PrivatErhvervOm Advodan
Jylland
Sjælland
Bornholm

Persondata: Behov for en databehandleraftale eller ej?

Persondataforordningen er lige på trapperne, og i en kombination af travlhed og uvidenhed vil nogle virksomheder måske bruge unødig tid på at indgå databehandleraftaler i tilfælde, hvor det slet ikke er nødvendigt. Bliv klogere på behovet for databehandleraftaler her.

Lige nu har rigtig mange danske virksomheder travlt med at kortlægge data og afdække, om de er dataansvarlige eller databehandlere, når de håndterer personlige oplysninger om medarbejdere, kunder, online-brugere osv. Det fortæller advokat og persondataspecialist Lars Emde Poulsen fra Advodan Slagelse.

”I forlængelse af denne datakortlægning er det vigtigt, at virksomhederne lærer at skelne mellem situationer, hvor en databehandleraftale mellem en virksomhed og en underleverandør er nødvendig – og ikke mindst hvornår den er unødvendig,” siger han.

 

Aftale nødvendig - databehandleraftale

En skriftlig databehandleraftale er nødvendig, når en dataansvarlig virksomhed videresender data til en underleverandør, som skal behandle disse data udelukkende efter instruks fra den dataansvarlige og udelukkende til at opfylde den dataansvarliges formål. Det kan fx være underleverandører såsom hosting virksomheder og lønbureauer.

Som hovedregel skal man være opmærksom på, at når man som virksomhed i princippet kan udføre en opgave selv, men vælger at lade en underleverandør varetage behandlingen af data, så kan der være behov for en databehandleraftale.

 

Aftale unødvendig - databehandleraftale 

En databehandleraftale er til gengæld ikke nødvendig, hvis eksempelvis en håndværksvirksomhed laver en aftale med en kunde om levering af en håndværksydelse. Databehandleraftalen er unødvendig, fordi behandlingen af personoplysninger i dette tilfælde ikke er hovedydelsen.

Den erhvervsdrivende har dog stadig pligt til at oplyse kunden om, hvordan hans/hendes personoplysninger bliver behandlet i virksomheden, ligesom virksomheden skal sikre sig, at den har et lovligt grundlag til at videregive oplysningerne.

En databehandleraftale er heller ikke nødvendig, hvis en virksomhed fx ønsker at tilbyde sine medarbejdere en sundhedsforsikring og af den grund videregiver personoplysninger til det forsikringsselskab, som ønsker at sælge en sundhedsforsikring.

Databehandleraftalen mellem virksomheden og forsikringsselskabet er unødvendig, fordi behandlingen af personoplysninger ikke er den ydelse, som forsikringsselskabet sælger – og det er i øvrigt heller ikke en ydelse, som virksomheden selv vil kunne udføre.

 

Indgå fortrolighedsaftaler i stedet for databehandleraftale

I stedet for databehandleraftaler bør mange virksomheder bede deres underleverandører, som har adgang til data, men ikke behandler data, om at underskrive fortrolighedsaftaler eller tavshedserklæringer.

I de aftaler bør underleverandørerne skrive under på, at de data de har adgang til, ikke bliver misbrugt eller videregivet, og at koder mv. bliver opbevaret fortroligt og sikkert. Det kan fx være et rengøringsfirma eller  et webbureau, der hjælper med udvikling af hjemmeside og intranet. 

 

Brug for hjælp til din databehandleraftale?

Hvis du er i tvivl om, hvorvidt din virksomhed er dataansvarlig, databehandler eller om der er behov for en databehandleraftale i det hele taget, findes der flere gode eksempler i Datatilsynets vejledning om dataansvarlige og databehandlere, som du kan finde her.

 

Indsender formularen...

Få hjælp til databehandleraftalen i dag.

36 kommentar

0 / 700 tegn

Marie

Hej Karsten, Jeg er lidt i tvivl. Er det korrekt forstået at hvis en virksomhed laver aftale med fx et konsulentfirma, som i forbindelse med deres ydelse skal snakke med medarbejderne, så skal der laves en databehandleraftale, da de vil få adgang til navne og firma e-mails, for at kontakte medarbejderne i forbindelse med ydelsen? (Virksomheden får fx resultatet tilbage i anonym form). Jeg er derudover meget i tvivl om der derudover skal gives accept fra medarbejdere, om at der deles informationer til konsulentfirmaet eller om det er "nok" at man får lavet Databehandleraftalen?

Karsten Holt

Hej Marie. Det er lidt svært at svare præcist, når du ikke skriver, hvad konsulenterne skal lave for jer, for det afhænger bl.a. af, om det er en central del af deres ydelse, at de skal behandle persondata. Hvis de alene skal have oplyst navne og mailadresser, men i øvrigt ikke behandler oplysninger om medarbejderne, er en databehandleraftale ikke nødvendig. Da definitionen af personoplysninger imidlertid er ret bred, må jeg vide mere for at kunne svare. Hvis I som virksomhed i øvrigt har et gyldigt behandlingsgrundlag for den aktivitet, som I vil gennemføre (som jeg ikke ved, hvad er), skal man ikke have samtykke for at benytte en ekstern leverandør/databehandler, da det stadig er virksomheden, der er dataansvarlig. Derimod vil det normalt kræve samtykke, hvis man videregiver personoplysninger til eksterne, der benytter data til egne formål, og som ikke er nødvendigt for at opfylde ansættelsesaftale eller lovkrav (som f.eks. bank, pensionsselskab, SKAT mv. er det).

