Uanset om du er soloselvstændig eller har nogle få ansatte så er du databehandler.
Du ved sikkert, at persondata er en central del af din virksomheds daglige drift, uanset om du sælger ydelser eller varer. Du står ofte med oplysninger om kunder, ansatte eller samarbejdspartnere, og disse oplysninger skal beskyttes efter gældende regler. Som lille virksomhed kan du opleve, at alting går hurtigt, og at tiden er knap. Alligevel er det afgørende, at du prioriterer en korrekt og lovpligtig håndtering af data. Du ønsker sandsynligvis at fremstå professionel, og du vil undgå at havne i problemer med myndighederne. Du har måske allerede hørt om GDPR, men det kan være svært at vide præcis, hvordan du beskytter data bedst muligt.
Hvis du modtager eller opbevarer informationer på vegne af andre, skal du forstå, at du påtager dig et juridisk ansvar. Det gælder især, hvis du håndterer oplysninger, som din kunde har indsamlet og nu overlader til dig. Du får rollen som en ekstern part, der håndterer data under visse betingelser. Her er det ikke nok blot at fortælle dine kunder, at du vil passe godt på deres oplysninger. Du skal samtidig kunne dokumentere, at du følger regler om sikkerhed, fortrolighed og slettefrister.
Når du hører ordet “hvad er en databehandler,” skal du vide, at det beskriver den rolle, du kan få, hvis du administrerer data for en anden enhed. Du er ikke automatisk dataansvarlig for oplysningerne, men du skal overholde en række forpligtelser. Du har sandsynligvis brug for en forståelse af, hvornår er man databehandler, for det er et område, hvor du skal handle proaktivt og sørge for, at dine aftaler er i orden. Manglende indsigt i disse aspekter kan føre til forvirring, og du kan risikere bøder eller påtale. Du vil derfor have gavn af at forstå, hvilke situationer der konkret gør dig til behandler af data, og hvilke retningslinjer du skal følge.
Når du skaber overblik, minimerer du risikoen for fejl, og du sikrer samtidig, at dine kunder kan føle sig trygge ved at overlade oplysninger til din virksomhed. Du fremstår professionel, og du opbygger tillid. Det gavner både dit omdømme og din forretning på lang sigt.
Du stiller dig måske spørgsmålet: Hvad vil det sige at have rollen som behandler? Det handler om, at du modtager personlige oplysninger fra en anden part, som stadig ejer dataene. Hvis du driver et mindre bureau, et hostingfirma eller en outsourced service, kan du hurtigt komme i kontakt med data, der ikke oprindeligt er dine. I de tilfælde skal du se dig selv som ekstern forvalter af information, som kunden har ansvar for. Du bliver underlagt en række GDPR-krav til databehandler, fordi du håndterer andres oplysninger. Det er ikke tilstrækkeligt at ignorere disse forpligtelser og blot fokusere på kerneforretningen. Du risikerer at bryde regler, hvis du ikke er opmærksom på din juridiske rolle.
Du vil typisk blive betragtet som behandler, når du alene opbevarer eller bruger persondata efter instruks fra en dataansvarlig. Det vil sige, at du ikke beslutter, hvorfor oplysningerne indsamles, eller hvordan de skal benyttes. Du udfører i stedet en række opgaver på vegne af din kunde. Det kan være alt fra systemadministration til lønadministration, hvis du er revisor eller bogholder. En klassisk fejl er at tro, at kun store selskaber kommer i fokus, for du kan sagtens stå med det samme ansvar i din lille virksomhed.
Hvis du undrer dig over, hvornår er man databehandler, er svaret, at du har den rolle, når du styrer data uden at være den, der oprindeligt har defineret formålet med selve indsamlingen. Du følger altså anvisninger, men du træffer ikke de grundlæggende beslutninger om behandlingen. Det stiller krav til dig om at indgå en skriftlig aftale med den dataansvarlige, som fastslår, hvilke opgaver du må udføre, og hvordan sikkerheden skal håndteres. Du får således et direkte ansvar for at sikre, at oplysningerne ikke lækkes eller behandles i strid med loven. Gør du ikke dette, kan du blive mødt af tilsyn fra myndighederne, og det kan føre til konsekvenser for din forretning.
Du har brug for at forstå, at de krav, som lovgivningen stiller, ikke kun er teori. Du skal i praksis kunne vise dokumentation for, at du beskytter data. Du skal for eksempel kunne fremvise en skriftlig aftale, som beskriver, hvordan du opbevarer oplysninger, og hvornår de slettes. Denne aftale benævnes ofte en databehandleraftale, men det handler i virkeligheden om, at du følger præcise regler for at overholde GDPR. Der kan også være krav om at gennemføre vurderinger af risici, især hvis du håndterer følsomme data eller store mængder af oplysninger om enkeltpersoner.
