Hvorfor du skal kende forskel mellem dataansvarlig vs databehandler, før du behandler personoplysninger?
Du ved sikkert, at persondata er et vigtigt emne, når du driver en mindre forretning. Du har ansvaret for at håndtere folks oplysninger korrekt, men du er måske i tvivl om, hvornår du er dataansvarlig, og hvornår du er databehandler. Du oplever måske, at begge begreber indgår i diverse regler om persondata, og du vil undgå fejl, så du ikke får problemer ved et tilsyn. Du har gavn af at kende forskellen mellem de to roller, for det er afgørende i forhold til dine forpligtelser. Hvis du for eksempel driver en webshop eller et mindre bureau, kan du opleve, at du nogle gange styrer oplysninger på egne vegne, mens du andre gange udelukkende håndterer data for en kunde. Det kan virke forvirrende, men med en klar forståelse af, hvem der bestemmer formålet med behandlingen, bliver det lettere at overholde gdpr-krav til den dataansvarlige og gdpr-krav til databehandler.
Hvis du selv beslutter, hvorfor og hvordan data indsamles, er du den, der sidder med det overordnede ansvar. Du skal oplyse brugerne om, hvad du gør med deres oplysninger, og du skal sikre, at alt foregår i overensstemmelse med regler for den dataansvarlige. Hvis du kun følger en anden virksomheds instrukser, og du ikke selv har indflydelse på formålet, har du rollen som ekstern hjælper. Du håndterer ganske vist data, men du tager ikke de grundlæggende beslutninger om, hvorfor oplysningerne bliver indsamlet. Når du ved, hvad er en dataansvarlig, og hvad er en databehandler, kan du nemmere vurdere, hvilke forpligtelser du har i den konkrete situation. Du sikrer dermed, at du opfylder dine krav efter loven, og du undgår unødig tvivl om, hvem du er ansvarlig over for.
Du stiller dig måske spørgsmålet: hvem er dataansvarlig i min forretning, og hvornår er man dataansvarlig? Du er det, hvis du beslutter, hvilke oplysninger der skal indsamles, og hvorfor det sker. Hvis du driver en butik eller en tjeneste, hvor du selv vælger, hvilke data du har brug for, er det som regel dig, der har den overordnede styring. Du fastlægger formålet med behandlingen, og du vælger, om du vil opbevare oplysninger i en bestemt periode. Du har dermed det juridiske ansvar for, at de registrerede får de nødvendige oplysninger om deres rettigheder, og at du overholder alle relevante retningslinjer. Du kan ikke overlade dette ansvar til andre, selvom du lader en ekstern partner varetage nogle af de praktiske opgaver. Du skal stadig sikre, at hver opgave udføres i tråd med regler for den dataansvarlige.
Du kan kun løfte opgaven ordentligt, hvis du kender dine forpligtelser. Du skal have styr på informationspligten, og du skal kunne vise, at du overholder grundlæggende principper om dataminimering og sikkerhed. Det er også dig, der får ansvaret for at svare på anmodninger om indsigt eller sletning. Du bestemmer formålet, og du sætter rammerne, men du skal samtidigt følge gdpr-krav til den dataansvarlige, så du ikke behandler flere oplysninger, end du har brug for. Hvis nogen klager, skal du kunne dokumentere din praksis, så du ikke risikerer bøder eller påbud. På den måde sikrer du en gennemsigtig behandling, hvor alle forstår, at du respekterer privatlivets fred.
Du kan også stå i en rolle, hvor du håndterer oplysninger for en anden virksomhed. Måske er du et lille bureau, som tilbyder it-support eller hosting. Når du ikke selv bestemmer formålet, men udelukkende følger en andens instruks, betegner man dig som ekstern partner. Så hvornår er man databehandler? Det er du i det øjeblik, du får adgang til personlige oplysninger, uden at du har besluttet, hvorfor de er indsamlet. Du udfører i stedet praktiske opgaver på andres vegne. Du har stadig et ansvar, for du skal overholde gdpr-krav til databehandler. Det betyder blandt andet, at du skal passe godt på de informationer, du modtager, og du skal kun bruge dem til det aftalte formål.
Hvis du ikke overholder disse regler, kan du også få problemer i forbindelse med et tilsyn. Du skal desuden have en skriftlig aftale med den, der ejer dataene, hvor I fastsætter, hvilke opgaver du må udføre. Du har stadig en selvstændig pligt til at sikre, at alt foregår forsvarligt, men du bestemmer ikke retning eller formål. Du står dog ikke alene, for den virksomhed, der gav dig oplysningerne, har interesse i, at du overholder loven. Der findes mange eksempler på mindre firmaer, der tilbyder services, som involverer kundedata. De kan lave lønadministration, it-hosting eller nyhedsbrevsløsninger. I alle de situationer skal du som ekstern partner have en klar forståelse af, hvad er en databehandler, så du opfylder alle de krav, der gælder for netop din rolle.
Du vil måske opleve, at nogle opgaver glider over i hinanden. Du kan godt være overordnet ansvarlig for en del data, mens du samtidig varetager andre informationer på vegne af en kunde. Du skal kunne skelne mellem de forskellige roller, så du ikke sammenblander sagerne. Hvis du for eksempel udbyder et booking-system til andre firmaer, men også bruger systemet internt i din egen forretning, skal du sikre, at du ikke blander dine egne kundedata med de data, du behandler på andres vegne. Du har én rolle som ansvarlig for dine egne oplysninger og en anden rolle som ekstern hjælper for dem, der betaler dig for en service.