Henrik

Hej Karsten (m.fl.) Jeg har udviklet en hjemmeside til undervisningssektoren. Her kan kunder (= skoler eller lærere på skoler) købe sig adgang til sidens materiale i en slags abonnementsordning, hvor der betales et årligt abonnementsgebyr. Herefter får de tilsendt et brugernavn (= skolens navn) samt en personlig kode, genereret af et modul i WordPress. Koden tilsendes skolen/læreren. Jeg opbevarer skolens (eller lærerens) mailadresse i en database, således at jeg året efter kan udsende en regning for abonnementet det følgende år ved fornyelse af abonnementet. Den fremsendte kode gemmer jeg ikke, og hvis en bruger glemmer koden, genereres en ny, da jeg naturligvis ikke kan genfremsende en kode. Om kunderne gemmes kun skolens/lærerens navn samt mailadresse. Skal jeg have en databehandleraftale?

Karsten Holt

Hej Henrik Når de eneste personoplysninger, du behandler, er kontaktoplysninger på kunder til brug for fakturering og administration af kundeforholdet, er der ikke tale om en databehandlerkonstruktion. Din virksomheds primære ydelse er at stille materiale til rådighed, ikke at behandle personoplysninger. Du er selvstændigt dataansvarlig for de (få) personoplysninger, du behandler.

Oscar

Hejsa, Jeg er en webdesigner, og skal bruge email fra kunder til hosting og webopsætning. Jeg tilbyder også mådeslige vedligeholdelsespakker til mine klienter. Dvs. at jeg vedligeholder deres hjemmeside. Hvis jeg står overfor et problem jeg ikke kan løse, og blive nødt til at indblande en tredjepart som skal have oplyst min kundes email for at kunne løse problemet, er jeg så databehandler? Jeg bruger pt. Fiverr til at løse mine problemer. Tak på forhånd!

Dennis

Hvad hvis en dataansvarlig ikke ønsker at indgå en databehandleraftale, men stadig begynder at sende persondata som telefonnumre på medarbejdere... så bliver leverandøren jo automatisk til dataansvarlig, hvis denne tager imod de persondata og behandler dem alligevel. Ved eks. standardløsninger, hvor man kan oprette en konto uden manuel hjælp fra en medarbejder, ville det jo betyde at man som leverandør skal igennem alle kunder uden databehandleraftale, for at se om de sender personoplysninger, som ikke er omfattet af en DBA, for at sikre, at man så overholder oplysningspligten osv, uden at man egentlig som leverandør har ønsket at blive dataansvarlig for kundens kunder/medarbejdere/samarbejdspartnere. Så mit spørgsmål: Hvis en kunde aktivt fravælger indgåelse af DBA, evt. med en erklæring om at de ikke vil komme til at sende personoplysninger, vil det så betyde at man som leverandør så alligevel IKKE er dataansvarlig? Og ansvaret dermed ligger hos kunden?

Karsten Holt

Hej Dennis Jeg antager, at du repræsenterer en databehandler. Du skriver ikke, hvad jeres ydelse går ud på. Derfor er det ikke muligt at sige, om der skal indgås en databehandleraftale. Behandling af kontaktoplysninger på kundens medarbejdere, som er nødvendige for at levere ydelsen, forudsætter ikke en databehandleraftale. Det afgørende er, om selve kerneydelsen består i at behandle personoplysninger. Der er en del gråzoner, så du bør få konkret rådgivning. Venlig hilsen Karsten Holt

Dennis

Hej igen Karsten. Vores ydelse går ud på levering af SMSer. Disse SMSer sendes fx til medarbejdere, slutkunder, samarbejdspartnere, m.fl. Selve hovedydelsen indebærer videresendelse ved transmission af personoplysninger, så i min optik bør der være en databehandleraftale, som regulerer, hvad personoplysninger må bruges til, da der ellers ville være frit slag for os som databehandler til at kunne bestemme formålet med indsamlingen af data samt brugen af data. Kunder kan finde på at afvise databehandleraftaler, fordi de mener, at de ikke er dataansvarlige for de data, de sender til os. Dermed bliver vi automatisk til dataansvarlige, hvilket pålægger os højere krav ift. databeskyttelse. Der findes i mellemtiden kunder, der rent faktisk sender os telefonnumre, som IKKE er personhenførbare (eks. ved IoT-løsninger). Påhviler ansvaret for indgåelse af databehandleraftaler - givet der reelt er tale om databehandling af personhenførbare oplysninger - på den dataansvarlige eller på databehandleren? Eller med andre ord: vil Datatilsynet slå ned på databehandlere, der ikke har opdaget, at de data, de bruger, er persondata, eller vil de mere sandsynligt slå ned på dataansvarlige, der AKTIVT har AFVIST en databehandleraftale? Den er lidt tricky...

Karsten Holt

Hej igen Det er først og fremmest den dataansvarlige, der skal sikre, at der er indgået en databehandleraftale med alt det, som GDPR art. 28 kræver. Databehandleren skal - udover at have styr på egen sikkerhed - blot sikre, at han handler indenfor instruksen fra databehandleren. Instruksen (= beskrivelsen af en opgave, der skal udføres) kan fremgå af den kommercielle aftale. Nogle af de internationale databehandlere løser det ved, at der i den kommercielle aftale (licensvilkårene) er en henvisning til en databehandleraftale, som kunden selv kan downloade og underskrive fra databehandlerens hjemmeside. Det behøver således ikke være et selvstændigt problem for databehandleren, at den dataansvarlige ikke vil skrive på en databehandleraftale. Man bliver kun selvstændigt dataansvarlig, hvis man begynder at anvende data til egne formål - altså udover instruksen.

