Anmeldelser på Google:
Anmeldelser på Google:
Anmeldelser på Google:
Anmeldelser på Google:
GDPR bliver hurtigt tungt, når man støder på ord som dataansvarlig, databehandler og “DPA”. Mange små virksomheder ender med at gætte, og det er sjældent en god strategi, når det handler om personoplysninger.
Der er heldigvis en enkel kerne: Én part bestemmer hvorfor data bruges, en anden part hjælper med at gøre arbejdet, og en myndighed holder øje.
Hvis rollerne er forkerte, bliver resten ofte også skævt: privatlivspolitik, samtykker, sikkerhedskrav, slettefrister og aftaler med leverandører. Det kan også give bøvl, når en kunde beder om indsigt eller sletning, eller hvis der sker et brud.
Og så er der det helt konkrete: Hvem skal egentlig gøre hvad, hvis noget går galt i morgen kl. 08.12?
En hurtig tommelfingerregel hjælper: Den, der bestemmer formålet, kan ikke “aflevere ansvaret” til en leverandør med et dokument og så glemme det.
Den dataansvarlige er den organisation (eller person), der alene eller sammen med andre afgør formålene med og midlerne til behandlingen af personoplysninger. Oversat til hverdagssprog: I bestemmer, hvad oplysningerne skal bruges til, og hvordan det skal foregå.
En webshop kan være dataansvarlig for kunders ordreoplysninger. En klinik kan være dataansvarlig for patientdata. En virksomhed er typisk dataansvarlig for medarbejderdata og for henvendelser via kontaktformular.
Det er også her, mange bliver overraskede: Man kan godt købe et system, men stadig være den, der har ansvaret for, at brugen er lovlig, rimelig og gennemsigtig.
Her er et par spørgsmål, der ofte afslører, om I er dataansvarlige, når I kigger på en bestemt aktivitet.
En databehandler behandler personoplysninger på vegne af den dataansvarlige og efter den dataansvarliges instrukser. Databehandleren må ikke selv bruge oplysningerne til egne formål.
Det er typisk en ekstern leverandør: hosting, cloud, nyhedsbrevssystem, lønsystem, CRM, supportplatform eller et bureau, der hjælper med drift og vedligehold.
Databehandlerrollen handler ikke om virksomhedens størrelse, men om relationen: Behandler leverandøren data for jer, fordi I har bedt dem om det?
Mange små virksomheder har flere databehandlere, end de tror. En hjemmeside kan have både webhotel, mailudbyder, cookie-løsning, formular-plugin, spamfilter og analytics. De kan alle sammen være inde over personoplysninger, afhængigt af opsætningen.
Nogle gange hjælper det at se rollefordelingen som en bestilling.
Den dataansvarlige siger: “Vi vil håndtere kundehenvendelser og gemme dem i 12 måneder for at kunne følge op.” Databehandleren siger: “Fint, vi stiller systemet til rådighed og passer på data efter jeres instrukser.”
Når grænsen bliver uklar, er det ofte fordi en leverandør reelt begynder at bestemme formål eller væsentlige midler. Så kan leverandøren i stedet være (med-)dataansvarlig for den del.
Her er en praktisk mini-oversigt, du kan gemme som en hurtig tjekliste.
| Emne | Dataansvarlig | Databehandler |
|---|---|---|
| Beslutter formål (“hvorfor”) | Ja | Nej |
| Beslutter væsentlige midler (“hvordan”) | Ja | Kun inden for instrukser |
| Må bruge data til egne formål | Nej, kun efter hjemmel | Nej |
| Håndterer registreredes rettigheder | Primært ansvar | Hjælper efter aftale |
| Skal have aftale på plads | Skal indgå databehandleraftale | Skal tilbyde og efterleve den |
Nogle samarbejder passer ikke rent ned i “bestiller og udfører”. Hvis to parter i fællesskab bestemmer formål og midler, taler man om fælles dataansvar (joint controllers). Her skal ansvarsfordelingen beskrives i en aftale, så det er tydeligt, hvem der gør hvad.
Det ses ofte ved fælles kampagner, events, co-brandede konkurrencer eller platforme, hvor flere parter sammen har lagt logikken for dataindsamlingen.
