Databehandling som selvstændig

Som selvstændig er det vigtigt at forstå, om du er dataansvarlig, og om du skal indgå en databehandleraftale, når du arbejder med underleverandører eller eksterne partnere. Dette skal ses i lyset af en tid, hvor databeskyttelse er i fokus. Persondataforordningen (GDPR) kan virke kompleks, men den grundlæggende regel er, at du skal sikre beskyttelsen af de persondata, du behandler, og kende forskellen på, hvornår en databehandleraftale er nødvendig, og hvornår den ikke er.

censor computer lærer eksamen PC opgave

Forskellen på databehandler og dataansvarlig

Det kan først og fremmest være nyttigt at kende til forskellen mellem databehandlere og dataansvarlige:

  • Databehandlere: En lønadministrationsservice, en IT-supportleverandør, eller en cloud-hostingplatform, der håndterer dine data i henhold til dine instruktioner.
  • Dataansvarlige: En revisionsvirksomhed, en advokat, eller et forsikringsselskab, som modtager oplysninger til at udføre en opgave, hvor de selv bestemmer formålet og behandlingsmåden for data.

Hvornår er en databehandleraftale nødvendig?

En databehandleraftale er påkrævet, når en dataansvarlig virksomhed overfører personoplysninger til en tredjepart, som skal behandle disse data på virksomhedens vegne og efter dens instrukser. Dette gælder typisk situationer, hvor virksomheden hyrer en ekstern leverandør til at håndtere specifikke opgaver, som involverer personoplysninger, såsom et hostingfirma, der opbevarer data, eller et lønbureau, der administrerer medarbejderlønninger. I disse tilfælde behandler tredjeparten data på virksomhedens vegne og skal derfor indgå en formel aftale, der fastsætter, hvordan data håndteres sikkert og i overensstemmelse med GDPR.

En god tommelfingerregel er, hvis din virksomhed selv kunne udføre opgaven, men vælger at lade en anden virksomhed gøre det for dig, skal du sandsynligvis bruge en databehandleraftale. Formålet er at sikre, at underleverandøren kun behandler data efter din virksomheds instruktioner og ikke til egne formål.

Hvornår er en databehandleraftale ikke nødvendig?

Der er også situationer, hvor en databehandleraftale ikke er nødvendig. For eksempel hvis du driver en håndværksvirksomhed og behandler kundedata i forbindelse med levering af en håndværksydelse, er databehandling ikke hovedydelsen i forholdet. Du er stadig ansvarlig for at informere kunden om, hvordan deres personoplysninger bliver håndteret, og sikre, at du har et lovligt grundlag for behandlingen, men en databehandleraftale med kunden er unødvendig, fordi du ikke behandler data på kundens vegne.

Et andet eksempel er, hvis din virksomhed videregiver medarbejderoplysninger til et forsikringsselskab i forbindelse med en sundhedsforsikring. I dette tilfælde fungerer forsikringsselskabet ikke som en databehandler, men som en selvstændig dataansvarlig part, der behandler oplysninger til egne formål (fx for at kunne administrere forsikringen). Her ville det heller ikke være nødvendigt at indgå en databehandleraftale, da forsikringsselskabet ikke handler på vegne af din virksomhed.

Brug af fortrolighedsaftaler

I mange tilfælde kan en fortrolighedsaftale, også kaldet en tavshedserklæring, være en passende løsning i stedet for en databehandleraftale. Dette kan være relevant, når en underleverandør har adgang til dine systemer eller data, men ikke aktivt behandler personoplysninger som en del af deres opgave. For eksempel, hvis du hyrer et rengøringsfirma, som måske har adgang til kontorer, hvor personfølsomme data opbevares, eller et webbureau, der hjælper med vedligeholdelse af din hjemmeside, kan det være passende at bede dem underskrive en fortrolighedsaftale.

En fortrolighedsaftale forpligter leverandøren til ikke at misbruge, udnytte eller videregive de data, de har adgang til, og til at opbevare dem forsvarligt. Selvom de ikke aktivt behandler data, sikrer en sådan aftale, at dine forretningshemmeligheder og personoplysninger beskyttes mod misbrug.

Afsluttende overvejelser

At navigere i GDPR som selvstændig kræver en forståelse af dine roller som enten dataansvarlig eller databehandler og at sikre, at du opfylder kravene om databehandleraftaler, hvor det er nødvendigt. Ved at forstå, hvornår du har brug for en aftale, og hvornår du kan nøjes med en fortrolighedsaftale, beskytter du ikke blot de personoplysninger, du behandler, men sikrer også, at din virksomhed er i overensstemmelse med lovgivningen.For virksomheder, der ofte samarbejder med mange underleverandører, kan det være nyttigt at udarbejde standardaftaler og processer, som sikrer en ensartet og juridisk korrekt håndtering af personoplysninger. GDPR-reglerne kan virke overvældende, men med den rette struktur og opmærksomhed kan du undgå juridiske faldgruber og samtidig beskytte både dine kunder og medarbejdere. Læs mere om en databehandleraftale her.