Dennis

Hej igen Ud fra en mail fra Datatilsynet, som siger, at man bliver selvstændig dataansvarlig, så snart man behandler data, uden at der foreligger en instruks fra en dataansvarlig (hvilket jo ville være tilfældet, når vi har et standardprodukt som nogle dataansvarlige ikke indgår en DBA om), så vil det betyde at vi faktisk ER dataansvarlig. Du skriver, at det er dataansvarliges ansvar at indgå en databehandleraftale, men skriver efterfølgende at mange databehandlere har en standard databehandleraftale inkl. instruks (som jeg forresten ikke mener er selve hovedopgaven, men derimod de formål i den behandling, der indgår i hovedopgavens udførelse), som dataansvarlige kan downloade og indgå. Det hænger ikke helt sammen, for hvis dataansvarlige er ansvarlige for indgåelse af databehandleraftalen, så må det være den dataansvarlige, som fremlægger krav til sikkerhed, formål med behandling, længden af behandling, etc, altså alle de dele, der indgår i databehandleraftalen. Man kan selvfølgelig sige, at en virksomhed kun tager imod kunder, der kan acceptere de forhold, virksomheden kan levere ift. databehandling. Men jeg ser det stadig som dataansvarliges pligt at udforme en instruks, at bestemme, hvordan data skal bruges, etc. Ellers bliver det også ret svært for den dataansvarlige at have en og samme niveau ift. databeskyttelse hos alle databehandlere og underdatabehandlere. Hvordan kan en databehandler sikre, at han arbejder ud fra en dataansvarliges instruks, hvis den dataansvarlige ikke giver en instruks, og databehandler ikke indhenter denne instruks?

Karsten Holt

Mit budskab var, at du godt kan handle efter instruks, uden at der er indgået en databehandleraftale. Instruksen er beskrivelsen af det arbejde, databehandleren skal udføre med kundens data. Og ja, det det er den dataansvarlige, der skal kræve den sikkerhed hos databehandleren, som dataene fortjener - men det er der ikke mange, der tænker over. Mange accepterer bare en generisk beskrivelse af sikkerhedsforanstaltninger. Kravene behøver ikke være de samme overfor alle databehandlere, for det afhænger jo helt af, hvad databehandleren skal behandle.

Heidi

Hej Karsten Vi har en portal, hvor man kan anmode om 3 tilbud på en ydelse fra forskellige udbydere. Vi beder vores private brugere, som anmoder om tilbud, om at oplyse navn, alder, email og postnummer. De tilknyttede virksomheder kan alle se alder og postnummer i vores backend-system, men kun virksomheder, der køber adgang til det, kan se navn og mail på brugeren. Vi får ikke andre oplysninger end de nævnte fra brugerne, og alt kontakt mellem virksomhed og bruger er udenom os og vores systemer. Skal vi have aftaler med de virksomheder, der er tilknyttet vores portal? På forhånd tak! Mvh. Heidi

Karsten Holt

Hej Heidi Du skriver ikke, hvilken type ydelser, der er tale om, men jeg går ud fra, at I har vurderet, at alder er en nødvendig oplysning? I skal opfylde jeres oplysningspligt efter GDPR art. 13 overfor brugerne, og I skal selvfølgelig have aftaler med jeres kunder (virksomhederne), men det er ikke databehandleraftaler, der skal laves, da formålet med portalen ikke er at behandle personoplysninger, men at formidle tilbud.

Steen Holst

Hejsa Jeg er ansvarlig for vores Databehandler aftaler og SLA aftaler, og nu er vores firma fusioneret med et andet IT firma, og det er endt med et nyt firma og nyt CVR, så mit spørgsmål går på om nu hvis det er sket skal vi så have lavet alle vores Databehandleraftaler mm igen under det nye navn / CVR? Og noget andet, skal man ikke have en form for disclaimer / kundegodkendelse når man laver support remote eks. igennem Teamviewer, så kunden om det er firma eller private, er klar over at man kan komme til at se persondata / følsomme data. ?

Karsten Holt

Hej Steen Databehandleraftalen skal beskrive parterne korrekt. Det kan muligvis klares med et tillæg til aftalen, men jeg vil anbefale, at I benytter lejligheden til at få opdateret aftalerne. Hvis I tidligere har taget udgangspunkt i Datatilsynets skabelon til databehandleraftale, skal I være opmærksom på, at denne er opdateret lige før jul på baggrund af bemærkninger fra EU. Du kan finde den nye skabelon her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2019/dec/standardkontraktsbestemmelser-vedtaget-af-datatilsynet/ Hvis I kun har adgang til kundernes data gennem teamviewer og således ikke har en fast adgang som administrator - og heller ikke opbevarer data for kunderne (opbevaring = behandling), er det min opfattelse, at I ikke behøver en databehandleraftale, men kan nøjes med en tavshedspligtsbestemmelse i jeres aftale med kunden. Jeres medarbejdere skal selvfølgelig også have underskrevet en tavshedspligtsbestemmelse i deres ansættelse,

Pernille

Vi er en engrosvirksomhed, der bl.a. importerer og videresælger rehab maskiner, hvor brugerens data og udvikling registreres i en medfølgende app. Oplysningerne om den enkelte bruger behandles udelukkende af vores underleverandør (producenten af maskinerne). Data passerer ikke på nogen måde vores virksomhed. Vores køber har stillet krav om at indgå en databehandleraftale med os, hvori indgår dokumentation for, at vi stiller samme krav til vores underleverandør (producenten). Det har vi gjort, men køber stiller også krav om, at vi dokumenterer, at vi lever op til databehandlerkravene (altså har ledelsessystemer, proces for sletning osv). Er det sidstnævnte krav nødvendigt? Når data ikke passerer os, giver proces for sletning jo f.eks ikke meget mening. Mvh Pernille

