Jeg var forleden i kursus i GDPR (persondataforordningen), hvor vi blev informeret om at man ikke blot skal indgå databehandleraftaler med sine databehandlere, men også dataansvarlig-dataansvarlig aftaler med sine selvstændige dataansvarlige...
Er det noget I har hørt om og hvad kalder man dem i så fald?
Din formulering er en smule rodet, så med forbehold for, at jeg har misforstået dig, så er en dataansvarlig den der har ansvaret for, hvilke data der indsamles og opbevares. Det er således den dataansvarlige der har ansvaret for at indgå aftaler med databehandlere (databehandleraftaler).
Med venlig hilsen Kristian Kristensen
[Signatur-link udenfor signatur fjernet af moderator]
Beklager meget hvis jeg har formuleret mig lidt rodet...
Jeg er helt klar over at det er den dataansvarlige som er ansvarlig for at indgå databehandleraftalerne med sine databehandlere.
Mit spørgsmål gå på følgende; skal man som dataansvarlig OGSÅ indgå aftaler med sine selvstændige dataansvarlige, f.eks. PostNord, Revisoren, osv...???
Jeg tror, at du blander tingene sammen. Den dataansvarlige er udpeget af hver virksomhed (i dette tilfælde) og de skal så hver især sørge for at få databehandleraftaler med de respektive databehandlere. De eksempler du nævner her (Postnord og revision) vil for dig være databehandlere og derfor skal der bare forelægge en databehandleraftale. :)
Med venlig hilsen Kristian Kristensen
[Signatur-link udenfor signatur fjernet af moderator]
Jeg er ret sikker på jeg ikke blander tingene sammen her. Om man er dataansvarlig handler bl.a. om hvilken relation der er tale om. Internt i virksomheden vil det som udgangspunkt være ledelsen der er dataansvarlig, mens det i relationen virksomheder imellem vil det være vores virksomhed som er dataansvarlig og f.eks. i relation til vores bogholder er hendes virksomhed databehandler da det er os, som bestemmer med hvilket formål, hvordan og med hvilke hjælpemidler dataene må behandles. Vi giver hende retninglinjerne.
PostNord (og andre lignende virksomheder) og revisoren, samt mange andre, vil som udgangspunkt være selvstændig dataansvarlig da disse virksomheder selv afgør hvordan de vil behandle dataene. Det har vi som virksomhed i bund og grund intet indblik i at kunne give retningslinjer indenfor. Hvis du læser datatilsynets vejledninger giver de desuden eksempler hvor de argumenterer for hvorfor PostNord er dataansvarlig.
Så for mig - og de fleste andre vil PostNord være dataansvarlig!
Det er nu ikke helt sådan det forholder sig. Postnord vil naturligvis, som alle andre, udpege en eller flere dataansvarlige, men i det eksempel du stiller op her, vil du gøre dem ansvarlige for din data og det kan du ikke.
Postnord vil være databehandlere for din virksomhed i det de behandler personoplysninger for dIn virksomhed. Det er så Postnords dataansvarlige, som har ansvaret for at indrapportere om sikkerhedshuller, angreb o.lign. til Datatilsynet (og dig), men det er altså en databehandleraftale du skal have med dem.
Du skal som dataansvarlig lave en databehandler-aftale med de juridiske enheder (virksomheder, eller i sjældne tilfælde, personer) som du videreformidler persondata til.
Hvis du sender persondata videre til en virksomhed, så vil du skulle sikre en databehandleraftale, for at du fortsat lovligt kan sende persondata til virksomheden.
Når du skriver selvstændige dataansvarlige, så går jeg ud fra, det er fordi PostNord sender dine data videre til deres samarbejdspartnere? I det tilfælde bliver PostNord nemlig dataansvarlig. De skal sikre, at have en aftale med deres databehandlere som - som minimum - overholder din aftale med dem. Du er stadig den oprindelige dataansvarlige - PostNord får bare dataansvarlig-rollen overfor deres samarbejdspartnere.
PostNord (og andre lignende virksomheder) og revisoren, samt mange andre, vil som udgangspunkt være selvstændig dataansvarlig da disse virksomheder selv afgør hvordan de vil behandle dataene. Det har vi som virksomhed i bund og grund intet indblik i at kunne give retningslinjer indenfor.
Det er ikke korrekt - det er faktisk din pligt som dataansvarlig at give instruks/retningslinier, omkring hvordan de skal behandle dine data, til dem du leverer data til. (Lave en databehandleraftale)
De må ikke videregive dine data, de må udelukkende behandle dem efter din instruks. I nogle tilfælde benytter din databehandler sig af underleverandører, det skal så fremgå af databehandleraftalen mellem dig og din databehandler hvilke underdatabehandlere de anvender og de skal indgå underdatabehandleraftaler med dem - som du så skal have en kopi af.
det skal så fremgå af databehandleraftalen mellem dig og din databehandler hvilke underdatabehandlere de anvender og de skal indgå underdatabehandleraftaler med dem - som du så skal have en kopi af.
Det er ikke korrekt.
Databehandleraftalen mellem databehandler og dataansvarlig behøves ikke at oplyse hvilke underdatabehandlere der tages i brug. Virksomheden skal dog sikre at disse underdatabehandlere lever op til kravene om GDPR, og samtidig skal databehandleren have en databehandleraftale med deres databehandlere.
Men på intet tidspunkt er det krævet at databehandler skal oplyse i databehandleraftalen hvad underleverandører de tager brug af, de skal informere at de tager brug af dem, og dataansvarlig skal godkende at der tages brug af underleverandører / underdatabehandlere, og som databehandler skal du selvfølgelig sikre dig at dine underleverandører opfylder loven og de aftaler der er på plads.
Men du kan bede om en meget generel skriftlig godkendelse. Det samme er oplyst i Datatilsynets vejledning om netop emnet hvilket du kan finde her.
Tak for kommentaren - jeg har læst hele Datatilsynets vejledning om dataansvarlig og databehandlere for at være sikker på min forståelse på emnet.
Ifølge Datatilsynets vejledninger vil PostNord fungere som selvstændig dataansvarlig for vores virksomhed af flere årsager:
1) PostNord behandler ikke persondataene efter instruks fra mig fordi aftalen mellem os er at de skal levere en pakke for mig - det har som sådan intet at gøre med behandling af persondata. Dog har de behov for navn og adresse for at levere til kunden, hvilket gør dem til selvstændig dataansvarlig.
2) Det er ikke mig der træffer afgørelsen om formål og hjælpemidler, det er PostNord. Jeg kan ikke gå ind og bestemme hvem de skal bruge og hvordan de skal gøre, samt hvilke sikkerhedsforanstaltninger de skal opstille.
Hvis du læser Datatilsynets vejledning omkring databehandlere og dataansvarlige, eksempel 11 - så kan du læse at Post Nord i de fleste tilfælde vil være selvstændig databehandler.
Bliv gratis medlem
Opret bruger