Sådan fører du tilsyn med din databehandler
Datatilsynet har i oktober udsendt en vejledning til, hvordan man som dataansvarlig kan føre tilsyn med sine databehandlere. De vigtigste pointer er fremhævet i det følgende.
Som virksomhed kan man ikke undgå at komme i besiddelse af en række personoplysninger om f.eks. virksomhedens medarbejdere. En personoplysning er enhver form for information, der kan henføres til en bestemt person. Personoplysninger kan for eksempel være personnumre, kontaktoplysninger osv., men også billeder og fingeraftryk mv.
Virksomheden er dataansvarlig i forhold til de registrerede persondata, men vil i praksis ofte samarbejde med en række databehandlere som lønbureau, rekrutteringsvirksomheder mv., som behandler personoplysningerne på vegne af virksomheden. Når en dataansvarlig gør brug af databehandlere, skal der indgås en databehandleraftale. Det er denne aftale, som den dataansvarlige gennem tilsyn skal sikre sig, at databehandleren overholder. Tilsynet vil derfor bestå i at kontrollere, at databehandleren behandler personoplysningerne i overensstemmelse med databehandleraftalen samt overholder databeskyttelsesreglerne. Hvor ressourcekrævende tilsynet skal være, afhænger af flere faktorer.
En væsentlig faktor er, hvor mange personer der er registreret oplysninger om. Jo flere registrerede personer, desto større behov er der for et intensivt tilsyn.
En anden faktor der har betydning for tilsynets intensitet, er typen af personoplysninger. Behandler databehandleren oplysninger af særlig følsom eller beskyttelsesværdig karakter, vil behovet for et intensivt tilsyn øges. Sådanne oplysninger kan f.eks. være oplysninger om den registreredes helbred samt politiske eller religiøse overbevisning.
En sidste faktor er, om oplysningerne undergår en særlig form for behandling. Er dette tilfældet, kræves et mere intensivt tilsyn. Oplysninger der undergår en særlig form for behandling kan f.eks. være systematisk overvågning af personer med henblik på at kontrollere dem.
Afhængigt af de ovennævnte faktorer kan den dataansvarlige tilpasse sit tilsyn et af Datatilsynets seks tilsynskoncepter. Vejledningen indeholder desuden en selvtest, hvor den dataansvarlige på baggrund af ovennævnte faktorer vil få en score mellem 1-10 point. Jo større risiko, der er forbundet med databehandlingen, desto flere point vil man score. Scoren og det dertil knyttede tilsynskoncept, er således udtryk for hvor intensivt et tilsyn den dataansvarlige skal føre med databehandleren.
GLS-A bemærker
Vejledningen er tænkt som et hjælpemiddel til den dataansvarlige virksomhed. Vejledningen og de skitserede tilsynskoncepter er ikke nødvendigvis udtryk for en udtømmende regulering af det tilsyn, den dataansvarlige skal føre med sine databehandlere. Vejledningen er imidlertid et godt værktøj, som tydeliggør tilsynets funktion. Læs mere her.