Hvad er en databehandler?

Indsigt
12.12.2024

Der bliver behandlet personoplysninger i alle organisationer, og i de fleste organisationer er der behov for, at den dataansvarlige overlader behandlingen – eller en del af behandlingen – til en anden; en databehandler. Men måske er det vikarer eller konsulenter, som behandler personoplysninger i din virksomhed? Det er afgørende, at du kender forskellen på en databehandler og en konsulent eller vikar, for at du overholder GDPR-reglerne og undgår juridiske risici eller bøder.

Sådan kender du forskel på en dataansvarlig og en databehandler

Det er den dataansvarlige, der bestemmer, hvorfor, hvornår og hvordan I skal behandle personoplysninger i organisationen, og det er derfor den dataansvarlige, der giver instruks om behandling af personoplysninger.

 

Dem, der modtager instruks fra den dataansvarlige om, hvordan personoplysningerne skal behandles, er databehandlere. Ifølge databeskyttelsesforordningen er en databehandler ”en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der behandler personoplysninger på den dataansvarliges vegne”.

 

Derudover vil der kun være tale om en databehandler, hvis personen ikke er ansat hos den dataansvarlige.

Det er vigtigt at kende forskel på en dataansvarlig og en databehandler, idet det, ifølge databeskyttelsesforordningen, ikke er de samme krav, som de hver især skal leve op til. Hvis du vil vide mere om forskellen på en databehandler og en dataansvarlig så lyt til HjulmandKaptains podcast på knap otte minutter om emnet her  

 

Det er ikke kun databehandlere, der kan modtage instrukser fra den dataansvarlige. Det kan vikarer og konsulenter også, men de er ikke underlagt de samme krav. Når du har en databehandler ansat, skal din organisation altid indgå en databehandleraftale. Det er derfor væsentligt, at du kender forskellen på de forskellige medarbejdertyper.

Sådan kender du forskel på en databehandler og en vikar

Det afgørende for, om der er tale om en vikar eller en databehandler, er, om vikaren anses for at være en del af den dataansvarliges juridiske enhed. Hvis personen er ansat hos den dataansvarlige, er der som udgangspunkt tale om en vikar.

 

Der vil f.eks. være tale om en vikar hvis følgende gør sig gældende:

 

  • Hvis vikarens rolle og udførelse af opgaver hos den dataansvarlige er sammenlignelig med de øvrige (fastansatte) medarbejdere
  • Hvis vikaren er underlagt den dataansvarliges direkte instruks
  • Hvis den dataansvarlige fører tilsyn med vikarens arbejde
  • Hvis den dataansvarlige har de samme rettigheder og forpligtelser over for vikaren, som den dataansvarlige har over for eget personale.

Sådan kender du forskel på en databehandler og en konsulent

Det kan ofte volde lidt flere problemer at adskille en databehandler fra en konsulent – særligt IT-konsulenter - idet en IT-konsulent kan minde meget om en databehandler. Det skyldes, at den dataansvarliges rettigheder og forpligtigelser overfor databehandleren og IT-konsulenten er meget sammenlignelig. Den dataansvarliges rettigheder og forpligtigelser over for eget personale og vikarer er typisk også sammenlignelige. Typisk vil konsulenter have en anden arbejdsgiver i modsætning til eget personale og vikarer, som har den dataansvarlige som arbejdsgiver.

 

Sådan vurderer du, om din organisation anvender en konsulent eller databehandler

Når din organisation skal vurdere, om I anvender en konsulent eller en databehandler, skal organisationen tage stilling til, om konsulenten i forbindelse med opgavevaretagelsen behandler personoplysninger på vegne af den dataansvarlige. Det afgørende vil være, om dén ydelse der købes af konsulenten helt eller delvist drejer sig om, at konsulenten skal behandle personoplysninger til den dataansvarliges formål og under dennes instruks. For hvis den gør det, så er der tale om en databehandler.

 

Hvis konsulenten blot i forbindelse med leveringen af ydelsen har behov for at behandle personoplysninger – og leveringen derimod ikke består af behandling af personoplysninger – anses konsulenten som selvstændig dataansvarlig, og ikke som en databehandler. Konsulenten kan f.eks. have behov for en række kontaktoplysninger på medarbejdere for at kunne levere ydelsen, men dette gør ikke konsulenten til en databehandler.

Eksempel på en konsulent

En it-konsulent hyres til at finde og afhjælpe en fejl i software indkøbt af den dataansvarlige til behandling af personoplysninger. Det er ikke en del af it-konsulentens opgave at behandle personoplysninger i softwaren, idet it-konsulentens opgave er at udbedre softwarens kildekode. Derfor kan konsulenten ikke kategoriseres som en databehandler.

 

Eksempel på en databehandler

Hvis konsulentens opgave helt eller delvist drejer sig om behandling af personoplysninger, er der tale om en databehandler. F.eks. hvis den dataansvarlige hyrer en ekstern virksomhed til at levere et system, hvori der skal behandles personoplysninger, og virksomheden løbende foretager support samt har adgang til den dataansvarliges personoplysninger, så vil der være tale om en databehandler.

Husk, at hvis der er tale om en databehandler, skal din organisation sørge for at indgå en databehandleraftale.

 

Lad HjulmandKaptains specialister i databeskyttelse hjælpe dig

Er du i tvivl, om din organisation anvender databehandlere, og hvilke forpligtelser I har som organisation? Så kontakt HjulmandKaptains specialister i databeskyttelse. Vi står altid klar til at svare på dine spørgsmål.

Vi kan hjælpe dig med:

•    At rådgive og vejlede om placeringen af dataansvaret
•    At gennemgå og rådgive om eventuelle ændringer i en databehandleraftale
•    At forhandle databehandleraftalen på plads med din leverandør eller kunde
•    At udarbejde hele databehandleraftalen

Kontakt

Mød teamet

Del:

Vores specialister i persondata og databeskyttelse