Placering af dataansvaret i praksis

GDPR nyt, marts 2019

Hvordan placeres dataansvaret i praksis?

At finde frem til hvem, der er ansvarlig for behandling af personoplysninger, kan lyde simpelt i teorien, men møder mange udfordringer i praksis. Det kommer bl.a. til udtryk i nye vejledende principper fra Datatilsynet om konkrete aktører som vikaren og konsulenten.

Ifølge databeskyttelsesforordningen er den dataansvarlige den, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger. Den dataansvarlige er altså den aktør, der bestemmer, hvorfor og hvordan oplysninger behandles.

Hertil kommer rollen som databehandler, der i forordningen er defineret som den, der behandler oplysninger på vegne af den dataansvarlige, og som altså derfor som udgangspunkt ikke selv kan afgøre formål eller hjælpemidler i forbindelse med behandlingen af de pågældende personoplysninger. Man siger også, at behandlingen sker under den dataansvarliges instruks.

Vi bruger dog ofte databehandlere pga. deres tekniske kompetencer, hvorfor databehandleren i stigende grad har i hvert fald indflydelse på, hvordan vi behandler oplysninger, altså hjælpemidlerne. Det væsentligste at se på ved fastlæggelse af dataansvaret er derfor, hvem der beslutter selve formålet med behandlingen af personoplysninger, herunder hvilke oplysninger der skal behandles, hvor længe og hvem de eventuelt skal deles med.

Som følge af en række spørgsmål om placering af dataansvaret for særligt konsulenter og vikarer udgav Datatilsynet den 21. februar 2019 nogle vejledende principper om netop disse aktører. Teksten – der i sin fulde længde kan læses her – skal ses som et supplement til Datatilsynets generelle vejledning om dataansvarlige og databehandlere, som findes her.

Nedenfor ridses principperne kort op.

IT-konsulenten – dataansvarlig eller databehandler?

Det første og afgørende spørgsmål som man bør stille sig selv, når man involverer f.eks. en IT-konsulent i en opgave, er, hvorvidt konsulenten som led i opgaven bliver bedt om at behandle personoplysninger på vegne af den dataansvarlige. Er konsulentens eneste opgave f.eks. at rette fejl i den dataansvarliges software består opgaven ikke i en instruks om behandling af personoplysninger – heller ikke selvom softwaren af den dataansvarlige anvendes til behandling af personoplysninger.

De personoplysninger, som IT-konsulenten har brug for at behandle med henblik på at komme i kontakt med den dataansvarlige (typisk kontakt- og betalingsoplysninger) i forbindelse med at løse den pågældende opgave, er konsulenten selvstændig dataansvarlig for. Datatilsynet bruger i deres vejledning også eksemplet med håndværkeren, der har brug for navn og adresse på den, han skal løse opgaven hos. Han vil ligeledes være selvstændig dataansvarlig for disse oplysninger, da han afgør både formål og hjælpemidler til behandlingen, og da hans opgave for kunden ikke består af behandling af personoplysninger.

Består opgaven derimod i, at IT-konsulenten mere løbende foretager fejlsøgning og også bistår med at rette eventuelle fejl i registreringer indeholdende personoplysninger, er der formentlig tale om en databehandlerkonstruktion, fordi behandlingen vil ske til den dataansvarliges formål og efter dennes instruks.


Vikaren – dataansvarlig, databehandler eller…?

Det er en forudsætning for databehandlerkonstruktionen, at databehandleren ikke er en del af den dataansvarliges ”juridisk enhed” (fx et selskab), hvorfor fx en ansat hos den dataansvarlige ikke vil blive betegnet ”databehandler”, selvom den pågældende selv sagt behandler oplysninger på vegne af den dataansvarlige (arbejdsgiveren) og efter dennes instruks.

Det er Datatilsynets umiddelbare opfattelse, at en vikar må anses for at være en del af den dataansvarliges juridiske enhed, selvom situationen typisk vil være den, at vikaren er ansat og aflønnes af et vikarbureau, som er en anden juridisk enhed end den dataansvarlige. Dette vil være tilfældet, når vikarens rolle hos den dataansvarlige kan sidestilles med de øvrige medarbejderes.

Vikaren er således hverken databehandler eller selvstændig dataansvarlig, men hører under den dataansvarliges behandling af personoplysninger.


Opsummering

Når det skal vurderes, om der er tale om en databehandlerkonstruktion, selvstændigt dataansvar eller noget helt tredje (f.eks. fælles dataansvar, som vi ikke berører nærmere i dette nyhedsbrev), afhænger det altså i høj grad af, hvad opgaven går ud på.

Er der tale om en instruks fra den dataansvarlige om at behandle dennes personoplysninger til bestemte formål og evt. med fastlagte hjælpemidler, så må der være tale om en databehandlerkonstruktion. Har den anden part derimod egne lovlige formål med behandlingen af de pågældende personoplysninger, taler det i retning af et selvstændigt dataansvar.

 

GDPR NYT

Arbejder du med GDPR, og vil du holdes opdateret på regler og praksis, kan du med fordel tilmelde dig vores GDPR NYT, som udelukkende omhandler nyheder og artikler inden for databeskyttelsesområdet.

Spørgsmål

Har du spørgsmål til emnet eller brug for rådgivning står vores persondatateam altid klar til at yde kvalificeret rådgivning.

 

 

Indlæg af
Jesper Løffler Søgaard Nielsen

Jesper Løffler Søgaard Nielsen

Associeret partner, advokat (L), Ph.D. Læs mere
Helene Arensbak Mørk

Helene Arensbak Mørk

Advokatfuldmægtig Læs mere