger de nemme eksempler fx er hostingudbyderen databehandler, da denne opbevarer og behandler al data på vegne af kunden.
Men hver eneste samarbejdsrelation, som du har kræver en vurdering af dataansvaret; Hvem er dataansvarlig? Hvem er datahandler? Kan vi begge være dataansvarlige?
Dataansvar
Lad os starte med at definere hvornår man er Dataansvarlig og hvornår man er Databehandler ifølge databeskyttelsesforordningen.
Dataansvarlig
Du er dataansvarlig når du har ansvaret for behandlingen af persondata, samt bestemmer med hvilke redskaber, at persondata skal behandles. Det er muligt at dele dette dataansvar med en anden dataansvarlig.
»dataansvarlig«: en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger; hvis formålene og hjælpemidlerne til en sådan behandling er fastlagt i EU-retten eller medlemsstaternes nationale ret, kan den dataansvarlige eller de specifikke kriterier for udpegelse af denne fastsættes i EU-retten eller medlemsstaternes nationale ret
Databehandler
Du er databehandler når du behandler persondata påvegne af andre dvs. en dataansvarlig. Når du er databehandler, så er det fx din kunde, som har bedt dig om at behandle personoplysninger på sine vegne, samt kan bestemme redskaberne til behandlingen.
»databehandler«: en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der behandler personoplysninger på den dataansvarliges vegne
Konsulentrollerne
I det følgende gennemgås forskellige konsulentroller, hvor der kan være tvivl om dataansvaret.
Vikar
Vikaren er ansat
En vikar indgår som ny arbejdskraft i en typisk ubesat stilling hos en virksomhed. Vikaren arbejder for virksomheden, og skal i jobbet udføre en række opgaver fastsat af arbejdsgiveren, og med hjælpemidler stillet til rådighed af arbejdsgiveren. Vikaren opererer i virksomheden, som virksomhedens øvrige medarbejdere.
Ud fra denne betragtning, så er vikaren ikke databehandler, men nærmere “medarbejder”.
Vikarbureauet kan være databehandler
Vikaren kan også være ansat hos et vikarbureau, som herefter hjælper vikaren med at komme i arbejde ude hos virksomheder med behov for ekstra arbejdskraft. I denne situation, så lønnes vikaren af vikarbureaet, og vikarbureauet kunne derfor være databehandler overfor virksomheden med behov for vikaransatte.
Vikarbureaet vil være databehandler, hvis de har det fulde ansvar overfor vikaren fx for arbejdets udførelse.
Hvis vikaren indgår på samme vilkår, som virksomhedens øvrige ansatte, så er det Datatilsynets tolkning, at vikarbureauet stadig ikke er databehandler.
Konsulent
En konsulent kan udføre mange forskellige typer af opgaver for kunden, og konsulentens dataansvar i disse situationer kan variere.
Først og fremmest, så skal man spørge sig selv om formålet med arbejdet er at behandle personoplysninger.
Hvis formålet er noget helt andet end at behandle personoplysninger fx at lave en analyse af organisationsstrukturen, så er konsulenten formentlig ikke databehandler i denne situation. Skal man som en del af denne opgave foretage flere fokusgruppeinterviews eller andre typer af personregistreringer, så kan man godt være databehandler.
IT-supporter
En ekstern IT-supporter kan have behov for at lave registreringer på medarbejderes computere eller overvåge virksomhedens netværk, samt anvende software til at overtage en medarbejders computer. I dette tilfælde, så foretager IT-supporteren en behandling af personoplysninger, og vil være at betragte som databehandler, da der behandles persondata påvegne af kundevirksomheden.
Hvis IT-supporteren omvendt kommer ind på virksomhedens kontor, og bliver bedt om at sætte en computer op for en ny medarbejder, så er formålet ikke at behandle personoplysninger, og derfor er IT-supporteren ikke databehandler.
Marketing
En marketingkonsulent kan fx hjælpe med hjemmesidestatistik eller administrere sociale medier for en kundevirksomhed. Med adgang til virksomhedens sociale medier, så marketingkonsulenten adgang til kundevirksomhedens følgere, beskeder, mv. Derfor behandles personoplysninger, og konsulenten vil ofte være databehandler.
Hvis marketingkonsulenten ikke har adgang til virksomhedens marketingssystemer og sociale medier, så er det mindre sandsynligt, at der vil foregå en behandling af personoplysninger, og konsulenten vil derfor ikke være databehandler.
HR-rådgiver
En HR-rådgiver kan fx bidrage til rekruttering, udarbejdelse af ansættelseskontrakter eller personalesager. I alle disse tilfælde, så er HR-rådgiverens formål med arbejdet at behandle personoplysninger, og derfor vil HR-rådgiveren ofte være databehandler.
Advokat
En advokatbestalling er reguleret ved lov, og en advokat skal derfor udføre sit arbejde i overensstemmelse hermed. Det betyder, at man som klient hos en advokat (ofte) ikke kan instruere dem i metoderne til behandlingen af personoplysninger. Og derfor er en advokat oftest dataansvarlig – og ikke databehandler.
En advokat kan være databehandler, hvis en kundevirksomhed har behov for hjælp til at administrere en whistleblowerordning.
Kundevirksomheden kan være underlagt et krav om at have en whistleblowerordning, og for at kunne leve op til kravene, så har de brug for hjælp til denne behandling af personoplysninger.
Når denne behandling outsources til en advokat, så er kundevirksomheden afhængig af at advokaten følger de instrukser, som kundevirksomheden er underlagt. Derfor er advokaten databehandler i denne situation.
Revisor
En revisor som tjekker og godkender årsregnskabet skal følge lovkravene hertil. Du kan udelukkende bede en revisor om at revisere regnskabet med henblik på godkendelse, og du kan derfor ikke give instruks om behandlingen. Derfor er en revisor ikke databehandler i denne situation, men dataansvarlig.
Bogholder
En bogholder behandler typisk mange personoplysninger, da disse fremkommer på regnskabsbilagene. Bogføring er en opgave for enhver virksomhed, men nogle vælger at udlicitere denne opgave. Bogholderen modtager instruks fra kundevirksomheden om hvordan at behandlingen skal foretages fx i X regnskabssystem, samt fakturadesign mv.
Bogholderen er derfor databehandler.
Opsummering
Der er mange konsulentroller, som kan behandle persondata påvegne af en dataansvarlig, og som derfor bliver databehandler.
Databehandlerrollen er ikke kun forbeholdt de store techvirksomheder, som opbevarer og behandler vores data, men kan også bogholderen med et deltidsarbejde.
Når der eksisterer en databehandlerrelation, så skal man også indgå en databehandleraftale, som der desuden skal føres tilsyn med.
Læs også artiklen: Tilsyn med databehandlere laves en risikovudering som går yderligere i dybden.