Databehandlere er et af de helt centrale koncepter i databeskyttelsesforordningen, og det har betydning for alle virksomheder.
For at forklare hvad en databehandler er, så starter vi med at forklare hvad en dataansvarlig er.
Dataansvarlig
En dataansvarlig kan være en virksomhed, som behandler oplysninger om sine kunder.
Eksempel: En webshop sælger produkter via sin hjemmeside, og behandler oplysninger om de privatpersoner, som køber produkterne. Webshoppen er dataansvarlig.
En dataansvarlig er ansvarlig for hvordan personoplysninger behandles.
Databehandler
En databehandler kan være en virksomhed, som behandler personoplysninger på andres vegne.
Eksempel:
Virksomhed A: sælger webshop løsninger til virksomhed B, som ønsker at sælge sine produkter på internettet.
Virksomhed A: har adgang til data i webshoppen for at kunne levere sin webshopløsning til kunden (virksomhed B).
Virksomhed B: er dataansvarlig og beder derfor virksomhed A om behandle personoplysninger på dennes vegne. Virksomhed A er databehandler.
Databehandleren er ansvarlig for at efterleve databehandleraftalen med den dataansvarlige.
Databehandleraftaler
Hvis du er dataansvarlig, så skal dine databehandlere behandle persondata efter dine krav.
Disse krav skal du indskrive i en databehandleraftale, og dette er et lovkrav. Du skal indgå en databehandleraftale med alle dine databehandlere.
Databehandleraftaler i praksis
Du har ansvaret for, at der indgås en databehandleraftale, men i praksis så udarbejder databehandlerne ofte disse som en del af deres standardaftale.
Dette kan give dig en udfordring i praksis, da det svært at ændre databehandleraftaler med fx store softwareudbydere.
Du bør sikre dig, at databehandlerens standardaftale efterlever dine krav til behandlingssikkerheden inden, at du begynder at bruge deres systemer.
Tilsyn med databehandlere
GDPR-reglerne kræver, at man efterlever princippet om privacy by design.
I praksis skal du ved tilrettelæggelsen af din behandling af persondata indføre dette princip på basis af en risikovurdering.
Sådan laver du et tilsyn med en databehandler
Når du skal lave et tilsyn med en databehandler, så bør det omfatte et tilsyn med, at den indgåede databehandleraftaler overholdes.
Der er umiddelbart 3 tilgange til at foretage et tilsyn:
- Din databehandler kan selv stille en uafhængig tilsynsrapport til rådighed via fx hjemmesiden eller fremsende denne via mail. Google har eksempelvis uploadet deres tilsynsrapporter på deres hjemmeside.
- Du kan selv hyre e