• Faglig nyhed
  • 20. november 2017

Ny vejledning om dataansvarlige og databehandlere

Justitsministeriet og Datatilsynet har i kølvandet på vejledningen om persondataretligt samtykke netop offentliggjort en ny vejledning om dataansvarlige og databehandlere. Vejledningen er den femte i rækken af vejledninger, der bliver offentliggjort frem mod den 25. maj 2018, hvor persondataforordningen håndhæves.

Rollerne i persondatalovgivningen
Inden for persondataretten sondres der mellem, om man er ”dataansvarlig” eller ”databehandler”, når man behandler personoplysninger. Sondringen mellem de to roller er helt central, da krav til de to roller er forskellige. Den dataansvarlige bestemmer, med hvilke formål personoplysningerne må behandles (formålet), og hvordan personoplysningerne må behandles (hjælpemidlerne). Den dataansvarlige er også ansvarlig for at sikre, at en behandling af personoplysninger lever op til reglerne i persondataforordningen. 

Vejledningen indeholder nogle generelle principper og eksempler, som kan hjælpe private virk-somheder, offentlige myndigheder og andre organer, som behandler personoplysninger, til at afklare, hvilken rolle virksomheden eller myndigheden har i forbindelse med behandlingen af personoplysninger. Blandt andet kan man lægge vægt på, om den ydelse, der skal leveres, behandling af personoplysninger, hvem der træffer afgørelse om formål og væsentlige hjælpemidler, herunder behandlingsskridt som indsamling, videregivelse, sletning og anvendelse af underdatabehandlere, og om aftalen eller en del af en aftale en direkte eller indirekte instruks til en ene part om behandling af personoplysninger.

Dataansvarlig eller databehandler
Hvis der er tale om en databehandlerrelation, skal den dataansvarlige sikre sig, at der udarbejdes en databehandleraftale, som lever op til de krav, der stilles til sådanne aftaler i persondataforordningen. En databehandleraftale skal være skriftlig, herunder elektronisk, og bl.a. indeholde oplysninger om genstanden for og varigheden af behandlingen, behandlingens formål, typen af personoplysninger og kategorien af personoplysninger, som behandles, mv. 

Hvis ingen af parterne er databehandlere, men der derimod er tale om to selvstændige dataansvarlige, som udveksler personoplysninger, skal der være grundlag herfor i persondataforordningen. Den dataansvarlige, som videregiver personoplysninger, skal sikre at denne har lov til at videregive oplysningerne. Den dataansvarlige, som modtager oplysningerne, skal sikre, at denne lov til at behandle personoplysningerne til sine egne, nye formål. Derudover skal den modtagende dataansvarlige selvstændigt opfylde sin oplysningspligt efter persondataforordningen.  

Praktiske eksempler 
Udover de generelle principper for, hvornår man er dataansvarlig henholdsvis databehandler, indeholder vejledningen også nogle praktiske eksempler på, hvornår der er tale om en databe-handlerrolle henholdsvis en dataansvarligrolle (fx når en revisor udarbejder en selvangivelse, eller når en virksomhed videregiver oplysninger om sine ansatte til SKAT i forbindelse med lønberegning, mv.).

Flere vejledninger i vente 
Justitsministeriet og Datatilsynet vil frem mod starten af 2018 offentliggøre flere vejledninger til persondataforordninger. Den næste vejledning, der forventes offentliggjort, er vejledningen om pligten til at føre en fortegnelse over aktiviteter, der indebærer behandling af personoplysninger.

Tidsplanen for vejledningerne kan ses her. 

Vejledningen om dataansvarlige og databehandlere kan læses her. 

 

Emneord
  • København

    Langelinie Allé 35
    2100 København Ø

  • Aarhus

    Værkmestergade 2
    8000 Aarhus C

  • Shanghai, repræsentationskontor

    No.1440 Yan'an Middle Road, Suite 2H08
    Jing'an District, 200040 Shanghai

  • Bech-Bruun Advokatpartnerselskab

    T +45 72270000
    F +45 72270027
    E info@bechbruun.com
    CVR-nummer 38 53 80 71
    Cookie-politik
    Legal Notice and Disclaimer
    Privatlivspolitik