PrivatErhverv
Jylland
Sjælland
Bornholm

Persondata: Ny vejledning om dataansvarlige og databehandlere

Vejledningen skal hjælpe virksomheder og myndigheder med at forstå og efterleve de krav, der følger med de forskellige roller, som enten dataansvarlig eller databehandler.

Justitsministeriet og Datatilsynet udsendte d. 20. november en ny vejledning om dataansvarlige og databehandlere. Ud over at definere de forskellige roller og de dertilhørende krav, indeholder vejledningen en række eksempler, der kan hjælpe virksomheder og myndigheder med at afklare deres rolle, når de behandler personoplysninger.

 

Dataansvarlig – hvad betyder det?

Den dataansvarlige er den fysiske eller juridiske person, der afgør hvordan og til hvilket formål, der må registreres og behandles personoplysninger - herunder procedurer for indsamling, videregivelse og sletning af oplysninger. Den dataansvarlige er ansvarlig for at sikre, at persondataforordningens regler om behandling af personoplysninger bliver overholdt, og at der er et sagligt formål med behandlingen samt et juridisk grundlag (hjemmel) for behandlingen.

 

Databehandler – hvad betyder det?

En databehandler kendetegnes ved kun at behandle personoplysninger på vegne af en dataansvarlig. Databehandleren behandler aldrig personoplysninger til egne formål og må derfor ikke bruge de tilgængelige oplysninger til andet end udførelsen af opgaven for den dataansvarlige. En databehandler kan fx være et lønbureau, en it-virksomhed eller et rekrutteringsbureau.

 

Krav om databehandleraftale

Når en dataansvarlig bruger en leverandør som databehandler, skal den dataansvarlige instruere databehandleren i behandlingen af personoplysningerne, og samtidig skal den dataansvarlige sikre sig, at databehandleren også overholder persondataforordningen. Det sker ved, at de to parter udarbejder og underskriver en lovpligtig databehandleraftale.

Databehandleraftalen skal være skriftlig og skal som minimum indeholde oplysninger om, hvilken kategori af personoplysninger, der behandles (almindelige eller følsomme oplysninger), formålet med behandlingen og varigheden af behandlingen.

 

Udveksling af persondata mellem to dataansvarlige

Hvis to selvstændige dataansvarlige parter udveksler personoplysninger, skal der være et behandlingsgrundlag for hver dataansvarlig. Et behandlingsgrundlag kan fx bygge på et krav i en anden lov, eller hvis der foreligger et samtykke fra de registrerede. Det kan fx være en arbejdsgiver, der videregiver oplysninger om indeholdte skatter for medarbejderne til SKAT, og SKAT har sit eget lovgrundlag for at behandle oplysningerne.

Hvis man videregiver oplysninger til en anden dataansvarlig, som behandler oplysningerne til egne formål, som ikke er lovbestemt – fx markedsføring af produkter, skal der foreligge et samtykke fra den registrerede til denne videregivelse.

Den dataansvarlige, der afgiver personoplysningerne, skal altså være sikker på, at man har lov til at videregive oplysningerne. Og den dataansvarlige, der modtager oplysningerne, skal sikre sig, at man har lov til at behandle oplysningerne ud fra sine egne nye formål. I den forbindelse skal den modtagne dataansvarlige selv opfylde sin oplysningspligt over for de registrerede efter reglerne i persondataforordningen.

Der kan dog også forekomme situationer, hvor to dataansvarlige i fællesskab bestemmer formål med en databehandling og hvordan det skal foregå – fx i et joint venture. I sådanne situationer skal der ligge en klar aftale mellem de to dataansvarlige om hvem, der fx opfylder oplysningspligten. I sidste ende vil de dog hæfte solidarisk over for de registrerede, hvis der sker fejl.

Læs vejledningen om dataansvarlige og databehandlere her.

8 kommentarer

Arne

Kære Karsten Holt, Et mere generelt spørgsmål, som jeg håber, at du kort vil besvare, tak. I straffesager skal anklagemyndigheden optræde neutralt og fremlægge de forhold der taler for den sigtedes skyld og for dennes uskyld. Et lignende princip gælder ikke i skattesager, hvor Kammeradvokaten gør, hvad der kan gøres, for at vinde sagen for Skatteministeriet. I - lad os eksempelvis sige - en hævdssag mellem en kommune og en privat person, gælder det vel tilsvarende, at en miljøadvokat, som advokat og rettergangsfuldmægtig for en kommune, skal optræde neutralt og fremlægge de forhold der taler for den anklagedes skyld og for den anklagedes uskyld. Er dette korrekt forstået? Mvh "Må en advokat altid vinde for enhver pris?)"

