Who is a 'data subject' in the GDPR?

GDPR: Forståelse af Databehandling og Ansvar

03/07/2017

Rating: 4.04 (2974 votes)

Databeskyttelsesforordningen (GDPR) har sat en ny standard for, hvordan virksomheder i hele Europa skal håndtere personoplysninger. For mange kan reglerne virke komplekse og uoverskuelige, især når det kommer til ansvarsfordelingen i forbindelse med databehandling. At forstå rollerne som dataansvarlig og databehandler, samt de forpligtelser der følger med, er ikke blot en juridisk formalitet – det er fundamentet for en sund og lovlig datahåndtering. Denne artikel vil guide dig igennem de centrale aspekter af databehandling under GDPR, fra definitioner og ansvarsfordeling til dokumentationskrav og behandling i stor skala.

Does GDPR prohibit combining a record-keeping practice with a GDPR document?
If so, the UK GDPR does not prohibit you from combining and embedding the documentation of your processing activities with your existing record-keeping practices. But you should be careful to ensure you can deliver all the requirements of Article 30, if necessary by adjusting your data governance framework to account for them.
Indholdsfortegnelse

Hvem er Hvem i GDPR-universet?

For at navigere korrekt i GDPR er det afgørende at forstå de tre centrale roller: den dataansvarlige, databehandleren og den registrerede. Deres indbyrdes forhold definerer, hvem der har ansvaret for hvad.

Den Dataansvarlige (Controller)

Den dataansvarlige er den organisation, virksomhed eller person, der alene eller sammen med andre bestemmer, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger. Det er med andre ord den dataansvarlige, der har det overordnede ansvar og træffer de afgørende beslutninger. Den dataansvarlige beslutter:

  • Hvilke personoplysninger der skal indsamles.
  • Hvad formålet med indsamlingen og behandlingen er.
  • Hvordan og hvor længe oplysningerne skal opbevares.
  • Hvem oplysningerne eventuelt må deles med.

Det er den dataansvarlige, der er den primære kontaktperson for den registrerede og for tilsynsmyndighederne, som f.eks. Datatilsynet i Danmark.

Databehandleren (Processor)

En databehandler er en separat enhed (organisation, virksomhed eller person), der behandler personoplysninger på vegne af den dataansvarlige. Databehandleren handler udelukkende efter instruks fra den dataansvarlige. Typiske eksempler på databehandlere er:

  • Et lønbureau, der behandler medarbejderdata for en virksomhed.
  • En cloud-udbyder (f.eks. Microsoft Azure eller Amazon Web Services), der lagrer data for en kunde.
  • Et marketingbureau, der udsender nyhedsbreve på vegne af en klient.
  • En IT-leverandør, der yder support og har adgang til systemer med personoplysninger.

Forholdet mellem den dataansvarlige og databehandleren skal altid reguleres af en skriftlig kontrakt, en såkaldt databehandleraftale.

Den Registrerede (Data Subject)

Den registrerede er den fysiske person, som personoplysningerne handler om. Det kan være en kunde, en medarbejder, en patient eller en borger. GDPR er skabt for at beskytte den registreredes rettigheder og give dem kontrol over deres egne data.

Hvad betyder 'Behandling' af Personoplysninger?

Begrebet 'behandling' dækker over næsten enhver tænkelig aktivitet, der involverer personoplysninger. Ifølge GDPR omfatter behandling blandt andet:

  • Indsamling
  • Registrering
  • Organisering og systematisering
  • Opbevaring
  • Tilpasning eller ændring
  • Søgning og brug
  • Videregivelse ved transmission eller formidling
  • Sammenstilling eller samkøring
  • Begrænsning
  • Sletning eller tilintetgørelse

Eksempler på behandling i praksis:

  • At opbevare en kundedatabase i et CRM-system.
  • At udsende et nyhedsbrev til en liste af e-mailadresser.
  • At gemme videoovervågning fra en butik.
  • At føre medlemskartotek i en forening.
  • At slette gamle medarbejderfiler efter endt opbevaringsperiode.
  • At slå en persons oplysninger op i et arkiv.

Det er vigtigt at bemærke, at selv handlinger som sletning og anonymisering betragtes som behandling. Hvis en organisation blot anmoder om generel information fra en anden uden at nævne eller modtage personoplysninger, er der ikke tale om behandling, og GDPR finder ikke anvendelse.

Samarbejdet og Ansvaret mellem Parterne

Når en dataansvarlig vælger at benytte en databehandler, overdrages selve udførelsen af behandlingen, men ikke ansvaret. Den dataansvarlige har stadig det fulde ansvar for, at behandlingen overholder GDPR.

How does GDPR affect commissioned data processing?
In most cases, commissioned data processing proceeds based on a contract. Art. 28 (3) GDPR sets forth its minimum requirements. The contract must contain, among other things, what type of personal data will be processed, as well as the object and purpose of the processing. In addition, there are further obligations for the processor.

Krav til Databehandleraftalen

En databehandleraftale er lovpligtig og skal ifølge GDPR artikel 28 indeholde en række minimumskrav. Aftalen skal være skriftlig (også elektronisk) og specificere:

  • Genstanden for og varigheden af behandlingen.
  • Behandlingens art og formål.
  • Typen af personoplysninger og kategorierne af registrerede.
  • Den dataansvarliges forpligtelser og rettigheder.

Derudover skal aftalen sikre, at databehandleren kun handler efter dokumenteret instruks, sikrer fortrolighed, implementerer passende sikkerhedsforanstaltninger, og hjælper den dataansvarlige med at opfylde de registreredes rettigheder.