Det er et område, hvor mange kommer til at bruge en databehandleraftale, selv om de reelt burde have en aftale om fælles dataansvar. De ligner hinanden på overfladen, men de løser ikke samme problem.
Forkortelsen DPA bruges i to ret forskellige sammenhænge.
I mange kontrakter betyder DPA Data Processing Agreement, altså en databehandleraftale. I GDPR-sprog bruges DPA også om Data Protection Authority, altså en tilsynsmyndighed (i Danmark: Datatilsynet).
Det er derfor værd at læse konteksten: Står DPA ved siden af “agreement”, “appendix” og “processor”, er det næsten altid databehandleraftalen. Står DPA i forbindelse med klager, tilsyn eller bøder, er det tilsynsmyndigheden.
En databehandleraftale er ikke bare papir. Den bør afspejle virkeligheden: Hvilke data behandles, til hvad, hvor længe, hvilke underleverandører bruges, og hvordan håndteres sikkerhed og brud.
En aftale bliver først værdifuld, når I også kan efterleve den i driften.
Datatilsynet er den uafhængige myndighed, der fører tilsyn med GDPR i Danmark. De kan vejlede, behandle klager, lave kontroller og give påbud. I alvorlige tilfælde kan der også komme bøder.
Mange tænker kun på Datatilsynet i forbindelse med sanktioner, men i hverdagen er det ofte mere relevant at se dem som den instans, der forventer, at I kan vise jeres arbejde: fortegnelser, aftaler, slettepolitikker, risikovurderinger og dokumentation for sikkerhedsforanstaltninger.
Hvis der sker et brud på persondatasikkerheden, er det typisk den dataansvarlige, der skal vurdere risikoen og evt. anmelde bruddet inden fristen. Databehandleren har til gengæld pligt til hurtigt at informere den dataansvarlige, når databehandleren opdager bruddet.
Forestil dig en mindre virksomhed med WordPress-hjemmeside, kontaktformular og nyhedsbrev.
Virksomheden er normalt dataansvarlig for: henvendelser, kundeoplysninger, e-mail-lister og det formål, der står i privatlivspolitikken. Webhotellet kan være databehandler, fordi det opbevarer database og mails på virksomhedens vegne. Nyhedsbrevssystemet er ofte også databehandler, fordi det sender mails og opbevarer modtagerlister efter instruks.
Men hvis nyhedsbrevssystemet selv bruger modtagerdata til egne formål (ud over det, der er nødvendigt for at levere tjenesten), kan rollefordelingen ændre sig for den del. Det er en af grundene til, at vilkår, databehandleraftaler og underleverandørlister faktisk betyder noget.
Det er også her, mange får værdi af at have “det hele samlet et sted”, så der er styr på, hvem der hoster hvad, hvilke plugins der sender data ud af huset, og hvilke aftaler der dækker hvilke flows.
En IT- og marketingleverandør kan godt være databehandler i én sammenhæng og dataansvarlig i en anden.
Hvis leverandøren fx driver en kundes website eller håndterer supportadgang til systemer, vil leverandøren ofte behandle personoplysninger på kundens vegne og være databehandler for den aktivitet. Samtidig er leverandøren dataansvarlig for egne medarbejderdata, egne kundeoplysninger (kontrakt, fakturering) og egen markedsføring.
Det vigtige er at skelne pr. aktivitet og ikke pr. virksomhed. Spørgsmålet er ikke “hvad er vi?”, men “hvad er vi her?”.
Det er også grunden til, at gennemsigtighed og tæt samarbejde betyder meget i praksis: I skal kunne få klare svar på, hvor data ligger, hvem der har adgang, hvilke underleverandører der er involveret, og hvordan man får ting slettet eller udleveret.
Du behøver ikke gøre GDPR kompliceret for at gøre det ordentligt. Mange kommer langt ved at tage det i en fast rækkefølge og skrive tingene ned undervejs.
Hvis du kun gør én ting i denne uge, så gør det her: Find jeres vigtigste systemer (website, mail, CRM, økonomi, løn) og afgør, hvem der er dataansvarlig, hvem der er databehandler, og om der ligger en databehandleraftale, der dækker den konkrete opsætning.
Det giver ro. Og et meget bedre udgangspunkt, når der kommer en kundehenvendelse, en ny leverandør eller et sikkerhedsbrud.
