For mange er databeskyttelsesforordningen (General Data Protection Regulation – GDPR) en abstrakt størrelse fra EU. Mange er derfor ikke klar over, hvilket ansvar de har for persondatabehandling. Ikke desto mindre er det enormt vigtigt at være opmærksom på, hvem GDPR gælder for. GDPR gælder nemlig for alle, dvs. både fysiske personer, virksomheder, det offentlige, osv. Hvis man ikke er opmærksom på sit ansvar, kan det i yderste konsekvens medføre høje bøder og strafansvar.
Hvad er persondata?
Formålet med forordningen er at beskytte fysiske personer i forbindelse med behandling og udveksling af personoplysninger.
Personoplysninger er i forordningen defineret som enhver form for information om en identificeret eller identificerbar fysisk person, nemlig den registrerede.
Med ”identificerbar fysisk person” menes en fysisk person, som direkte eller indirekte kan identificeres. Det kan f.eks. være et navn, CPR, lokaliseringsdata eller andet, som er særligt for denne fysiske persons økonomiske, sociale, kulturelle, fysiske, fysiologiske, genetiske, kulturelle eller psykiske identitet.
For eksempel vil behandling af virksomheden ”Eksempel ApS” ikke være behandling af persondata. Det vil den ikke fordi virksomheden ikke er en fysisk person. Dog vil behandlingen af en ansats e-mail fra virksomheden, fx ”anne.sørensen@eksempel.dk” være behandling af persondata.
Hvornår er der tale om behandling?
Når forordningen fastsætter regler for ”behandling” af persondata, er enhver aktivitet eller række aktiviteter, personoplysninger eller en samling af personoplysninger gøres til genstand for omfattet.
Der kan f.eks. nævnes indsamling, registrering, organisering, systematisering, opbevaring, tilpasning. Herudover kan det også være ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse.
Bemærk, at behandling af personoplysninger, der sker som led i rent personlige eller familiemæssige aktiviteter, ikke er omfattet af forordningen.
Når du er dataansvarlig
Den dataansvarlige spiller hovedrollen i forordningen. En dataansvarlig er en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, som alene eller i samarbejde med andre træffer beslutning om, hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger.
Enhver kan som hovedregel blive dataansvarlig. Det afgørende er, at pågældende udøver bestemmelsesretten over behandlingens formål, og hvordan persondatabehandlingen skal foregå.
Det er vigtigt at være opmærksom på, at den dataansvarlige ikke er en bestemt person i en virksomhed eller myndighed. Den dataansvarlige er derimod selve virksomheden eller myndigheden. Det udelukker dog ikke, at den dataansvarlige godt kan være en fysisk person.
Hvis der er flere dataansvarlige, skal disse sikre sig, at der udfærdiges en aftale. Aftalen skal fastlægge deres respektive ansvar for overholdelse af forordningens forpligtelser.
Eksempel på behandling af persondata
Et godt eksempel kunne være hvis et flyselskab og en hotelkæde går i samarbejde om at udbyde pakkerejser. Hvis parterne sammen beslutter formålet (at kunne sammensætte en pakkerejse inkl. fly og hotel) med behandlingen af personoplysninger og med hvilke hjælpemidler. Her kan personoplysninger eksempelvis være navn, adresse osv. på de rejsende og hjælpemidler kan f.eks. være en udfyldningsformular på en hjemmeside. I sådan et tilfælde skal parterne sørge for at have en klar aftale om, hvem der gør hvad i behandlingen af personoplysningerne.
Når du er dataansvarlig, bærer du ansvaret for, at forordningens regler overholdes. Du skal efterleve kravet om ansvarlighed og ligeledes kunne dokumentere, at persondatabehandlingen sker i overensstemmelse med forordningen. Det er desuden dit ansvar at indberette eventuelle persondatasikkerhedsbrud til Datatilsynet. Overtrædelse af forordningens regler kan medføre bødestraf.
En virksomhed vil være dataansvarlig overfor kunder, ansatte og leverandører, fordi virksomheden behandler deres persondata.
Brug af databehandler påvirker ikke dit ansvar for behandlingens rette udførelse.
Hvis du vælger at antage en ekstern databehandler, skal I indgå en databehandleraftale. Det kan eksempelvis være den situation, hvor du anvender en outsourcet bogholder, og eller hvis kundedata gemmes på en ekstern server.
Når du er databehandler
En databehandler er enten en fysisk eller juridisk person, offentlig myndighed, institution eller et andet organ, som på vegne af den dataansvarlige behandler personoplysninger.