Karsten Holt

Hej Pernille Det er et ret komplekst spørgsmål, som jo indeholder 4 led: Producenten, importøren (jer), kunden (træningscentret) og brugeren. I har ingen direkte aftale med brugerne, så jeg er enig i, at det virker tungt, hvis I skal indgå databehandleraftaler, når I ikke har kontakt til brugeren og heller ikke kommer i berøring med deres data. Kan det ikke tænkes, at brugeren ved installation af app'en faktisk tiltræder vilkår/indgår aftale direkte med app-udvikleren. I så fald er det nok app-udvikleren, der må anses som dataansvarlig og skal opfylde oplysningspligten mv. overfor brugeren, Jeg forudsætter, at maskinerne kan bruges uden app'en, så der er et reelt frit valg for brugerne,

Gitte

Jeg er startet som selvstændig bogholder. Mine kunder vil blive virksomheder som beder mig om at bogføre deres regnskab i et regnskabsprogram (e-conomic, dinero osv), og lave deres løn for ansatte i et lønsystem. Arbejdet vil jeg udføre på min egen adresse. Jeg vil komme til at få digital adgang til deres bankkonto, skat m.v. Diverse dokumenter vedr deres regnskab vil komme til at figurere på min pc. Desuden vil jeg også komme til at opbevare deres bilag fysisk på min adresse. Hvad har jeg brug for?

Karsten Holt

Hej Gitte Det er et meget bredt spørgsmål, for der er mange ting, man skal være opmærksomme på for at overholde GDPR. Du kan læse en del artikler herom på vores hjemmeside. Men for lige at tage 2 af de vigtige, så skal du lave databehandleraftaler med dine kunder, og du skal sørge for, at kommunikationen med dine kunder er krypteret, hvis der udveksles følsomme eller fortrolige oplysninger, herunder CPR-numre.

Lars

Hej Karsten. Vi bruger i vores virksomhed en underleverandør til hosting af vores exchange server samt domæne controller, begge dele styres af os selv, men de har "drift" ansvaret (opdateringer og overvågning af performance). Exchange serveren har ansattes navne samt firmamailadresser, der er ikke tale om cpr eller anden info. samme gør sig gældende for vores domæne controller, skal vi have en databehandler aftale med vores leverandør? Det er dedikerede servere som leverandøren kun opdaterer og holder øje med oppetid osv. Venlig hilsen Lars

Karsten Holt

Hej Lars Mht. exchange-serveren, så indeholder mailsystemet en masse data, som for en dels vedkommende er persondata. Der er derfor for mig ikke tvivl om, at en leverandør, der hoster mailserveren, er databehandler. Bemærk, at "behandling" også omfatter opbevaring, så det betyder intet, om leverandøren gør noget aktivt med data eller blot opbevarer dem. For så vidt angår hosting af domæne afhænger det af, hvad hjemmesiden indeholder. Da det imidlertid er samme leverandør, er der ikke tvivl om, at I skal have en databehandleraftale med vedkommende.

Simone

Hej Karsten, Jeg er startet i en virksomhed, hvor jeg skal varetage og vedligeholde GDPR. Vi sidder mange medarbejdere og har alle adgang til oplysninger i forhold til fulde navn, adresse, fødselsdag, nærmeste pårørende osv. Vi har lavet samtykkeerklæring som er underskrevet, fra hver enkelt, om at vi må have disse oplysninger stående. Er det så ydereligere relevant at de skal underskrive en databehandleraftale? Vi har derudover to eksterne firmaer, det ene et IT som styre alt med oprettelser til nye medarbejdere, som også har adgang til personlige oplysninger, og det samme med vores eksterne økonomi afdeling som sørge for løn. Disse to skal vel underskrive en dataansvarligaftale, eller har jeg forstået det helt forkert? Mvh. Simone

Karsten Holt

Hej Simone Jeg tror du har misforstået reglerne. Samtykke er ikke det mest velegnede behandlingsgrundlag, når vi taler om behandling af medarbejdernes oplysninger. De nødvendige oplysninger kan behandles efter databeskyttelseslovens § 12. Husk at hvis du baserer behandling på samtykke, skal du stoppe behandlingen, hvis samtykket trækkes tilbage, og det går ikke, hvis de stadig er ansat. Man laver heller ikke databehandleraftaler med ansatte - dem kan man udstede instrukser og retningslinjer til, som de skal følge. Databehandleraftaler laver man med leverandører, som behandler personoplysninger på virksomhedens vegne, f.eks. en IT-service leverandør, der har adgang til virksomhedens data, eller en lønbureau.

Jørn

På Advodan's hjemmeside slås det fast, at tilbud til medarbejderne af en sundhedsforsikring ikke kræver databehandler aftale mellem virksomhed og forsikringsselskab, da den primære ydelse ikke er databehandling. Vi er et firma som hjælper andre firmaer med at styre bruttolønsordninger, og tilbyder via arbejdsgiver medarbejderne tilgang til, bestilling af og levering af IT-udstyr. Efter levering af udstyret leveres en liste med bruttolønstræk til virksomheden. For at kunne kontakte medarbejderne modtager vi navn, adresse, telefon og mail adresse. Vil denne proces kunne ligestilles med processen og leveringen af en sundhedsforsikring, således at der dermed ikke kræves en databehandleraftale? På forhånd tak for svar og mvh Jørn

Karsten Holt

Hej Jørn Jeg er ikke meget i tvivl om, at det er en databehandlerkonstruktion. Det kan sidestiles med et lønbureau, der behandler medarbejdernes personoplysninger for at løse en begrænset opgave, som virksomheden principielt selv kunne have løst, men vælger at udlicitere. Forsikring er noget andet, for der er et direkte kundeforhold mellem forsikringstager og forsikringsselskab, og forsikringsselskabet leverer en ydelse, som arbejdsgiveren ikke selv kan levere. Forsikringsselskabet er derfor selvstændig dataansvarlig.

