Databehandler – Kun efter specifikke anvisninger

Data på computer
Som databehandler må du kun behandle persondata efter den dataansvarliges specifikke anvisninger.

Det er nemmest at forstå databehandleren i forhold den dataansvarlige. Der kan simpelthen ikke være en databehandler uden en dataansvarlig. Før vi kommer til den mere formelle definition, vil vi her give et hurtigt konkret eksempel, som måske er nemmere at forstå end den juridiske definition.

En hjemmeside som morsdagsgaver.dk er dataansvarlig for alle de persondata der registreres på hjemmesiden. Hjemmesiden indsamler email-adresser ind til sin mailliste, men bruger en udbredt mailservice ved navn Mailchimp til dels at lagre email-adresserne og dels at sende emails ud til kontakterne. Email-adresserne er persondata, og i denne konstruktion er Mailchimp databehandler. Det betyder at Mailchimp behandler persondataene på vegne af morsdagsgaver.dk.

Når der eksisterer sådan en dataansvarlig/databehandler konstruktion, så skal der foreligge en databehandleraftale. Databehandleraftaler kan du læse meget mere om i vores sektion forstå begreberne, men kort sagt er den en aftale der helt specifikt definerer hvordan databehandleren må behandle dataene på vegne af den dataansvarlige.

Den formelle og juridiske definition af en databehandler

Databehandleren er den der behandler persondata på vegne af den dataansvarlige. Den helt konkrete definition kan vi finde i databeskyttelsesforordningen som du kan læse her i artikel 4, nummer 8:

Databehandler: en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der behandler personoplysninger på den dataansvarliges vegne.

I det ovenfor nævnte eksempel bruger morsdagsgaver.dk servicen Mailchimp som et praktisk redskab til at klare en vigtig del af sin forretning – nemlig lagring og administration af email-adresser. Det helt essentielle er at en databehandler ikke må bruge persondata til mere end hvad der helt specifikt er defineret i databehandleraftalen.

Som altid kan det være nyttigt at orientere sig på Datatilsynets hjemmeside. Efter persondataforordningen trådte i kraft er GDPR nærmest blevet synonym med enorme bøder i mange virksomhedsejeres øjne, så vær sikker på at du har helt styr på dine databehandlere med databehandleraftale, hvis du er dataansvarlig.