Persondata: Behov for en databehandleraftale eller ej?

Hej Karsten, Jeg er lidt i tvivl. Er det korrekt forstået at hvis en virksomhed laver aftale med fx et konsulentfirma, som i forbindelse med deres ydelse skal snakke med medarbejderne, så skal der laves en databehandleraftale, da de vil få adgang til navne og firma e-mails, for at kontakte medarbejderne i forbindelse med ydelsen? (Virksomheden får fx resultatet tilbage i anonym form). Jeg er derudover meget i tvivl om der derudover skal gives accept fra medarbejdere, om at der deles informationer til konsulentfirmaet eller om det er "nok" at man får lavet Databehandleraftalen?

Hej Karsten (m.fl.) Jeg har udviklet en hjemmeside til undervisningssektoren. Her kan kunder (= skoler eller lærere på skoler) købe sig adgang til sidens materiale i en slags abonnementsordning, hvor der betales et årligt abonnementsgebyr. Herefter får de tilsendt et brugernavn (= skolens navn) samt en personlig kode, genereret af et modul i WordPress. Koden tilsendes skolen/læreren. Jeg opbevarer skolens (eller lærerens) mailadresse i en database, således at jeg året efter kan udsende en regning for abonnementet det følgende år ved fornyelse af abonnementet. Den fremsendte kode gemmer jeg ikke, og hvis en bruger glemmer koden, genereres en ny, da jeg naturligvis ikke kan genfremsende en kode. Om kunderne gemmes kun skolens/lærerens navn samt mailadresse. Skal jeg have en databehandleraftale?

Hejsa, Jeg er en webdesigner, og skal bruge email fra kunder til hosting og webopsætning. Jeg tilbyder også mådeslige vedligeholdelsespakker til mine klienter. Dvs. at jeg vedligeholder deres hjemmeside. Hvis jeg står overfor et problem jeg ikke kan løse, og blive nødt til at indblande en tredjepart som skal have oplyst min kundes email for at kunne løse problemet, er jeg så databehandler? Jeg bruger pt. Fiverr til at løse mine problemer. Tak på forhånd!

Hvad hvis en dataansvarlig ikke ønsker at indgå en databehandleraftale, men stadig begynder at sende persondata som telefonnumre på medarbejdere... så bliver leverandøren jo automatisk til dataansvarlig, hvis denne tager imod de persondata og behandler dem alligevel. Ved eks. standardløsninger, hvor man kan oprette en konto uden manuel hjælp fra en medarbejder, ville det jo betyde at man som leverandør skal igennem alle kunder uden databehandleraftale, for at se om de sender personoplysninger, som ikke er omfattet af en DBA, for at sikre, at man så overholder oplysningspligten osv, uden at man egentlig som leverandør har ønsket at blive dataansvarlig for kundens kunder/medarbejdere/samarbejdspartnere. Så mit spørgsmål: Hvis en kunde aktivt fravælger indgåelse af DBA, evt. med en erklæring om at de ikke vil komme til at sende personoplysninger, vil det så betyde at man som leverandør så alligevel IKKE er dataansvarlig? Og ansvaret dermed ligger hos kunden?

Hej Karsten Vi har en portal, hvor man kan anmode om 3 tilbud på en ydelse fra forskellige udbydere. Vi beder vores private brugere, som anmoder om tilbud, om at oplyse navn, alder, email og postnummer. De tilknyttede virksomheder kan alle se alder og postnummer i vores backend-system, men kun virksomheder, der køber adgang til det, kan se navn og mail på brugeren. Vi får ikke andre oplysninger end de nævnte fra brugerne, og alt kontakt mellem virksomhed og bruger er udenom os og vores systemer. Skal vi have aftaler med de virksomheder, der er tilknyttet vores portal? På forhånd tak! Mvh. Heidi

Hejsa Jeg er ansvarlig for vores Databehandler aftaler og SLA aftaler, og nu er vores firma fusioneret med et andet IT firma, og det er endt med et nyt firma og nyt CVR, så mit spørgsmål går på om nu hvis det er sket skal vi så have lavet alle vores Databehandleraftaler mm igen under det nye navn / CVR? Og noget andet, skal man ikke have en form for disclaimer / kundegodkendelse når man laver support remote eks. igennem Teamviewer, så kunden om det er firma eller private, er klar over at man kan komme til at se persondata / følsomme data. ?