Caroline

Hej Avodan. Jeg er med på, at man som virksomhed skal lave en databehandleraftale med eventuelle behandlere af virksomhedens data. Men hvad nu hvis, der er tale om en instans, som blot opbevarer dokumenter (fx iCloud eller i mit tilfælde Dropbox), som omhandler projekter - og derved til tider personer, primært bosat i afrikanske lande (som ikke er underlagt samme GDPR-lovgivning som EU-borgere). Skal man så stadig lave en aftale, eller er det tilstrækkeligt at skrive i virksomhedens retningslinjer for GDPR, at vi bruger Dropbox og vores overvejelser omkring dette. Vh. Caroline

Karsten Holt

Hej Caroline Opbevaring af persondata anses også som behandling. Derfor skal du f.eks. have databehandleraftaler med hosting-virksomheder. GDPR gælder for alle virksomheder, der er hjemmehørende i EU. Den gælder også for virksomheder i tredjelande, hvis behandlingen vedrører personer i EU, men for virksomheder i EU spiller de registreredes opholdssted ingen betydning. Du skal endvidere interessere dig for, hvor udbyderen opbevarer data, for er det udenfor EU, så er en almindelige databehandleraftale ikke nok. Der skal laves en aftale, som indeholder grundlag for at føre data ud af EU. Det kan f.eks. være en aftale baseret på EU's standardkontraktklausuler.

Caroline

Hej igen. Tak for svar. Du skriver "(...) men for virksomheder i EU spiller de registreredes opholdssted ingen betydning". Vil det sige, at man som virksomhed er pålagt samme lovgivning omkring personer fra fx Afrika/Amerika/Japan, som for EU-borgere? I vores virksomhed bruger vi hver især Dropbox som private brugere, men i arbejds øjemed. Vi har således ikke et Dropbox Business abonnement. Dropbox laver kun databehandleraftaler med deres Business-brugere, hvilket betyder, at vi ikke kan få en aftale, men kun forlade os på deres generelle vilkår og privatlivspolitik. Hvordan foreslår du, jeg/vi imødegår denne problematik? Det er i øvrigt en generel problemstilling, jeg har oplevet ifht. vores hostere af data, at man ikke kan få lov at oprette individuelle databehandleraftaler (med fx Google, Microsoft, Mailchimp etc.) men kun tage udgangspunkt i generelle aftaler/vilkår, de har oprettet som virksomhed. Vil du vurdere, dette er tilstrækkeligt? Jeg kan ikke rigtig se, hvordan vi alternativt skal forholde os i virksomheden, da det ikke er muligt at bede om individuelle aftaler. Tak for lærerige svar på både mine og andres spørgsmål om GDPR. Vh. Caroline

Karsten Holt

Ja, GDPR artikel 3, stk. 1 siger, at den gælder for behandling af persondata, der finder sted hos virksomheder, der er hjemmehørende i EU. Stk. 2 siger, at den også gælder uden for EU, hvis de registrerede er i EU. Det er en rigtig dårlig løsning, hvis I som dataansvarlig baserer jeres behandling på medarbejdernes private dropbox. Det bør I få ændret, så I stiller en lagringsløsning til rådighed for medarbejderne, hvor I har aftaleforholdet med udbyderen, og den bør være baseret på, at data lagres i EU. Der findes masser af udbydere, der tilbyder dette.

Line

Hej En bilforhandler med værksted, der reparerer leasede biler og engang imellem sælger nye biler til samme leasingselskaber, skal der da være databehandleraftale herimellem? (imellem forhandler og leasingselskab) - Som jeg forstår, skal der kun laves databehandleraftale imellem behandler og ansvarlig, hvis den ene part behandler dataene efter instruks fra den dataansvarlige? På forhånd tak Line

Asger

Hej karsten, Jeg har en app, hvor jeg skal have behandlet persondata. Spørgsmålet er derfor, om det kun er CVR-registrerede som jeg kan lave en databehandler aftale med, eller om den også kan laves med fagligt kompetente venner, studerende etc? DBH Asger

Karsten Holt

Hej Asger Der er ikke mange oplysninger i dit spørgmål, men jeg antager, at det er dig, der er ansvarlig udvikler for app'en og dermed dataansvarlig. Hvorvidt du skal have databehandleraftaler med dine leverandører, ansatte og samarbejdspartnere, kan ikke besvares kort. Du skal lave databehandleraftale med en virksomhed, som hoster de data, app'en indsamler. Du skal ikke lave databehandleraftale med dine ansatte, som er underlagt din instruktionsbeføjelse (men de skal i ansættelsesftalen underskrive en bestemmelse om fortrolighed). Mellem de to yderpunkter er der et stort gråzoneområde, hvor der skal tages stilling fra situation til situation. Datatilsynet har i februar 2019 udgivet en vejledende tekst, som forhåbentlig kan hjælpe dig videre: https://www.datatilsynet.dk/media/6939/dataansvar-vikarer-og-konsulenter.pdf

Karina Mattrup

Hej Karsten Hvis man som virksomhed har en Facebook-side, skal man så lave en databehandleraftale med Facebook - og i så fald hvem kontakter man? Tænker at jeg ikke er den første, der stiller der spørgsmål, men jeg har svært ved at google mig frem til noget på nettet om hvordan man forholder sig. I princippet burde Facebook være på front med dette med en vejledning ift. virksomhedssider - hvis du spørger mig. Det samme gør sig naturligvis gældende for virksomheder på Instagram - og alle de andre sociale medier. Hvad gør man? Med venlig hilsen Karina