Du er nødt til at sætte dig ind i, hvordan du sikrer opfyldelse af dine pligter, for ellers kan du blive mødt af et tilsyn fra myndighederne. De kan kræve, at du dokumenterer dine procedurer og din tekniske beskyttelse. Hvis du arbejder med underleverandører, skal du også sikre, at de forstår reglerne. Du er stadig ansvarlig for, at alt forløber efter bogen, og det nytter ikke at give skylden videre, hvis noget går galt. Som lille virksomhed kan du føle, at dette er ekstra administrativt bøvl, men du får gavn af at være grundig. Dine kunder vil sætte pris på, at du har et solidt setup for datasikkerhed, og du undgår mange bekymringer på længere sigt.
Når du først har etableret en klar ramme, ser du fordelene. Du får bedre styr på dine systemer, og du minimerer risikoen for alvorlige brud på datasikkerheden. Du behøver ikke være paranoid, men du bør have faste procedurer for, hvordan du håndterer datalæk, hvordan du informerer kunderne, og hvordan du beskytter følsomme oplysninger. Sådanne tiltag viser, at du tager ansvar for de data, som du håndterer. Derved lever du op til de formelle krav, men du viser også, at du respekterer privatlivet hos de personer, hvis oplysninger du forvalter.
Du ved nok, at der er tilsyn fra Datatilsynet, som kan bede om indsigt i dine procedurer. Du vil måske føle, at du som en mindre forretning ikke er i farezonen, men det er en misforståelse. Du kan sagtens blive udtaget til kontrol, og du skal være klar til at vise, at du overholder de krav, der gælder for en behandler. Du skal kunne dokumentere, at du fører en fortegnelse over dine behandlingsaktiviteter, og at du har en klar politik for sletning, adgangsstyring og eventuel overførsel af data til tredjelande. Tilsyn sker for at sikre, at du ikke bruger data på en måde, der strider mod lovgivningen.
Når du først har styr på disse procedurer, giver det dig ro til at fokusere på din kerneforretning. Du slipper for at bekymre dig om uventede bøder eller klager. Du har også mulighed for at brande din virksomhed som en tryg samarbejdspartner, der tager databeskyttelse alvorligt. Det understreger, at du er professionel og ansvarlig, hvilket ofte tiltrækker flere kunder. Du skal huske, at ansvaret følger dig, så længe du håndterer andre virksomheders data. Du kan ikke fralægge dig ansvaret ved at sige, at du bare fulgte kundens ønsker.
Hvis du stadig spørger dig selv: hvad er en databehandler? Det er dig, når du opbevarer, redigerer eller på anden måde bruger persondata for en kunde, uden at du selv har bestemt, hvorfor data skulle indsamles. Du handler efter instruks, men du har også en selvstændig pligt til at beskytte informationerne, og du er underlagt de relevante regler. Så hvornår er man databehandler? Svaret er, at du er det, så snart du behandler data på vegne af en anden. Så længe du er opmærksom på dette, og du ved, hvordan loven fungerer, står du stærkt. Du vil kunne håndtere eventuelle kontroller uden store problemer, og du vil føle dig tryg ved at have fuldt overblik over alle dine processer.
Du har sikkert bemærket, at mange virksomheder lægger vægt på gennemsigtighed, når de formidler deres politik om håndtering af personlige oplysninger. Det skyldes, at du skal overholde gældende regler og forklare, hvordan du beskytter brugernes data.
Når du driver en hjemmeside, skal du overholde de regler, der beskytter folks oplysninger. Det handler ikke kun om at undgå bøder fra Datatilsynet. Det handler også om at vise, at du tager ansvar for andres data.
Hvorfor du skal kende forskel mellem dataansvarlig vs databehandler, før du behandler personoplysninger? Du ved sikkert, at persondata er et vigtigt emne, når du driver en mindre forretning. Du har ansvaret for at håndtere folks oplysninger korrekt, men du er måske i tvivl om, hvornår du er dataansvarlig, og hvornår du er databehandler.
Som ejer vil du gerne handle korrekt, men måske føler du, at reglerne kan være komplicerede, og at de mest er målrettet store firmaer. Alligevel er din forretning underlagt de samme grundprincipper. Du skal kunne forklare, hvordan du håndterer personoplysninger, hvorfor du indsamler dem, og hvordan du opbevarer dem sikkert.
Få grundlæggende viden om hvad en databehandler er. Her er fokus på dig der har en lille virksomhed, enten som soloselvstændig eller med få ansatte. Alle virksomheder indsamler data og du som ejer af en lille virksomhed er ofte databehandleren.