Vi er en engrosvirksomhed, der bl.a. importerer og videresælger rehab maskiner, hvor brugerens data og udvikling registreres i en medfølgende app. Oplysningerne om den enkelte bruger behandles udelukkende af vores underleverandør (producenten af maskinerne). Data passerer ikke på nogen måde vores virksomhed. Vores køber har stillet krav om at indgå en databehandleraftale med os, hvori indgår dokumentation for, at vi stiller samme krav til vores underleverandør (producenten). Det har vi gjort, men køber stiller også krav om, at vi dokumenterer, at vi lever op til databehandlerkravene (altså har ledelsessystemer, proces for sletning osv). Er det sidstnævnte krav nødvendigt? Når data ikke passerer os, giver proces for sletning jo f.eks ikke meget mening. Mvh Pernille

Jeg er startet som selvstændig bogholder. Mine kunder vil blive virksomheder som beder mig om at bogføre deres regnskab i et regnskabsprogram (e-conomic, dinero osv), og lave deres løn for ansatte i et lønsystem. Arbejdet vil jeg udføre på min egen adresse. Jeg vil komme til at få digital adgang til deres bankkonto, skat m.v. Diverse dokumenter vedr deres regnskab vil komme til at figurere på min pc. Desuden vil jeg også komme til at opbevare deres bilag fysisk på min adresse. Hvad har jeg brug for?

Hej Karsten. Vi bruger i vores virksomhed en underleverandør til hosting af vores exchange server samt domæne controller, begge dele styres af os selv, men de har "drift" ansvaret (opdateringer og overvågning af performance). Exchange serveren har ansattes navne samt firmamailadresser, der er ikke tale om cpr eller anden info. samme gør sig gældende for vores domæne controller, skal vi have en databehandler aftale med vores leverandør? Det er dedikerede servere som leverandøren kun opdaterer og holder øje med oppetid osv. Venlig hilsen Lars

Hej Karsten, Jeg er startet i en virksomhed, hvor jeg skal varetage og vedligeholde GDPR. Vi sidder mange medarbejdere og har alle adgang til oplysninger i forhold til fulde navn, adresse, fødselsdag, nærmeste pårørende osv. Vi har lavet samtykkeerklæring som er underskrevet, fra hver enkelt, om at vi må have disse oplysninger stående. Er det så ydereligere relevant at de skal underskrive en databehandleraftale? Vi har derudover to eksterne firmaer, det ene et IT som styre alt med oprettelser til nye medarbejdere, som også har adgang til personlige oplysninger, og det samme med vores eksterne økonomi afdeling som sørge for løn. Disse to skal vel underskrive en dataansvarligaftale, eller har jeg forstået det helt forkert? Mvh. Simone

På Advodan's hjemmeside slås det fast, at tilbud til medarbejderne af en sundhedsforsikring ikke kræver databehandler aftale mellem virksomhed og forsikringsselskab, da den primære ydelse ikke er databehandling. Vi er et firma som hjælper andre firmaer med at styre bruttolønsordninger, og tilbyder via arbejdsgiver medarbejderne tilgang til, bestilling af og levering af IT-udstyr. Efter levering af udstyret leveres en liste med bruttolønstræk til virksomheden. For at kunne kontakte medarbejderne modtager vi navn, adresse, telefon og mail adresse. Vil denne proces kunne ligestilles med processen og leveringen af en sundhedsforsikring, således at der dermed ikke kræves en databehandleraftale? På forhånd tak for svar og mvh Jørn

Hej Avodan. Jeg er med på, at man som virksomhed skal lave en databehandleraftale med eventuelle behandlere af virksomhedens data. Men hvad nu hvis, der er tale om en instans, som blot opbevarer dokumenter (fx iCloud eller i mit tilfælde Dropbox), som omhandler projekter - og derved til tider personer, primært bosat i afrikanske lande (som ikke er underlagt samme GDPR-lovgivning som EU-borgere). Skal man så stadig lave en aftale, eller er det tilstrækkeligt at skrive i virksomhedens retningslinjer for GDPR, at vi bruger Dropbox og vores overvejelser omkring dette. Vh. Caroline

Hej En bilforhandler med værksted, der reparerer leasede biler og engang imellem sælger nye biler til samme leasingselskaber, skal der da være databehandleraftale herimellem? (imellem forhandler og leasingselskab) - Som jeg forstår, skal der kun laves databehandleraftale imellem behandler og ansvarlig, hvis den ene part behandler dataene efter instruks fra den dataansvarlige? På forhånd tak Line