Karsten Holt

Hej Karina Hvis der er tale om en virksomhedsside på Facebook - også kaldet en "fanside" - har EU-domstolen afgjort, at der er tale om et delt dataansvar mellem virksomheden og Facebook - ikke en databehandlerkonstruktion. Der skal så laves en aftale om delt dataansvar. Jeg foreslår, at du læser denne artikel om emnet, der gerne skulle give svar på dine spørgsmål: https://www.advodan.dk/nyheder/2018/10/ny-eu-dom-din-virksomhed-deler-persondataansvar-med-facebook/ Venlig hilsen Karsten Holt

Karsten Holt

Hej Gitte Nej, det er ikke en databehandlerrelation. Kommunen og I er hver for sig selvstændigt dataansvarlige for jeres behandling af personoplysninger. Venlig hilsen Karsten HOlt

Gitte Ellevang Larsen

Jeg sidder på en SOSU Skole, hvor vi er i tvivl om vi skal have databehandleraftaler med kommunerne og regionen. De har ansat elever, som går i skole hos os. Hvordan skal vi forholde os? Nogle elever starter på grundforløb 2 uden at være ansat i kommune/region, hvor det er "vores" elever. Men hvis de har en uddannelsesaftale med kommune/region er de ansat hos dem og går på skole her. håber i kan svare på hvad vi skal gøre og hvordan vi skal forholde os Med venlig hilsen Gitte Ellevang Larsen

Karsten Holt

Hej Helge Det er en gråzone. Principielt er der ingen "bagatelgrænse" for, hvor lidt persondata, der skal til, før der kan være tale om en databehandlerkonstruktion, men omvendt er det et krav, at behandling af persondata udgør en integreret del af ydelsen og ikke blot er accessorisk. Datatilsynet har netop udgivet en lille vejledning om eksterne konsulenters rolle, men de heri omtalte eksempler rammer ikke lige plet på din situation: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2019/feb/dataansvar-for-konsulenter-og-vikarer/ Jeg ville i dit sted lave en kort databehandleraftale, der opfylder kravene GDPR art. 28. Hvis du ikke opbevarer/hoster foreningens data, kan det gøres forholdsvist enkelt. Venlig hilsen Karsten Holt

Helge Wagner

Hej Jeg har enkeltmandvirksomhed (konsulent) og er fungerende administrator af en forenings hjemmeside. Der tilmeldes til diverse via hjemmesiden og de ligger de i systemet der driver hjemmesiden (kan slås fra) og jeg har som administrator adgang til disse tilmeldinger - ellers leveres de videre til foreningens mail via sikker mail. Skal der laves nogen databehandler/dataansvarlig aftale mellem foreningen og undertegnede? På forhånd tak for svar

Rasmus Frederiksen

Jeg vedligeholder et website for en fond som uddeler legater. Fonden publicerer (efter aftale med modtagerne) navn og billede på modtagerne, hvilket vil sige, at de oplysninger - plus måske deres e-mail-adresser (som vi ikke publicerer) passerer mit bord. Fonden mener jeg skal underskrive en databehandleraftale; jeg mener det er komplet absurd når websitet er offentligt tilgængeligt, men hvad siger loven?

Karsten Holt

Hej Rasmus Selv om det måske er i småtingsafdelingen, så kan man stadig sige, at behandling af persondata er en del af din ydelse, når du vedligeholder en hjemmeside, som netop indeholder navne og fotos på en række fysiske personer. Det kan f.eks. ikke sammenlignes med en IT-leverandør, der blot vedligeholder virksomhedens PC'ere og servere med sikkerhedsopdateringer, for der er behandling af persondata ikke en del af ydelsen. Det er i denne sammenhæng ikke et relevant kriterie, at de behandlede oplysninger er offentligt tilgængelige. Så jeg mener altså, at der skal laves en databehandleraftale, men kravene til sikkerhedsforanstaltninger - som skal beskrives i aftalen eller et bilag - vil alt andet lige være lavere, end hvis der var tale om behandling af følsomme eller fortrolige data.

Thomas

Som lejer af kontorer i et kontorfællesskab, så har boligadministrator, inkl. dennes rengøring, håndværkere osv. adgang til mine kontorer - også når jeg ikke er der. Mine bærbare computere, fortrolige papirer osv. er låst inde på forsvarlig vis. Skal jeg lave en databehandleraftale med udlejer alligevel - Skal jeg betragte udlejer som en hosting service?

Karsten Holt

Nej. Hverken administrator, rengøring eller håndværkere er databehandlere for dig. Du skal selvfølgelig sikre, at uvedkommende ikke har adgang til dine persondata om kunder og medarbejdere, og hvor det alligevel kan forekomme, må der laves en fortrolighedserklæring. En egentlig databehandleraftale forudsætter, at vedkommende faktisk skal foretage noget med dine data.

Lisbeth Sørensen

Jeg er ansat i en virksomhed, hvor jeg skal gennemgå og tilpasse virksomhedens personaledata i henhold til GDPR. Skal der udarbejdes en databehandleraftale for mig, eller vil en samtykkeerklæring til behandling af persondata i forbindelse med ansættelse være tilstrækkelig? Med venlig hilsen Lisbeth

Gitte Ellevang Larsen

Hej Jeg sidder på en SOSU skole og er i tvivl om, vi skal have en databehandleraftale med det firma/system, som vi bruger, når en elev anmelder en arbejdsskade, det er sjældent at det sker. Men det hænder jo og det er jo fyldt med personlige oplysninger.? Håber i kan hjælpe Med venlig hilsen Gitte Ellevang Larsen

Karsten Holt

Hej Gitte Man er ikke databehandler, bare fordi man leverer et system (software), der skal anvendes til at håndtere persondata. Det afhænger derfor helt af, om data lagres lokalt hos jer eller hos leverandøren (online løsning). Opbevares data hos leverandøren, skal der laves databehandleraftale, da opbevaring = behandling. Selv hvis data lagres hos jer, kan der i visse situationer alligevel opstå et databehandlerforhold, hvis leverandøren har adgang til data, f.eks. for at yde support, men det skal vurderes konkret. Venlig hilsen Karsten

Steffen

Hej Lars. Skal man i en virksomhed hvor man hjælper andre virksomheder med deres markedsføring, bl.a. Facebook og Google ads annoncering, deres hjemmeside og nyhedsbreve lave databehandleraftale eller ?

