Page contents Page contents Svar En anden (en fysisk eller juridisk person eller et andet organ) må behandle personoplysninger på jeres vegne, hvis der er en kontrakt eller et andet juridisk dokument. Det er vigtigt, at den databehandler, I udpeger, tilvejebringer tilstrækkelige garantier om at iværksætte passende tekniske og organisatoriske foranstaltninger til at sikre, at standarderne i den generelle forordning om databeskyttelse opfyldes, og at den enkeltes rettigheder beskyttes. Den databehandler, der udpeges, må ikke efterfølgende udpege en anden databehandler uden jeres forudgående specifikke eller generelle skriftlige tilladelse. Kontrakten eller det juridiske dokument mellem jeres virksomhed/organisation og databehandleren skal indeholde følgende bestemmelser : at behandlingen kun må finde sted efter dokumenterede instruktioner fra den dataansvarlige at databehandleren sikrer, at de personer, der er autoriseret til at behandle oplysningerne, har indvilliget i at have tavshedspligt eller har passende lovpligtig tavshedspligt at databehandleren skal tilbyde et minimumsniveau af sikkerhed som defineret af den dataansvarlige at databehandleren skal være behjælpelig med at sikre overholdelse af den generelle forordning om databeskyttelse. Eksempler En bygge- og anlægsvirksomhed bruger en underleverandør til visse byggeopgaver og giver den kontaktoplysninger på de kunder, der skal have udført byggeopgaverne. Underleverandøren anvender oplysningerne til at sende kunderne markedsføringsmateriale. Underleverandøren er i dette tilfælde ikke blot »databehandler« i henhold til den generelle forordning om databeskyttelse, da underleverandøren ikke blot behandler personoplysningerne på bygge- og anlægsvirksomhedens vegne, men også behandler oplysningerne til sine egne formål. Underleverandøren fungerer derfor som »dataansvarlig«. Jeres virksomhed er en detailvirksomhed, som beslutter at gemme en sikkerhedskopi af jeres kundedatabase på en cloud-server. Derfor indgår I en kontrakt med en udbyder af cloud-tjenesteydelser, som er kendt for sine databeskyttelsesstandarder, og som også har et certificeret system med kryptering af data. Udbyderen af cloud-tjenesteydelser er jeres databehandler, da virksomheden lagrer jeres kunders personoplysninger på sine servere og behandler oplysningerne på jeres vegne. Referencer Artikel 28; betragtning 81 Examples A construction company is using a sub-contractor for specific construction work, and provides it with the contact details of the clients where the construction work needs to be done. The sub-contractor further uses the data to send the clients marketing material. The sub-contractor in that case doesn’t qualify merely as a ‘processor’ under the GDPR as the sub-contractor is not only processing personal data on behalf of the construction company, but also further processing it for its own purposes. The sub-contractor is therefore acting as a ‘data controller’. You’re a retail company that decides to store a back-up version of your client database on a cloud server. To that end you enter into a contract with a cloud provider known for its data protection standards and which also has a certified system of encryption of data. The cloud provider is your processor as by storing the personal data of your clients in its servers it will be processing personal data on your behalf. References Article 28 and Recital (81) of the GDPR