Hej karsten, Jeg har en app, hvor jeg skal have behandlet persondata. Spørgsmålet er derfor, om det kun er CVR-registrerede som jeg kan lave en databehandler aftale med, eller om den også kan laves med fagligt kompetente venner, studerende etc? DBH Asger

Hej Karsten Hvis man som virksomhed har en Facebook-side, skal man så lave en databehandleraftale med Facebook - og i så fald hvem kontakter man? Tænker at jeg ikke er den første, der stiller der spørgsmål, men jeg har svært ved at google mig frem til noget på nettet om hvordan man forholder sig. I princippet burde Facebook være på front med dette med en vejledning ift. virksomhedssider - hvis du spørger mig. Det samme gør sig naturligvis gældende for virksomheder på Instagram - og alle de andre sociale medier. Hvad gør man? Med venlig hilsen Karina

Hej Gitte Nej, det er ikke en databehandlerrelation. Kommunen og I er hver for sig selvstændigt dataansvarlige for jeres behandling af personoplysninger. Venlig hilsen Karsten HOlt

Jeg sidder på en SOSU Skole, hvor vi er i tvivl om vi skal have databehandleraftaler med kommunerne og regionen. De har ansat elever, som går i skole hos os. Hvordan skal vi forholde os? Nogle elever starter på grundforløb 2 uden at være ansat i kommune/region, hvor det er "vores" elever. Men hvis de har en uddannelsesaftale med kommune/region er de ansat hos dem og går på skole her. håber i kan svare på hvad vi skal gøre og hvordan vi skal forholde os Med venlig hilsen Gitte Ellevang Larsen

Hej Helge Det er en gråzone. Principielt er der ingen "bagatelgrænse" for, hvor lidt persondata, der skal til, før der kan være tale om en databehandlerkonstruktion, men omvendt er det et krav, at behandling af persondata udgør en integreret del af ydelsen og ikke blot er accessorisk. Datatilsynet har netop udgivet en lille vejledning om eksterne konsulenters rolle, men de heri omtalte eksempler rammer ikke lige plet på din situation: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2019/feb/dataansvar-for-konsulenter-og-vikarer/ Jeg ville i dit sted lave en kort databehandleraftale, der opfylder kravene GDPR art. 28. Hvis du ikke opbevarer/hoster foreningens data, kan det gøres forholdsvist enkelt. Venlig hilsen Karsten Holt

Hej Jeg har enkeltmandvirksomhed (konsulent) og er fungerende administrator af en forenings hjemmeside. Der tilmeldes til diverse via hjemmesiden og de ligger de i systemet der driver hjemmesiden (kan slås fra) og jeg har som administrator adgang til disse tilmeldinger - ellers leveres de videre til foreningens mail via sikker mail. Skal der laves nogen databehandler/dataansvarlig aftale mellem foreningen og undertegnede? På forhånd tak for svar

Jeg vedligeholder et website for en fond som uddeler legater. Fonden publicerer (efter aftale med modtagerne) navn og billede på modtagerne, hvilket vil sige, at de oplysninger - plus måske deres e-mail-adresser (som vi ikke publicerer) passerer mit bord. Fonden mener jeg skal underskrive en databehandleraftale; jeg mener det er komplet absurd når websitet er offentligt tilgængeligt, men hvad siger loven?

Som lejer af kontorer i et kontorfællesskab, så har boligadministrator, inkl. dennes rengøring, håndværkere osv. adgang til mine kontorer - også når jeg ikke er der. Mine bærbare computere, fortrolige papirer osv. er låst inde på forsvarlig vis. Skal jeg lave en databehandleraftale med udlejer alligevel - Skal jeg betragte udlejer som en hosting service?

Jeg er ansat i en virksomhed, hvor jeg skal gennemgå og tilpasse virksomhedens personaledata i henhold til GDPR. Skal der udarbejdes en databehandleraftale for mig, eller vil en samtykkeerklæring til behandling af persondata i forbindelse med ansættelse være tilstrækkelig? Med venlig hilsen Lisbeth

Hej Jeg sidder på en SOSU skole og er i tvivl om, vi skal have en databehandleraftale med det firma/system, som vi bruger, når en elev anmelder en arbejdsskade, det er sjældent at det sker. Men det hænder jo og det er jo fyldt med personlige oplysninger.? Håber i kan hjælpe Med venlig hilsen Gitte Ellevang Larsen

Hej Lars. Skal man i en virksomhed hvor man hjælper andre virksomheder med deres markedsføring, bl.a. Facebook og Google ads annoncering, deres hjemmeside og nyhedsbreve lave databehandleraftale eller ?