Karsten Holt

Hej Arne Dit spørgsmål vedrører ikke persondata, men lad mig prøve at svare alligevel. Nej, en advokat må ikke vinde sager med alle midler. Advokaten skal først og fremmest varetage klientens interesser. De advokatetiske regler opstiller imidlertid grænser for advokatens virksomhed. Advokaten må f.eks. ikke fremlægge bevidst urigtige oplysninger i en retssag eller undertrykke beviser, men advokaten har omvendt ikke pligt til at fremdrage forhold, der taler til modpartens fordel. Det har derimod en offentlig myndighed - de er bundet af det, der hedder officialmaksimen. Det betyder at alle relevante oplysninger skal frem i sagen, uanset om de taler for eller imod borgerens sag. Du kan få aktindsigt i de oplysninger, en offentlig myndighed har i sagen, men der er undtagelser, f.eks. er korrespondance mellem myndigheden og deres advokat undtaget, herunder advokatens vurdering af sagen.

Den nysgerrige

Kære Advodan Lad os antage, at der er en delvis virksomhedsoverdragelse i gang, og der skal overføres data fra den ene virksomhed til den anden men de har ikke aftalt hvem der skal tage initiativet. Hvem er så ansvarlig for, at dataleverancen sker? Er det leverandøren eller modtageren af dataen?

Karsten Holt

Jeg er ikke sikker på, at jeg helt forstår spørgsmålet. Ved en virksomhedsoverdragelse er der ikke tale om en databehandlerkonstruktion mellem køber og sælger af virksomheden. Der er praksis for, at man i en virksomhedsoverdragelse kan overgive personoplysninger om f.eks. medarbejdere og kunder, så længe der ikke er tale om følsomme data, og de øvrige principper i GDPR om saglighed, proportionalitet og dataminimering er opfyldt. Er der kun tale om undersøgelser til en potentiel virksomhedsoverdragelse, skal der laves en fortrolighedsaftale, og de data, der overlades til køber, skal begrænses til det absolut nødvendige, hvilket vil være væsentlig mindre, end hvad der kan overlades, når aftalen er endelig.

Den videbegærlige

Kære advokat Karsten Holt, Jeg håber, at De får tid til at bevare ovenstående spørgsmål. Jeg er siden min sidste henvendelse blevet forvirret, idet jeg på nettet har læst, at "Oplysninger om matrikler, der er ejet af en kommune eller er herreløse, vil ikke være personoplysninger i databeskyttelsesforordningens forstand, da disse oplysninger ikke udgør information om en identificeret eller identificerbar fysisk person". Det er jo desværre noget andet end det jeg tidligere har anført. Hvem har nu ret? Godt nytår! Mvh Den videbegærlige

Karsten Holt

Et matrikelnummer er ikke i sig selv en personoplysning, men kan være det, hvis det kan knyttes til en fysisk person, som ejer ejendommen. Det er ikke tilfældet, at hvis ejer er en kommune, et selskab eller ukendt (herreløs). Når der er tale om en personoplysning, gælder GDPR, herunder retten til berigtigelse af urigtige personoplysninger. Om det også omfatter en ret til at få berigtigtet urigtige oplysninger om ejendommen som sådan (altså ikke selve ejerforholdet), er mindre oplagt, og der foreligger mig bekendt ikke praksis herom. Venlig hilsen Karsten Holt

Den videbegærlige

Kære advokat Karsten Holt, Tak fordi du bruger tid og kræfter på vores spørgsmål. Det er stærkt givende at læse de klare svar og meget værdsat. Jeg mener, at der ikke hersker tvivl om, at med de mange tekniske hjælpemidler der findes i dag, herunder effektive søgemaskiner m.m. at så er matrikelnumre personhenførbare oplysninger og derfor omfattet af GDPR-lovgivningen. 1) Hvis jeg derfor er ejer af et jordareal, der har et matrikelnummer, har jeg så ikke, med henvisning til GDPR-lovgivningen, indsigelsesretten og retten til berigtigelse, ret til at forlange faktuelt urigtige data om dette jordstykke berigtiget? 2) I givet fald, kan jeg så også bede om, at kommunen der er "leverendør" af de gale oplysninger om jordstykket, uden unødig forsinkelse fra kommunens side udarbejder en supplerende (berigtigelses)erklæring? Mange venlige hilsener og god jul Den videbegærlige.