Karsten Holt

Hej Steffen Det afhænger helt af, om du i forbindelse med bistanden kommer til at behandle persondata for kunden. At du har persondata (kontaktoplysninger) på et par kontaktpersoner hos kunden for at kunne udføre opgaven, gør dig ikke til databehandler. Men har du f.eks. adgang til kundens kundedatabase, adresselister etc. og er involveret i selve kommunikationen med disse, kan en databehandleraftale være nødvendig. Det afhænger altså af den konkrete aftale. Jeg anbefaler, at du læser Datatilsynets vejledning om dataansvarlige og databehandlere, som du kan finde her: https://www.datatilsynet.dk/media/6560/dataansvarlige-og-databehandlere.pdf

Susanne Koch

Skal der laves databehandler aftaler med myndigheder vedr. f.eks. anmeldelse af arbejdsskader til Arbejdskade styrelsen og indberetning af moms og skat for virksomheden og eller medarbejdere, ISP'er og telefonselskaber.

Karsten Holt

Hej Susanne Nej, der skal ikke laves databehandleraftaler med myndigheder, når der udveksles personoplysninger til brug for deres myndighedsudøvelse, da myndigheden ikke er databehandler, men selvstændigt dataansvarlig. Du skal stadig sikre dig, at udvekslingen af oplysninger sker sikkert, dvs. ved sikker (krypteret) mail eller ved at indtaste oplysningerne på myndighedernes web-formularer.

Emil

Hej Lars Vi levere hjælpemidler til handicappede, og har i den forbindelse en underleverandør der producere specialopgaver for os. De modtager navn og evt. bo-kommune. Vil man i dette tilfælde få udarbejdet en databehandleraftale, og i så fald er det så underleverandøren eller os der skal udfærdige den? Eller vil man i dette tilfælde lave en fortrolighedsaftale, da hovedydelsen er et produkt? Og hvem skal udfærdige fortrolighedsaftalen? PFT

Lars Emde Poulsen

Det er den dataansvarlige der er ansvarlig for at aftalegrundlaget er i orden. Som du oplyser situationen ses I at være dataansvarlige for de oplysninger, som I videregiver til jeres leverandør, hvorfor I er ansvarlige for, at aftalegrundlaget er i orden. Umiddelbart er der ikke tale om en situation, hvor der skal udarbejdes en decideret databehandleraftale, men det vil være en konkret vurdering fra gang til gang - og hvorfor giver I oplysninger om navn og bopæl til jeres leverandør, er det noget med tilskud, eller skal de levere osv. Jeg vil anbefale, at I tager kontakt til en advokat som kan foretage den konkrete vurdering.

Dennis

Hej Jeg har en lille IT virksomhed hvor jeg hjælper små virksomheder med deres IT, bl.a. en tandlæge, der jo opbevarer sine klienters personlige data. Skal jeg oprette en Databehandleraftale til denne tandlæge? De udleverer ikke data til mig, men der er risiko for at jeg ser følsom data på deres computer, når jeg hjælper dem. PFT. Dennis

Lars Emde Poulsen

Hvis du ikke behandler data på deres vegne, f.eks. opbevarer dem på en server eller lignende, men alene har kiggeadgang til deres systemer, f.eks. når du yder support (det kunne være gennem Teamviewer), så kan det være nok med et aftalegrundlag, hvor der er en tavshedserklæring. Har du adgang til deres data i andre situationer - f.eks. altid har mulighed til at tilgå deres data via forbindelse for at vedligeholde systemer, så er du i gråzonen, hvor en databehandleraftale måske vil være nødvendig.

Susan Gram

Hej Skal der udfærdiges en behandler aftale mellem ansvarlig leder og de ansatte, såfremt de ansatte har adgang til følsomme og personfølsomme oplysninger? Eller er det tilstrækkeligt, at man indskriver tavshedspligt i kontrakten? Og hvordan gør man med frivillige? skal der også laves en intern kontrakt? På forhånd tak

Lars Emde Poulsen

Der skal ikke laves databehandleraftaler med sine ansatte eller frivillige. Der skal dog laves en intern persondatapolitik der beskriver hvordan de ansatte/frivillige skal behandle persondata i virksomheden, herunder skal det beskrives, at der er tavshedspligt. For at være på sikker grund, så ville jeg også lave et selvstændigt dokument som de underskriver omkring tavshedspligt.

M. Hansen

Jeg har et lille personligt bogføringsfirma og pr 30.6.18 går jeg på næsten-pension og fortsætter så kun med 2 kunder. Disse 2 kunder laver jeg så bogføring for, dvs jeg har deres cvr-nr, navn og øvrige oplysninger. Hvad skal jeg have af "formularer" Med venlig hilsen M. Hansen

Lars Emde Poulsen

I forhold til at finde en løsning hvor du overholder alle reglerne i persondatalovgivningen, så er en enkelt formular desværre ikke nok. Vi taler om at du bl.a. skal opfylde en oplysningspligt overfor dine kunder, at du skal behandle og opbevare personoplysningerne sikkert, at du skal have en sletteprocedure osv. Du kan læse mere om reglerne på datatilsynets hjemmeside - www.datatilsynet.dk

Tina Langfeldt

Så har jeg et spørgsmål - for hvis man som ekstern bogholder sidder hos kunden og både bogfører og laver løn for dem - og kunden opbevarer al materiale - er en databehandleraftale så ikke nok - som kunden udfærdiger og jeg som ekstern bogholder skriver under på?

