Denne artikel er skrevet til virksomheder, som er databehandlere.
I GDPR jargon, så er alle virksomheder dataansvarlige, mens blot nogle er databehandlere. Hvis din virksomhed er databehandler, så er der nogle særlige forhold, som du skal være opmærksom.
Er jeg databehandler?
Du er databehandler, hvis du behandler data på en dataansvarligs vegne. Hvis din kunde kan diktere hvordan du behandler og opbevarer deres data, så er din kunde dataansvarlig, og din virksomhed er databehandler.
Dine pligter som databehandler minder meget om dine pligter som dataansvarlig, men der er dog forskelle, som I bør være særligt opmærksomme på. Denne vejledning forklarer dine pligter som databehandler.
Fortegnelse over behandlingsaktiviteter
Hvis din virksomhed er databehandler, så skal der føres en fortegnelse, og der skal skabes et overblik over hvilke behandlingsaktiviteter der udføres på vegne af den dataansvarlige. Dokumentationskravene som databehandler er lig kravene til den dataansvarlige. Det anbefales, at I blot anvender den samme kortlægningsskabelon uanset om virksomheden er dataansvarlig eller databehandler, da det kan gøre arbejdet mere simpelt. Herunder fremgår minimumskravene til indhold i fortegnelsen for databehandlere:
Navn og kontaktoplysninger
Fortegnelsen skal indeholde dit navn og kontaktoplysninger, og hver dataansvarlig virksomhed, som databehandleren handler på vegne af.
Kategorier af behandlinger
Din fortegnelse skal indeholde oplysning om de kategorier af behandlinger, virksomheden foretager på vegne af den enkelte dataansvarlige.
Tredjelandsoverførsel
Hvis din virksomhed forventer at overføre personoplysningerne til et tredjeland, skal virksomheden informere om det i fortegnelsen med angivelse af det pågældende tredjeland.
Sikkerhedsforanstaltningerne
Hvis det er muligt, skal fortegnelsen indeholde en generel beskrivelse af virksomhedens tekniske og organisatoriske sikkerhedsforanstaltninger.
Sikkerhed – Hvordan griber jeg opgaven an?
I bør foretage den samme gennemgang af jeres behandlingsaktiviteter, som I ville gøre som dataansvarlig. I bør derfor foretage en kortlægning af behandlingsaktiviteten, foretage en risikovurdering, og følge op på denne ved at sikre, at der er passende tekniske og organisatoriske foranstaltninger implementeret i virksomheden.
Indgåelse af databehandleraftale
I skal som databehandlere indgå en bindende kontrakt (en databehandleraftale) med de dataansvarlige virksomheder, som I behandler personoplysninger på vegne af.
Der er en række krav til indholdet af en databehandleraftale, og der vil ikke være tale om en gyldig databehandleraftale, hvis blot ét af kravene ikke fremgår. Anvend evt. Datatilsynets standardskabelon til dette for at sikre at kravene overholdes.