Stephanie

Kære Karsten. Tak for et fint indlæg. Jeg oplever dog stadig en stor forvirring blandt de samarbejdspartnere, jeg/vi arbejder sammen med. De gør det alle sammen på forskellige måder til trods for, at konstruktionen for samarbejdet er den samme. Jeg håber derfor, at du kan hjælpe. Når en kunde kommer ind i én af vores bilforretninger i koncernen og ønsker at få finansieringstilbud på en bil, indhenter vi på vegne af kunden et tilbud (i denne proces indgår der ikke udveksling af persondata mellem forhandleren og finansieringsselskabet). Når forhandleren, sammen med kunden, vælger et finansieringstilbud, videreformidler forhandleren de nødvendige personoplysninger på vegne af kunden til finansieringsselskabet (banken). Nu er mit spørgsmål, hvem er databehandler, dataansvarlige eller er der tale om to selvstændige dataansvarlige? Vi opererer med flere forskellige finansieringsselskaber (banker) og de lægger alle op til noget forskelligt. Jeg vil mene, at vi er to selvstændige dataansvarlige, da vi er nødt til at videregive oplysningerne til finansieringsselskabet for, at de kan identificere kunden og dermed gennemføre aftalen i henhold til forordningens artikel 6, stk. 1, litra b. Videregivelsen af oplysningerne sker ydermere for at finansieringsselskabet kan lave en kreditvurdering samt opfylde kravene i fx hvidvaskloven. Jeg håber, at du kan hjælpe med en konklusion på ovenstående, da der bestemt ikke er enighed om ovenstående i bilbranchen. Venlig hilsen Stephanie

Karsten Holt

Hej Stephanie Jeg er umiddelbart enig i, at forhandler og finansieringsselskab er 2 selvstændigt dataansvarlige, der indhenter persondata til hvert sit formål - forhandleren for at kunne gennemføres salget (indregistrere bilen i kundens navn) og finansieringsselskabet for at kunne yde et lån. Forhandleren kan i den forbindelse videreformidle almindelige kontaktoplysninger på kunden til finansieringsselskabet efter aftale med kunden. Der er ingen grund til, at privatøkonomiske oplysninger til brug for kreditvurdering skal gå gennem forhandleren, de bør sendes direkte fra kunden til finansieringsselskabet, jf. princippet om dataminimering. Venlig hilsen Karsten Holt

Den videbegærlige

Kære advokat, Et eksempel: En kommune har på deres hjemmeside offentliggjort en eller flere ubestridt, faktuelt forkerte oplysninger om en navngiven borger, der naturligvis derfor ønsker, at kommunen straks retter sine fejl og fremsender dokumentation for berigtigelsen overfor de implicerede parter, der måtte være i sagen. Borgeren mener, at kommunen straks skal efterkomme disse ønsker, jf. også den nye GDPR-lovgivning, indsigelsesretten og retten til berigtigelse. Har borgeren ret til at få sine krav opfyldt? Hvis ja, er der nogen tidsfrist indenfor hvilken berigtigelsen skal være efterkommet? På forhånd tak for svaret.

Karsten Holt

Ja, retten til at få berigtiget forkerte oplysninger fremgår af databeskyttelsesforordningens artikel 16, der lyder sådan: "Den registrerede har ret til at få urigtige personoplysninger om sig selv berigtiget af den dataansvarlige uden unødig forsinkelse. Den registrerede har under hensyntagen til formålene med behandlingen ret til få fuldstændiggjort ufuldstændige personoplysninger, bl.a. ved at fremlægge en supplerende erklæring." Fristen er en maksimalt en måned, men det bør normalt ske hurtigere (uden unødig forsinkelse). Du kan læse mere i pkt. 5 i denne vejledning fra Datatilsynet: https://www.datatilsynet.dk/media/6893/registreredes-rettigheder.pdf Venlig hilsen Karsten Holt

Dorthe

Vi har et eksternt firma inde over til at hjælpe med IT. Dvs. de behandler ikke vores persondata. Er det så nok med en fortroligheds erklæring? Hvis det er, hvad skal der så typisk stå i sådan en?

Karsten Holt

Hej Dorthe Det er en gråzone, som der ikke rigtig er taget stilling til. Min anbefaling er, at har det eksterne IT-firma en fast (administrator)adgang til jeres systemer, så de selv kan logge ind og lave opdateringer mv. - og derved også har adgang til jeres data - så ville jeg sørge få at få lavet en databehandleraftale. Er det derimod mere ad hoc, hvor de kun får adgang efter konkret tilladelse fra jer, f.eks. via Teamviewer, så kan du nok nøjes med en fortrolighedserklæring. Vi rådgiver ikke om udarbejdelse af konkrete dokumenter her i brevkassen, der må du henvende dig til et af vores kontorer.

Sabine Pedersen

I forbindelse med udarbejdelse af fortegnelser over behandlingsaktiviteter hvori der indgår personoplysninger er der krav om at angive kategorier af modtager til hvilke personoplysninger videregives. Indebærer dette også, at man angive andre selvstændige dataansvarlige som man udveksler persondata med, fx Skat eller kommuner?