Marianne Holm Thomsen

Hej, Jeg har en enkeltmandsvirksomhed og varetager § 54 støttepersonopgaver. jeg modtager ikke cpr numre, men kun ansættelseskontrakt, hvorpå der står børn og forældres navne. Så har jeg nogle samværsopgaver, hvor jeg skriver rapporter, men uden cpr og kun barnets fornavn og forældrenes og nogle gange også efternavne. Hvilken løsning skal jeg vælge? Jeg er meget forvirret og tænker at en sikker mail løsning kunne være nok? mvh Marianne Thomsen

Lars Emde Poulsen

Jeg ved ikke hvilken form for problem du står overfor - derfor er det svært at svare på hvilken løsning du skal lave. I forhold til kommunikation over internettet, så er en alm. mail at betragte som et postkort med posten, det vil sige, ej sikker. Såfremt du har følsomme oplysninger eller oplysninger om cpr, så bør det ikke sendes pr. alm. mail, men med sikker mail.

Inger Bak

Vi er en Fodboldforening med 165 klubber, hvor vi får tilmeldinger en gang om året, men vi får kun navn, e-mail og telf. nr.. skal vi have en databehandleraftale.

Lars Emde Poulsen

Databehandleraftale med hvem... de enkelte klubber ? Foreningen er som udgangspunktet dataansvarlig for sine medlemmers data. Foreningen skal behandle sine medlemmer som enhver anden der behandles persondata omkring. Det vil sige, at de også kan benytte de registreredes rettigheder, og at foreningen også skal opfylde oplysningspligten overfor dem. Samtidig skal foreningen have en politik for hvordan de behandler deres data. De er ikke databehandlere, med medlemmer af foreningen. Bemærk, reglerne gælder kun for persondata. Data skal altså kunne henføres til en person.

Henrik Angermann

Jeg er ansvarlig for en ejerforenings hjemmeside, hvor der er mulighed for med navn og mailadresse at tilmelde sig en nyhedstjeneste. Denne anvendes alene til små informationer om vores boligområde. Tjenesten hostes af den medievirksomhed, hvor hjemmesiden ligger. Ejere opretter sig selv, bekræfter tilmelding og afmelder selv. Kan vi nøjes med en fortrolighedserklæringer fra hostingbureauet?

Lars Emde Poulsen

Såfremt hostingbureauet opbevarer oplysningerne på deres egne servere, så vil de umiddelbart være databehandlere, og der skal indgås en databehandleraftale med dem.

Pia Bertelsen

Jeg tager på markeder og i den forbindelse har jeg en betalingsautomat og modtager mobilepay. Skal jeg have databehandleraftale med dem eller betragtes de som dataansvarlige? Venlig hilsen Pia Bertelsen

Lars Emde Poulsen

Databehandleraftaler med hvem ? Er det Nets, Danske Bank eller.... Som udgangspunkt skal du ikke lave databehandleraftaler med dem. De behandler selv data som dataansvarlige - du har umiddelbart ikke adgang til kortoplysningerne, og de oplysninger der er bag transaktionerne - dem er du ikke ansvarlige for.

Katja

Kære Lars. Jeg har en klinik, hvor vi har mange personfølsomme oplysninger for at kunne give den rigtige behandling. Jeg tror jeg har nogenlunde styr på det der.... men mit spørgsmål er hvordan jeg forholder mig til mine ansatte. Betegnes de som databehandler? Og hvad bør der stå i deres kontrakt udover at de har tavshedspligt. Jeg ser frem til dit svar. Venligst Katja

Lars Emde Poulsen

Du skal behandle dine ansatte som enhver anden du behandler persondata omkring. Det vil sige, at de også kan benytte de registreredes rettigheder, og at du også skal opfylde oplysningspligten overfor dem. Samtidig skal du have en politik for hvordan du behandler deres data. De er ikke databehandlere, men de skal instrueres i hvordan de skal behandle persondata i din virksomhed - det kan du f.eks. gøre i en personalehåndbog.

Kim Jensen

Som kørelærer har jeg adgang til mine elevers cpr.nr hos kommunen. Jeg har ligeledes deres ansøgninger liggende. Selvfølgelelig under opsyn og bag las. Men papirer indeholder cpr nr. Hvorledes skal jeg forholde mig. Det er et kendt kørelærer problem som vi internt har drøftet blandt kørelærer

Lars Emde Poulsen

Det er netop hvordan man skal forholde sig til brug af disse personoplysninger (herunder cpr-nr.) som forordningen regulerer. Der er ikke tale om at du skal lave databehandleraftaler, men du er ansvarlig for al data, som du modtager omkring din elev. Det er en større proces at forklare alle reglerne i forordningen, og jeg vil anbefale at du tager kontakt til en specialist på området - alternativt kigger på Datatilsynets hjemmeside - for at høre nærmere.

Preben Larsen

Hej Lars. Jeg ejer nogle få lejemål, og mit spørgsmål er, om jeg som udlejer skal have skriftlige databehandleraftaler med mine lejere og i øvrigt de forsyningsselskaber, som er knyttet til lejemålene, feks. vdr. vandværker og spildevand, Seas ( kræver cpr. nr. fra en lejer ) og Brunata, som udfærdiger varme og vandregnskaber? Mvh. Preben Larsen.

Lars Emde Poulsen

I forhold til dine lejere vil du blive betragtet som dataansvarlig - du skal derfor opfylde de registreredes rettigheder, såsom oplysningspligten overfor dine lejere (herunder oplyse hvem du videregiver oplysningerne til). Det samme gør sig umiddelbart gældende overfor forsyningsselskaberne. Der skal således ikke udarbejdes databehandleraftaler.