Hvem er dataansvarlig?
Hvis din virksomhed behandler personoplysninger, skal du vide, om virksomheden er dataansvarlig, eller om du er databehandler. Der er nemlig forskellige krav til en dataansvarlig og en databehandler.
Er du databehandler, behandler du personoplysninger på vegne af den dataansvarlige. Er du dataansvarlig, er det dig, som afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger. Fx arbejdsgiveren er som virksomhed dataansvarlig for behandling af oplysninger om dens medarbejdere, men noget af behandlingen kan være overladt til en databehandler, fx et lønbureau.
En dataansvarlig kan være enten en fysisk person, en juridisk person (selskab), en offentlig myndighed, en institution eller et andet organ.
Fælles dataansvar
Ved nogle behandlingsaktiviteter kan flere parter i fællesskab være dataansvarlige. Det er tilfældet, hvis to eller flere virksomheder behandler personoplysninger til et fælles formål og i fællesskab beslutter, hvordan oplysningerne skal behandles (i tilfælde hvor man bruger oplysningerne til egne formål, er der ikke tale om et fælles dataansvar).
Som fælles dataansvarlige er begge/alle parter ansvarlige for at overholde GDPR-reglerne. I er forpligtet til at udarbejde en form for aftale om, hvem der har ansvar for hvad – men I er alle ansvarlige for behandlingen som helhed.
Brug for hjælp til jeres håndtering af jeres persondata? Kontakt os i dag.
Hvilket ansvar har den dataansvarlige?
Som dataansvarlig har du en række forpligtelser og grundlæggende principper, du skal overholde.
Forpligtelser
Som dataansvarlig skal du sørge for:
- At du har behandlingshjemmel – dvs. at du gerne må behandle de oplysninger, du er i besiddelse af.
- At du kan overholde de registrerede personers rettigheder, herunder oplysningspligten.
- At indberette eventuelle databrud til Datatilsynet indenfor tre døgn.
- At føre fortegnelse over dine behandlingsaktiviteter.
- At indgå databehandleraftaler med databehandlere, som behandler oplysninger på dine vegne.
- At du er i stand til at dokumentere overfor Datatilsynet, at du har opsat passende foranstaltninger for beskyttelse af den data, du behandler.
Principper
Foruden dine forpligtelser er der en række grundlæggende principper, du altid skal overholde:
- Lovlighed, rimelighed og gennemsigtighed: Behandlingen skal leve op til de gældende GDPR-regler, og den skal være gennemsigtig.
- Formålsbegrænsning: Når du indsamler oplysninger, skal der være et klart formål med indsamlingen. Oplysningerne må ikke senere bruges til andre formål.
- Dataminering: Du skal kun behandle den mængde oplysninger, som er nødvendig for at opnå formålet.
- Rigtighed: Du skal holde oplysningerne opdaterede og slette eller rette forkerte oplysninger.
- Opbevaringsbegrænsning: Når oplysningerne ikke længere skal bruges, skal de enten slettes eller anonymiseres.
- Integritet og fortrolighed: Du skal så vidt muligt beskytte oplysningerne mod at gå tabt, blive beskadiget eller komme i hænderne på uvedkommende.