endnu et GDPR spørgsmål - og ja, det er sent ude ;-)
Vores produkt - en løsning til fysioterapeuter til måling af bl.a. styrke og balance - gemmer persondata om patienterne/borgerne i en lokal (hos kunden) krypteret database. Vi sender ikke personfølsomme data over nettet, men bruger dog en webservice til at checke for ny version, valid licens osv.
Når vi nu ikke direkte håndterer persondata på vegne af vores kunder (de gemmer den jo selv), er det så nødvendigt at indgå en DPA med hver af dem?
Når i ikke direkte håndterer persondata? Men i gemmer dem I en database - korrekt? Det er vigtigt om i er dataansvarlig eller databehandler. Prøv og tjek på de 2 forskellige ting. :)
Det er vigtigt at jeres brugere kan få et udtræk af alt den data i gemmer, hvis de spørger ind til det. Men ellers vil det være smart hvis de selv kunne det.
Vi har lavet til 2 af vores web kunder. Så deres besøgende kan hente deres data ned fra deres kontrolpanel. Den anden har vi lavet det, så de besøgende selv skal henvende sig.
Hvis jeg forstår det ret så er i bare leverandør af software der behandler/opbevarer persondata, men i behandler eller gemmer ikke persondata på vegne af jeres kunder i jeres systemer. Dermed er i hverken dataansvarlige eller databehandlere i den forbindelse, medmindre i f.eks. har mulighed for at tilgå jeres kunders databaser.
I er dog dataansvarlige i forhold til jeres kunder, i det omfang i gemmer navne, personlige emailadresser (herunder email-adresser der hører til personlige virksomheder) etc.