Skal der laves databehandler aftaler med myndigheder vedr. f.eks. anmeldelse af arbejdsskader til Arbejdskade styrelsen og indberetning af moms og skat for virksomheden og eller medarbejdere, ISP'er og telefonselskaber.

Hej Lars Vi levere hjælpemidler til handicappede, og har i den forbindelse en underleverandør der producere specialopgaver for os. De modtager navn og evt. bo-kommune. Vil man i dette tilfælde få udarbejdet en databehandleraftale, og i så fald er det så underleverandøren eller os der skal udfærdige den? Eller vil man i dette tilfælde lave en fortrolighedsaftale, da hovedydelsen er et produkt? Og hvem skal udfærdige fortrolighedsaftalen? PFT

Hej Jeg har en lille IT virksomhed hvor jeg hjælper små virksomheder med deres IT, bl.a. en tandlæge, der jo opbevarer sine klienters personlige data. Skal jeg oprette en Databehandleraftale til denne tandlæge? De udleverer ikke data til mig, men der er risiko for at jeg ser følsom data på deres computer, når jeg hjælper dem. PFT. Dennis

Hej Skal der udfærdiges en behandler aftale mellem ansvarlig leder og de ansatte, såfremt de ansatte har adgang til følsomme og personfølsomme oplysninger? Eller er det tilstrækkeligt, at man indskriver tavshedspligt i kontrakten? Og hvordan gør man med frivillige? skal der også laves en intern kontrakt? På forhånd tak

Jeg har et lille personligt bogføringsfirma og pr 30.6.18 går jeg på næsten-pension og fortsætter så kun med 2 kunder. Disse 2 kunder laver jeg så bogføring for, dvs jeg har deres cvr-nr, navn og øvrige oplysninger. Hvad skal jeg have af "formularer" Med venlig hilsen M. Hansen

Hej, Jeg har en enkeltmandsvirksomhed og varetager § 54 støttepersonopgaver. jeg modtager ikke cpr numre, men kun ansættelseskontrakt, hvorpå der står børn og forældres navne. Så har jeg nogle samværsopgaver, hvor jeg skriver rapporter, men uden cpr og kun barnets fornavn og forældrenes og nogle gange også efternavne. Hvilken løsning skal jeg vælge? Jeg er meget forvirret og tænker at en sikker mail løsning kunne være nok? mvh Marianne Thomsen

Vi er en Fodboldforening med 165 klubber, hvor vi får tilmeldinger en gang om året, men vi får kun navn, e-mail og telf. nr.. skal vi have en databehandleraftale.

Jeg er ansvarlig for en ejerforenings hjemmeside, hvor der er mulighed for med navn og mailadresse at tilmelde sig en nyhedstjeneste. Denne anvendes alene til små informationer om vores boligområde. Tjenesten hostes af den medievirksomhed, hvor hjemmesiden ligger. Ejere opretter sig selv, bekræfter tilmelding og afmelder selv. Kan vi nøjes med en fortrolighedserklæringer fra hostingbureauet?

Jeg tager på markeder og i den forbindelse har jeg en betalingsautomat og modtager mobilepay. Skal jeg have databehandleraftale med dem eller betragtes de som dataansvarlige? Venlig hilsen Pia Bertelsen

Kære Lars. Jeg har en klinik, hvor vi har mange personfølsomme oplysninger for at kunne give den rigtige behandling. Jeg tror jeg har nogenlunde styr på det der.... men mit spørgsmål er hvordan jeg forholder mig til mine ansatte. Betegnes de som databehandler? Og hvad bør der stå i deres kontrakt udover at de har tavshedspligt. Jeg ser frem til dit svar. Venligst Katja

Som kørelærer har jeg adgang til mine elevers cpr.nr hos kommunen. Jeg har ligeledes deres ansøgninger liggende. Selvfølgelelig under opsyn og bag las. Men papirer indeholder cpr nr. Hvorledes skal jeg forholde mig. Det er et kendt kørelærer problem som vi internt har drøftet blandt kørelærer

Hej Lars. Jeg ejer nogle få lejemål, og mit spørgsmål er, om jeg som udlejer skal have skriftlige databehandleraftaler med mine lejere og i øvrigt de forsyningsselskaber, som er knyttet til lejemålene, feks. vdr. vandværker og spildevand, Seas ( kræver cpr. nr. fra en lejer ) og Brunata, som udfærdiger varme og vandregnskaber? Mvh. Preben Larsen.