Er du dataansvarlig eller databehandler?

Faglig nyhedDet er vanskeligt at forstå, hvornår man har hvilken rolle – det forsøger vi at afhjælpe nu.

Om revisor

FSR – danske revisorer har indgået et samarbejde med Lexoforms, som klæder jer medlemmer på til at blive GDPR-rådgivere. Det afføder en del spørgsmål – blandt andet hvornår man er dataansvarlig, henholdsvis databehandler.

Hvornår er du dataansvarlig?
Den dataansvarlige er den, der afgør, hvilke persondata der skal behandles og på hvilken måde. Den dataansvarliges hovedydelse er andet end behandling af persondata.

Eksempler: Overgives persondata fx til en håndværker, der behøver et navn og en adresse mm. for at kunne levere en håndværksopgave, er håndværkeren ikke databehandler, men dataansvarlig for de oplysninger, der er overgivet ham/hende. Det samme gælder revisorer. Revisorer er heller ikke databehandlere. Revisorers hovedydelse er også en anden. Revisorer får en opgave, der skal løses, men får ikke en instruks om, hvordan opgaven skal løses. Bemærk, at dette gælder for revisions- og regnskabsopgaver – se nedenfor om bogføring.

Hvornår er du databehandler?
Databehandlerens hovedydelse er helt eller delvist at behandle personoplysninger på vegne af en dataansvarlig - og efter en aftalt instruks, som databehandleren skal holde sig inden for.

Eksempler: En it-virksomhed vil typisk være en databehandler, som behandler data på den dataansvarliges vegne efter instruks, fx ved at hoste den dataansvarliges mailserver, filserver, personalesystem, kundedatabase eller økonomiprogram. Det samme gælder revisorer, som leverer en bogføringsassistance, som fx også inkluderer lønservice.

Generel afvejning
Når der ikke er et klart svar på, om du handler som dataansvarlig og/eller databehandler, må du veje argumenterne op mod hinanden og vurdere, hvilken konstruktion der er flest og tungest argumenter for.

 

Se denne vejledning fra november 2017 fra Datatilsynet om forskellen mellem dataansvarlige og databehandlere.