Brug af databehandler til databehandling – det skal du være opmærksom på

databehandling

Mange virksomheder vælger i en eller anden grad at få en eller flere databehandlere til at stå for nogle af virksomhedsprocesserne. Det kan være i forbindelse med bogføring, markedsføring eller HR. Med den nye databeskyttelsesforordning (GDPR) er det dog vigtigt, at din virksomhed er opdateret på de gældende regler i forhold til opbevaring og behandling af data, og at du er klar over, hvem der bærer det overordnede ansvar for håndtering af personoplysninger.

Det kan du blive meget klogere på herunder, hvor du kan læse om forskellen mellem en dataansvarlig og databehandler, og hvad du skal være opmærksom på, hvis du vælger en databehandler.

Dataansvarlig eller databehandler

Når man har at gøre med personoplysninger, er det vigtigt at afklare, om din virksomhed er dataansvarlig, databehandler eller begge dele. Det skyldes, at databeskyttelsesforordningen stiller forskellige krav til de to roller.

En virksomhed er dataansvarlig, hvis virksomheden anvender personoplysninger til formål, I selv definerer. Det er den dataansvarlige, som afgør, hvordan og med hvilket formål personoplysningerne behandles, og derfor er det også den virksomhed, som er dataansvarlig, der har ansvaret for, at behandlingen af kundedata og andre personoplysninger lever op til kravene i databeskyttelsesforordningen.

Personoplysninger kan både omfatte kundedata, men blandt andet også medarbejdernes personoplysninger. Alle virksomheder vil derfor i de fleste tilfælde være dataansvarlige, da de fleste virksomheder anvender personoplysninger til specifikke formål. Det kan være kundedata til brug til markedsføringsmæssige formål eller medarbejdernes personoplysninger til brug til udbetaling af løn.

En databehandler er den virksomhed, der laver databehandling, og opbevarer eller behandler kundedata og personoplysninger for den virksomhed, som er dataansvarlig. Selvom databehandleren opbevarer eller behandler personoplysningerne, er det dog altid den virksomhed, der er dataansvarlig, der bestemmer, hvilke data og oplysninger databehandleren skal behandle, og hvad formålet med databehandlingen er. Databehandleren har derfor heller ikke nogle forpligtelser overfor databeskyttelsesforordningen, men er kun forpligtiget overfor den dataansvarlige.

Hvis din virksomhed både anvender personoplysninger til egne formål, som I selv har defineret og derudover også opbevarer og behandler personoplysninger for en anden virksomhed, vil I både være dataansvarlig og databehandler. Langt de fleste virksomheder vil dog udelukkende være dataansvarlig og benytte en databehandler til håndtering og behandling af data.

databehandler

Husk at få en databehandleraftale

Hvis din virksomhed benytter en anden virksomhed til at stå for databehandling – altså en databehandler – skal der ifølge databeskyttelsesforordningen laves en databehandleraftale mellem den dataansvarlige og databehandleren.

En databehandleraftale er en skriftlig kontrakt, hvori alle praktiske forhold vedrørende databehandlingen skal fremgå, herunder blandt andet, hvis databehandleren benytter underdatabehandlere samt praktiske forhold vedrørende betalingsopkrævning.

Særligt større virksomheder kan have stor gavn af at benytte en databehandler, altså en anden virksomhed til at foretage databehandling. Det skyldes, at større virksomheder ofte har en stor database med mange personoplysninger til mange forskellige formål, som måske ikke jævnligt bliver opdateret og derfor hurtigt bliver til nogle uoverskuelige lister.

Ved brug af en ekstern databehandler, kan I blandt andet få hjælp til:

  • Håndtering af løn
  • HR
  • Oprydning af e-mail lister
  • Optimering af kundedatabase
  • Validering og fejlfinding
  • Sortering af personoplysninger
  • CRM

Hvilke databehandlingsopgaver I kan få hjælp til, afhængig i høj grad af, hvilken form for virksomhed I vælger som jeres databehandler samt hvad jeres formål med databehandlingen er.