Databehandlere
Sondringen mellem hvem der er dataansvarlig, og hvem der er databehandler er vigtig, fordi kravene til en dataansvarlig og en…
Kræver medlemsskab
Du skal være logget ind for at læse denne artikel
Vores indhold og rådgivning er kun tilgængeligt for medlemmer af GLS-A.
Log ind
Endnu ikke bruger? Opret dig her
Tilsyn med databehandlere
Som dataansvarlig skal man føre tilsyn med sine databehandlere. Hvor omfattende og intensivt tilsynet skal være, afhænger af omfanget, typen og hvilken behandling af personoplysninger, der overlades til en databehandler. Datatilsynet har udarbejdet en vejledning med en enkel model for det obligatoriske tilsyn og en række tilhørende tilsynskoncepter. Vejledningen kan læses her.
Vejledende model for hvor omfattende tilsyn, der skal føres
Datatilsynets vejledning opstiller en enkel pointskala, hvor man som dataansvarlig gennem fire spørgsmål tildeles point ud fra forskellige parametre i forhold til hvor stor en risiko, behandlingen af personoplysninger udgør for den registrerede. Summen af disse point afgør, hvor ressourcekrævende et tilsyn man skal føre, og hvilket koncept for tilsyn man kan anvende.
- Får man mellem 1-2 point, kan man vælge mellem koncept 1-6.
- Får man mellem 3-4 point, kan man vælge mellem koncept 2-6.
- Får man mellem 5-6 point, kan man vælge mellem koncept 3-6.
- Får man mellem 7-10 point, kan man vælge mellem koncept 5-6.
- Koncept 1: Den dataansvarlige skal ikke gøre noget, medmindre denne bliver opmærksom på, at der er noget galt hos databehandleren. Mellem 1-2 point.
- Koncept 2: Den dataansvarlige benytter en troværdig databehandler, og denne har bekræftet overfor den dataansvarlige, at alle krav i databehandleraftalen efterleves. I disse tilfælde er der ikke grund til at reagere, medmindre man bliver opmærksom på kritisable forhold. Mellem 1-4 point.
- Koncept 3: Databehandleren giver årligt den dataansvarlige en skriftlig status på forhold, der er omfattet af databehandleraftalen, og andre relevante områder. Den dataansvarlige kan evt. spørge til oplevede sikkerhedsbrud. Mellem 1-6 point.
- Koncept 4: Databehandleren har en relevant og opdateret certificering, eller følger et såkaldt adfærdskodeks, som er relevant for behandlingsaktiviteterne. Den dataansvarlige skal dog være opmærksom på at kravene til databehandleraftalen overholdes i certificeringen eller adfærdskodekset. Mellem 1-6 point.
- Koncept 5: En uafhængig tredjepart har ført et dokumenteret tilsyn med databehandleren på et område, som også dækker virksomhedens behandlingsaktiviteter. Den dataansvarlige skal sikre sig, at tilsynet omhandler overholdelse af databehandleraftalen, at tilsynet dækker eventuelle særlige aftalte krav i databehandleraftalen, at tilsynet også har fokus på, om databehandleren sikrer efterlevelse af krav samt at tredjeparten er uafhængig. Mellem 1-10 point.
- Koncept 6: Den dataansvarlige fører selv eller i samarbejde med andre et dokumenteret tilsyn med databehandleren. I disse tilfælde er det vigtigt, at den dataansvarlige er opmærksom på alle risici forbundet med databehandlingen. Mellem 1-10 point.
- Databehandlerens medarbejdere, der behandler personoplysninger, skal have underskrevet en fortrolighedsaftale eller er underlagt en passende lovbestemt tavshedspligt.
- Databehandleren skal iht. behandlingen gennemføre passende tekniske og organisatoriske sikkerhedsforanstaltninger med fokus på risikoen for de registrerede samt gennemfører eventuelle særlige aftalte sikkerhedskrav.
- Databehandleren må ikke gøre brug af en underdatabehandler uden den dataansvarliges godkendelse.
- Databehandleren skal pålægge eventuelle underdatabehandlere samme forpligtelser som dem databehandleren selv er underlagt i databehandleraftalen mellem den dataansvarlige og databehandleren selv. Desuden skal databehandleren fører tilsyn med eventuelle underdatabehandlere.
- Databehandleren skal så vidt muligt bistå den dataansvarlige ved hjælp af passende tekniske og organisatoriske foranstaltninger, så den dataansvarlige kan opfylde sin forpligtelse til at besvare anmodninger om at udøve de registreredes rettigheder.
- Databehandleren skal bistå den dataansvarlige f.eks. i forhold til sin forpligtelse til at anmelde brud på persondatasikkerheden til Datatilsynet.
- Databehandleren skal slette eller tilbagelevere alle personoplysninger til den dataansvarlige, når databehandlerens service ophører.
- Databehandleren skal stille alle oplysninger, der er nødvendige for at påvise overholdelse af kravene i databehandleraftalen, til rådighed for den dataansvarlige.
Kræver medlemsskab
Du skal være logget ind for at læse denne artikel
Vores indhold og rådgivning er kun tilgængeligt for medlemmer af GLS-A.
Log ind
Endnu ikke bruger? Opret dig her