Det er smart at strukturere jeres data selv i de indledende runder af jeres compliance projekt. Dette indebærer at finde alle systemer I anvender, der indeholder personoplysninger og undersøge hvem der er leverandør af disse systemer. Når først du har styr på hvor I har personoplysninger liggende er det nemlig afgørende at finde ud af hvem det er der behandler disse oplysninger. I artikel 4(2) er dette defineret som enhver aktivitet eller række af aktiviteter — med eller uden brug af automatisk behandling — som personoplysninger eller en samling af personoplysninger gøres til genstand for [artikel 4(2) i Databeskyttelsesforordningen]. 

En leverandør kan være et individ eller en organisation som tilbyder et system du anvender, som er ansvarlig for de behandlinger som systemet udfører. 

Et praktisk eksempel:  

  • Jens er ansat i et advokatfirma i Tyskland.
  • HR-afdelingen behandler hans oplysninger og har dem gemt i en mappe. 
  • Virksomheden anvender samtidig et lønnings-system for at udbetale Jens løn hver måned til hans bankkonto. 

Dette eksempel indeholder både individer og grupper der deltager på forskellige måder i behandlingen af Jens oplysninger. Først rolle er ejeren af personoplysningerne - Jens - hvis oplysninger er behandlet i det han bliver ansat og når han får udbetalt løn. Anden rolle er udført af organisationen, der tager stilling til hvordan og hvorfor personoplysningerne bliver behandlet når de ansætter ham og udbetaler løn, hvilket gør dem til dataansvarlig. Den tredje rolle som databehandler vil i dette eksempel være den organisation eller individ (leverandør) der behandler Jens personoplysninger for at gennemføre udbetalingen af løn gennem deres system på vegne af den dataansvarlige. 

For at være i stand til at afgøre om en leverandør er dataansvarlig eller databehandler er du nødt til at forstå forskellen på rollerne. Lad os uddybe det her: 

Rollen som dataansvarlig:
De dataansvarlige bestemmer hvordan og hvorfor oplysninger er samlet. De bestemmer årsagen bag databehandlinger, hvem der deltager i behandlingen, hvem der får adgang til informationen og hvad personoplysningerne må bruges til. 

Rollen som databehandler:
Databehandlere har ingen beslutningskræft. De har ikke lov til at foretage sig andet end hvad de får udstukket af opgaver fra den dataansvarlige.

Forskellen mellem dataansvarlige og databehandlere kan være svær at forstå, men artikel 4(7) og 4(8) i Databeskyttelsesforordningen adskiller de to roller på følgende måde: 

  • Dataansvarlig er "en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger" 4(7)
  • Databehandler er "en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der behandler personoplysninger på den dataansvarliges vegne" 4(8)

Med disse definitioner i baghovedet kan du udfylde informationen og leverandører i jeres Wired Relations-konto. 


Fremgangsmåde

Først og fremmest er det vigtigt at tildele ansvaret for leverandøren til en ansat i jeres organisation. Dette er ofte den samme person som I har sat som ansvarlig for systemet som leverandøren udbyder. 

Næste skridt er at udfylde om leverandøren er databehandler eller ej. Dette vurderer du ud fra om leverandøren foretager en behandling af oplysninger I giver til dem (se eksempel og definition ovenfor).  
Eksempel: hvis I har en cloud service-udbyder der udfører handlingen at opbevare oplysninger for jer. Hvis de behandler disse oplysninger kan du svare ja til at de er databehandler. Hvis du er i tvivl kan du altid starte med at sætte svaret som "ikke sikker" og spørge en juridisk medarbejder i virksomheden.  

Hvis leverandøren behandler personoplysninger bør I have en DPA (Data Processing Agreement) med dem, ligesom at en juridisk evaluering af om leverandøren er compliant også er rådet. Hertil har du også mulighed for at svare "ikke sikker" hvis du ved I har en DPA, men ikke er sikker på om den juridiske vurdering er foretaget eller er ukonkret. 

Næste skridt er at udfylde kontaktinformationerne. Det er bl.a. her I oplyser hvem det er der skal kontaktes (person eller afdeling) i tilfælde af f.eks. databrud. Denne oplysning kan ofte findes i leverandørens privacy policy eller i deres DPA. 

Adressen som skal oplyses er for den lokation hvor behandlingen af data foregår (hvor data fysisk opbevares). Denne information blive ligeledes ofte oplyst af leverandøren i DPA'en eller deres privacy policy. Det er ikke ualmindeligt at en leverandør har flere geografiske placeringer, i forskellige lande, hvor data bliver behandlet, så det er god procedure at registrere samtlige af de lokationer de oplyser om. 

Sidste skridt er at vedhæfte alle relevante dokumenter I har fra leverandøren, så al nødvendig information kan findes samme sted. Når du har gennemført alle ovenstående trin som er forklaret her, kan du afslutte med at sætte leverandørens status som "Færdig". Hvis du holder stopper undervejs i processen kan du sætte status som "I gang". 

På den måde kan du altid holde overblik over hvor langt I er med at udfylde information om jeres leverandører. 

Did this answer your question?