Den vigtigste forskel er, at du som overordnet ansvarlig bestemmer formålet, mens du som ekstern part udelukkende følger en anden virksomheds anvisning. Du bør altid være klar over dine forpligtelser og huske, at begge roller involverer et juridisk ansvar for at følge reglerne. Du kan ikke fralægge dig ansvaret ved at sige, at du blot gør, hvad du bliver bedt om. Du har nemlig ansvar for, at du håndterer oplysningerne på en forsvarlig måde. Du skal også tage højde for, at folk kan henvende sig med klager eller spørgsmål, og du bør kunne dokumentere, at du har orden i tingene. På den måde opfylder du både gdpr-krav til den dataansvarlige og gdpr-krav til databehandler, når du skifter mellem de to funktioner.
Du har sandsynligvis hørt om Datatilsynet, der kan komme på uanmeldt besøg eller kræve, at du fremviser din dokumentation. Hvis du forbereder dig, kan du undgå mange bekymringer. Du skal kunne vise, at du kender reglerne for den dataansvarlige, hvis du beslutter formål og behandling. Du skal også have en aftale på plads, hvis du tilbyder at behandle data for andre. Den aftale beskriver blandt andet sikkerhedsniveau, slettepolitik og hvordan data håndteres i praksis. Du bør ikke se dokumentation som et irriterende ekstra arbejde. Det er snarere din sikring for, at alt hænger sammen, og at du vil kunne svare fyldestgørende, hvis myndighederne stiller spørgsmål.
Når du har en struktureret tilgang, minimerer du også risikoen for at miste tillid hos kunder eller samarbejdspartnere. Du beskytter dig selv mod fejl, der kan koste dyrt på både økonomien og virksomhedens omdømme. Du kan sagtens udarbejde dine procedurer selv, eller du kan få hjælp fra en rådgiver, men husk at det endelige ansvar bliver ved dig. Du skal sikre, at procedurerne faktisk følges i hverdagen, så du ikke kun har pæne ord på papir.
Tjek jævnligt, om din praksis stemmer overens med de beskrivelser, du har formuleret. Du er nemlig ikke færdig, selvom du har skrevet dokumenterne. Persondatahåndtering er en løbende proces, der kræver, at du hele tiden følger udviklingen.
Du kan bruge din indsigt i forskellen mellem at være ansvarlig og at være ekstern hjælper til din fordel. Når du ved, hvornår er man dataansvarlig, og hvornår er man databehandler, opnår du en klarhed, der styrker forretningen. Du kan fortælle dine kunder, at du kender reglerne og sikrer en tryg behandling af deres oplysninger. Du signalerer pålidelighed, når du selv har fuldstændig styr på, hvilke data du selv ejer, og hvilke du kun opbevarer for andre. På den måde formindsker du risikoen for at blive taget med bukserne nede, hvis du oplever brud på datasikkerheden eller får forespørgsler om sletning af oplysninger.
Du kan også blive mere effektiv i din drift, fordi du kun indsamler de oplysninger, der er nødvendige, og du kun beholder data, så længe du har brug for dem. Jo færre unødvendige informationer du håndterer, desto lettere er det at beskytte dem. Hvis du behandler data for en anden part, kan du gøre brug af en konkret aftale, hvor I aftaler klare snitflader. Det gavner samarbejdet og minimerer misforståelser om, hvad der er dit ansvar, og hvad der er kundens. Når du har en fast praksis for at efterleve reglerne, bliver det langt lettere at udvide din virksomhed, da du allerede har et solidt setup, som nye projekter kan bygge videre på. Du viser også potentielle kunder, at du er en professionel aktør, de trygt kan stole på.
Du har sikkert bemærket, at mange virksomheder lægger vægt på gennemsigtighed, når de formidler deres politik om håndtering af personlige oplysninger. Det skyldes, at du skal overholde gældende regler og forklare, hvordan du beskytter brugernes data.
Når du driver en hjemmeside, skal du overholde de regler, der beskytter folks oplysninger. Det handler ikke kun om at undgå bøder fra Datatilsynet. Det handler også om at vise, at du tager ansvar for andres data.
Hvorfor du skal kende forskel mellem dataansvarlig vs databehandler, før du behandler personoplysninger? Du ved sikkert, at persondata er et vigtigt emne, når du driver en mindre forretning. Du har ansvaret for at håndtere folks oplysninger korrekt, men du er måske i tvivl om, hvornår du er dataansvarlig, og hvornår du er databehandler.
Som ejer vil du gerne handle korrekt, men måske føler du, at reglerne kan være komplicerede, og at de mest er målrettet store firmaer. Alligevel er din forretning underlagt de samme grundprincipper. Du skal kunne forklare, hvordan du håndterer personoplysninger, hvorfor du indsamler dem, og hvordan du opbevarer dem sikkert.
Få grundlæggende viden om hvad en databehandler er. Her er fokus på dig der har en lille virksomhed, enten som soloselvstændig eller med få ansatte. Alle virksomheder indsamler data og du som ejer af en lille virksomhed er ofte databehandleren.