Eksemplerne nedenfor viser, hvornår der er tale om behandling af personoplysninger på vegne af en databehandler (databehandler-situationen), og hvornår det ikke er tilfældet.
Eksempel på en databehandler-situation, der kræver en databehandleraftale:
Et sygehus ønsker en app, hvor patienter i et behandlingsforløb kan indgive data om sig selv til sygehuset, f.eks. blodtryk, blodsukker, feber og lign. Formålet med behandlingen er, at patienter kan indsende sundhedsdata i stedet for at møde op på sygehuset. Sygehuset kan på denne måde kan observere patienterne uden den direkte patientkontakt.
Oplysningerne bliver opbevaret på servere hos en IT-virksomhed, der ejer og administrerer appen. Af aftalen mellem sygehuset og IT-virksomheden fremgår det, at IT-virksomheden kun må behandle oplysninger om patienterne på den måde, som er aftalt med og godkendt af sygehuset (f.eks. navne, CPR-numre, sundhedsoplysninger). Ligeledes er det sygehuset, der bestemmer, hvordan oplysningerne skal behandles (f.eks. opbevaring). Det står derfor klart, at sygehuset i dette tilfælde er dataansvarlig.
IT-virksomheden er databehandler. Det er den fordi aftalen går ud på, at IT-virksomheden skal behandle (opbevare m.m.) personoplysninger på vegne af sygehuset og ikke selv må bruge oplysningerne til egne formål eller andre formål end aftalt med sygehuset.
Eksempel på en ikke-databehandler:
Et bosted for borgere med fysiske udfordringer ønsker en tømrers hjælp til at gøre boligerne mere handicapvenlige og imødekomme borgernes individuelle fysiske behov. Efter lovgivningen er bostedet forpligtet til at sikre de fysiske rammer for borgerne. I denne forbindelse videregiver bostedet borgernes navne og adresser til tømreren, så han ved, hvor han skal foretage hvilke forbedringer af boligerne. Tømreren er ikke databehandler i denne situation, da aftalen angår forbedring af boliger, og udlevering af personoplysninger alene er sket for at kunne udføre hovedaftalen. Desuden skal tømreren ikke løbende behandle persondata på vegne af bostedet. På samme måde indgår der heller ikke i aftalen instrukser om behandling af borgernes data. Tømreren bliver derfor selvstændig dataansvarlig for den behandling, som han foretager af borgernes navne, adresser osv.
Underdatabehandler
Hvis du som databehandler anvender en underdatabehandler (altså anvender en anden databehandler), skal du have forudgående godkendelse af den dataansvarlige.
Når du er databehandler, er det vigtigt, at du overholder aftalen med den dataansvarlige. Handler du i strid med kontrakten og instruksen fra den dataansvarlige, anses du dataansvarlig for så vidt angår denne del af behandlingen, som ligger udenfor instrukserne.
Al form for persondatabehandling
Forordningens anvendelsesområde er som udgangspunkt al persondatabehandling. Dette gælder, uanset om der er tale om helt eller delvis digital persondatabehandling. Ligeledes omfatter forordningen manuel behandling af persondata i registre eller med henblik på registre.
Forordningen skal anvendes ved persondatabehandling, som sker som led i aktiviteter, som udføres for en dataansvarlig eller en databehandler, som er etableret i EU, uanset om behandlinger sker inden for EU eller ej.
Derudover finder forordningen anvendelse på persondatabehandling om registrerede (dvs. de fysiske personer, som forordningen beskytter), der er i EU, og som foretages af en dataansvarlig eller databehandler, som ikke er etableret i EU, hvis behandlingsaktiviteterne vedrører en af følgende:
- Udbud af varer eller tjenester til sådanne registrerede i EU, uanset om betaling fra den registrerede er påkrævet, eller
- Overvågning af sådanne registreredes adfærd, for så vidt deres adfærd finder sted i EU
Kan vi hjælpe dig?
Databeskyttelsesforordningen og den supplerende databeskyttelseslov indebærer et stort ansvar ved behandling af personoplysninger. Det er derfor vigtigt at være bekendt med de gældende regler. Reglerne er komplekse, hvorfor det kan være en fordel at alliere sig med en advokat i persondataret. Vores advokat Eva Kaya er specialiseret i GDPR og står klar til at hjælpe dig. Kontakt Eva her for en gratis, indledende samtale om din situation.
