GDPR har gjort det vigtigt at forstå centrale begreber i forbindelse med persondata. Her ser vi nærmere på begrebet dataansvarlig. I enhver behandling af persondata er der en dataansvarlig og i mange tilfælde også en databehandler. Når der arbejdes med persondata er det vigtigt at gøre sig klart, om man er dataansvarlig eller databehandler. Formålet med denne artikel er at gøre dig i stand til at vurdere, hvorvidt du er dataansvarlig eller databehandler, da det har stor betydning for hvordan du må behandle dataene.
Begrebsdefinition af dataansvarlig
I enhver behandling af persondata er den dataansvarlige den, der bestemmer hvorfor og hvordan persondataene behandles. Den dataansvarlige er altså den juridiske enhed – eksempelvis en virksomhed. Det er set at virksomheder har skrevet i sin privatlivspolitik at virksomhedens dataansvarlige er en bestemt person. Det er misforstået. Hvis der eksempelvis er tale om en webshop, så er den dataansvarlige selve virksomheden der ejer webshoppen og altså ikke en bestemt person i virksomheden.
Konkrete eksempler ved behandling af persondata
Det kan ofte hjælpe at se nogle konkrete eksempler, så det vil vi prøve at give herunder. Dels fra en webshop og herudover et eksempel fra en helt almindelig hjemmeside.
GDPR og persondata på webshop i forbindelse med ordrer
Lad os sige, at du har en webshop. På denne webshop bliver der lagt ordrer og til hver ordrer registrerer dit webshopsystem købernes persondata i form af navn, adresse, email-adresse med mere. Din virksomhed er her dataansvarlig for alle de registrerede persondata jævnfør GDPR og persondataloven.
GDPR har betydet at der særligt er to principper, som den dataansvarlige har pligt til at opfylde. Det drejer sig om retten til indsigt og retten til at blive glemt. Lad os illustrere de vigtige GDPR principper med et par eksempler.
Når du er dataansvarlig for købernes persondata er det dit ansvar at sikre, at du har lov til at behandle disse oplysninger. Det har du, fordi oplysningerne er nødvendige for at du kan ekspedere ordren, og derudover har du lovhjemmel jf. bogføringsloven til at opbevare dataene i fem år frem. Dette princip hedder retten til indsigt.
I dette tilfælde er det også dig der er ansvarlig for at efterleve rettighederne fra de registrerede. Derfor skal du på forlangende være i stand til at oplyse alt du har registreret om en person. Du skal også være i stand til at slette alt personhenførbar data, hvis en registreret person forlanger det. Det er princippet om retten til at blive glemt, der er i spil her.
Med mindre du har specifikt samtykke til andet, så må du som dataansvarlig kun opbevare persondata fra ordrerne, så længe det er nødvendigt. I tilfældet med ordrer på en webshop vil du have bogføringspligt i fem år, så herefter skal oplysningerne enten slettes eller anonymiseres.
Undtagelsen er hvis eksempelvis kunden aktivt har meldt sig i en kundeklub eller oprettet sig som bruger, og i den forbindelse givet samtykke til at data gemmes. Så må du gemme de oplyste persondata, indtil den registrerede trækker sit samtykker tilbage.
Til sidst har du også pligt til at indberette eventuelle brud på persondatasikkerheden. I dette tilfælde vil det eksempelvis være hvis uvedkommende har fået adgang til persondata.
Persondata i forbindelse med registrering af brugeradfærd på hjemmeside
De fleste hjemmesider har sporings-kode installeret, så man kan se, hvor mange besøgende der er på en hjemmeside. Allerede her er der tale om persondata, når besøgendes IP-adresse registreres og gemmes. Det er fordi en IP-adresse er personhenførbar ved oplag hos internet udbydere som TDC. Derfor er IP-adresser også at betragte som persondata og her er det hjemmeside-ejeren, der er dataansvarlig.
I dette tilfælde kan man dog anonymisere IP-adressen ved at fjerne den sidste del af IP-adressen. Ved det mest anvendte analyseværktøj Google Analytics kan man gøre dette ved en relativ simpel indstilling. Det er eksempelvis gjort på hjemmesiden Events4U.dk, hvilket kan læses i hjemmesidens privatlivspolitik.
Når IP-adressen anonymiseres på denne måde er der ikke længere tale om behandling af persondata, da den ikke kan føres tilbage til en bestemt person.
Dataansvarlig ved sporing af reklamelinks
Mange hjemmesider lever af reklameindtægter. En del af disse er såkalde affiliate-sider, hvor alle og enhver med en hjemmeside har mulighed for at tjene lidt penge ved at lede besøgende hen på en webshop, hvor ejeren af den henvisende hjemmeside så får en procentdel af omsætningen.
Det kan gøre på flere måder, men fælles er at du nødvendigvis må komme til at dele persondata med enten webshoppen eller det netværk som formidler samarbejdet.
Et eksempel på sådan et netværk er Partner-Ads. Her kan en hjemmeside som malingtilbud.dk tilmelde sig og tjene penge på henvisninger. Malingtilbud.dk linker måske til en online farvehandler, og data bliver så delt mellem Partner-Ads, farvehandleren og malingtilbud.dk. Hvordan dette end præcis er sat op, så må der i hvert fald nødvendigvis være en deling af data mellem webshoppen og Partner-ads. Her er webshoppen den dataansvarlige, da det er dens data der deles og Partner-ads må kun benytte persondataene til at opfylde sin rolle i forhold til at afregne affiliaten korrekt. Ikke mere.
Derfor skal der også være en databehandleraftale på plads mellem webshoppen som dataansvarlig og Partner-Ads som databehandler. Databehandleraftalen fastlægger præcis til hvilket formål og hvordan Partner-Ads må benytte de delte persondata.
Dataansvarlig i forhold til databehandler
I mange tilfælde er der tale om en konstruktion med både en dataansvarligog en databehandler. Du kan læse meget mere om databehandlere i vores artikel om begrebet databehandler, men lad os hurtigt opridse et par eksempler, fordi det kan hjælpe med at forstå begrebet dataansvarlig.
I det tidligere nævnte eksempel med ordrer på en webshop er webshoppen som nævnt dataansvarlig. Men oplysningerne eksisterer jo ikke i det rene ingenting. Typisk vil du tilgå dine ordrer i et webshopsystem, som ligger på en server hos en såkaldt webhost. Denne webhost har intet at sige i forhold hvordan dataene skal bruges, så der er ikke tale om dataansvarlig.
Virksomheden opbevarer bare dataene for dig og gør det muligt for dig at se og behandle dataene. Derfor er der tale om en databehandler konstruktion, hvor webshosten er databehandler. En side som Powertilbud.dk, som du kan se her, har sin hjemmeside liggende hos et firma, der hedder UnoEuro. Her er UnoEuro databehandler, så hvis der registreres persondata, så må UnoEuro kun behandle de registrerede persondata efter dine (den dataansvarliges) specifikke anvisninger – og intet andet.
I det tidligere nævnte eksempel med registrering af IP-adresse til analyse af brugeradfærd hos Google Analytics er Google databehandleren.
I alle tilfælde hvor en der er en databehandlerkonstruktion skal der foreligge en databehandleraftale, som specifikt foreskriver til hvad og hvordan persondataene bruges.
Den dataansvarlige er ansvarlig for at databehandleraftaler er på plads
Som dataansvarlig er det dit ansvar at sikre, at databehandleraftaler er på plads med alle der behandler persondata på vegne af dig. Du kan læse meget mere om databehandleraftale i en særskilt artikel, som vi har dedikeret til at forklare dette begreb.