Ansvarsfordeling og Hæftelse

Selvom den dataansvarlige er den primære ansvarlige, er databehandleren ikke fritaget for ansvar. Ifølge GDPR artikel 82 hæfter databehandleren solidarisk med den dataansvarlige for skader forårsaget af en behandling. Dog er databehandlerens ansvar begrænset til situationer, hvor denne ikke har opfyldt de forpligtelser, der specifikt påhviler databehandlere, eller har handlet uden for eller i strid med den dataansvarliges lovlige instrukser. Begge parter kan fritages for ansvar, hvis de kan bevise, at de på ingen måde er ansvarlige for den hændelse, der medførte skaden.

Behandling i Stor Skala: Når Kravene Skærpes

GDPR introducerer begrebet 'behandling i stor skala', som medfører yderligere forpligtelser for organisationen. Der findes ingen præcis definition med et fast antal registrerede, men vurderingen baseres på fire kriterier:

  1. Antallet af registrerede personer: Enten som et specifikt antal eller som en andel af den relevante befolkning.
  2. Mængden af data: Volumenet af de behandlede personoplysninger.
  3. Varigheden: Hvor længe behandlingsaktiviteten finder sted (permanent eller langvarig).
  4. Den geografiske udstrækning: Omfanget af behandlingsaktiviteten.

Eksempler på behandling i stor skala:

  • Et hospital, der behandler patientjournaler som en del af sin normale drift.
  • En bank eller et forsikringsselskab, der behandler kundedata.
  • En søgemaskine, der behandler data om brugeradfærd til målrettet annoncering.
  • Et teleselskab, der behandler trafik- og lokationsdata for sine kunder.

En enkelt læges eller advokats behandling af patient- eller klientdata betragtes typisk ikke som behandling i stor skala.

Hvis din organisation udfører behandling i stor skala som en kerneaktivitet, er I forpligtet til at udpege en databeskyttelsesrådgiver (DPO) og foretage en konsekvensanalyse vedrørende databeskyttelse (DPIA).

Dokumentationskravet: Fortegnelsen over Behandlingsaktiviteter

Ifølge GDPR artikel 30 skal både dataansvarlige og databehandlere føre en skriftlig fortegnelse over deres behandlingsaktiviteter. Dette er ikke en engangsøvelse, men et levende dokument, der løbende skal vedligeholdes og opdateres.

Hvad skal fortegnelsen indeholde?

Fortegnelsen skal være detaljeret og meningsfuld. En generisk liste er ikke tilstrækkelig. Den skal tydeligt forbinde de forskellige elementer i en behandling. Nedenfor ses et eksempel på, hvordan en struktureret fortegnelse kan se ud i forhold til en ustruktureret.

How does GDPR affect commissioned data processing?
In most cases, commissioned data processing proceeds based on a contract. Art. 28 (3) GDPR sets forth its minimum requirements. The contract must contain, among other things, what type of personal data will be processed, as well as the object and purpose of the processing. In addition, there are further obligations for the processor.

Tabel: Eksempel på Dokumentationsstruktur

Uhensigtsmæssig Struktur (Generisk)Korrekt Struktur (Meningsfuld)
Kategorier af personoplysninger:
Kontaktoplysninger
Finansielle oplysninger
IP-adresse...

Kategorier af registrerede:
Leverandører
Medarbejdere
Kunder...

Formål: Personaleadministration

  • Registrerede: Medarbejdere, pårørende
  • Personoplysninger: Kontaktoplysninger, CPR-nummer, finansielle oplysninger, helbredsoplysninger

Formål: Kundeordrer

  • Registrerede: Kunder
  • Personoplysninger: Kontaktoplysninger, finansielle oplysninger, IP-adresse

Formål: Markedsføring

  • Registrerede: Kunder, leads
  • Personoplysninger: Kontaktoplysninger, adfærdsdata

Ved at strukturere dokumentationen ud fra formålet med behandlingen (f.eks. HR, salg, marketing), bliver det nemmere at skabe et logisk og fyldestgørende overblik, der opfylder lovens krav. Det er tilladt at integrere GDPR-dokumentationen i eksisterende systemer for data-governance, så længe alle krav fra artikel 30 er opfyldt.

Ofte Stillede Spørgsmål (FAQ)

Hvad er den primære forskel på en dataansvarlig og en databehandler?

Den dataansvarlige bestemmer formålet med og midlerne til databehandlingen (HVORFOR og HVORDAN), mens databehandleren udelukkende behandler data på vegne af og efter instruks fra den dataansvarlige.

Skal jeg altid have en databehandleraftale?

Ja, hvis du som dataansvarlig lader en ekstern part (en databehandler) behandle personoplysninger på dine vegne, er en skriftlig databehandleraftale et lovkrav under GDPR.

Hvornår behandler min virksomhed data i "stor skala"?

Det afhænger af en konkret vurdering baseret på antallet af registrerede, mængden af data, varigheden og den geografiske udstrækning. Behandling af kunde- eller patientdata som en kerneaktivitet for et hospital, en bank eller et stort e-handelssite vil typisk blive betragtet som stor skala.

Er en Excel-fil nok til at dokumentere vores behandlingsaktiviteter?

Ja, en Excel-fil kan være tilstrækkelig, så længe den er struktureret korrekt, indeholder alle de påkrævede oplysninger fra artikel 30, og holdes løbende opdateret. For større organisationer med komplekse behandlinger kan specialiseret software dog være en bedre løsning.

Hvis du vil læse andre artikler, der ligner GDPR: Forståelse af Databehandling og Ansvar, kan du besøge kategorien Sundhed.

Go up