Page contents Page contents Svar Den dataansvarlige fastlægger formålene med og metoderne til behandling af personoplysninger. Det vil sige, at hvis Jeres virksomhed/organisation bestemmer »hvorfor« og »hvordan« oplysningerne skal behandles, er I dataansvarlige. Ansatte, der behandler personoplysninger i jeres organisation, gør det for at udføre jeres opgaver som dataansvarlig. Jeres virksomhed/organisation er fælles dataansvarlig, hvis I sammen med en eller flere organisationer i fællesskab bestemmer, »hvorfor« og »hvordan« personoplysninger skal behandles. Fælles dataansvarlige skal indgå en aftale, der fastlægger deres respektive ansvar for at overholde reglerne i den generelle forordning om databeskyttelse. De væsentligste aspekter af aftalen skal videregives til de enkeltpersoner, hvis oplysninger behandles. Databehandleren behandler kun personoplysninger på vegne af den dataansvarlige. Databehandleren er som regel en tredjepart, som ikke er en del af virksomheden, men for en koncern kan det ske, at ét datterselskab fungerer som databehandler for et andet datterselskab. Databehandlerens pligter over for den dataansvarlige skal være angivet i en kontrakt eller et andet juridisk dokument. For eksempel skal kontrakten angive, hvad der sker med personoplysningerne, når kontrakten ophæves. Typisk tilbyder en databehandler IT-løsninger, herunder cloud-lagring. Databehandleren må kun udlicitere en del af sine opgaver til en anden databehandler eller udnævne en fælles databehandler, hvis der er indhentet forudgående skriftlig tilladelse fra den dataansvarlige. I nogle tilfælde kan en enhed være dataansvarlig, databehandler eller begge dele. Eksempler Dataansvarlig og databehandler Et bryggeri har mange ansatte. Det underskriver en kontrakt med et lønudbetalingsfirma til udbetaling af løn. Bryggeriet underretter lønudbetalingsfirmaet, når der skal betales løn, samt når en ansat forlader virksomheden eller har fået lønforhøjelse, og giver alle andre oplysninger, der skal bruges til at generere lønsedler og betale løn. Lønudbetalingsfirmaet har et IT-system og opbevarer oplysningerne om de ansatte. Bryggeriet er den dataansvarlige, og lønudbetalingsfirmaet er databehandleren. Fælles dataansvarlige Jeres virksomhed/organisation tilbyder børnepasning via en onlineplatform. I har samtidig en kontrakt med en anden virksomhed/organisation, så I kan tilbyde værdiforøgende tjenester. Disse tjenester omfatter, at forældrene ikke alene kan vælge babysitteren, men også leje spil og film, som babysitteren kan tage med. Begge virksomheder er involveret i den tekniske opsætning af webstedet. I dette tilfælde har de to virksomheder besluttet at bruge platformen til begge formål (børnepasning og udlejning af film og spil) og deler ofte kundernes navne med hinanden. Derfor er de to virksomheder fælles dataansvarlige, fordi de ikke alene er enige om at tilbyde »kombinerede tjenester«, men også designer og anvender en fælles platform. Referencer Referencer: Artikel 4, stk. 7, 8, artikel 24, 26, 28, 29; betragtning 74, 79, 81 Artikel 29-gruppens udtalelse nr. 1/2010 om koncepterne »dataansvarlig« og »databehandler« (WP 169) Examples Controller and processor A brewery has many employees. It signs a contract with a payroll company to pay the wages. The brewery tells the payroll company when the wages should be paid, when an employee leaves or has a pay rise, and provides all other details for the salary slip and payment. The payroll company provides the IT system and stores the employees’ data. The brewery is the data controller and the payroll company is the data processor. Joint controllers Your company/organisation offers babysitting services via an online platform. At the same time your company/organisation has a contract with another company allowing you to offer value-added services. Those services include the possibility for parents not only to choose the babysitter but also to rent games and DVDs that the babysitter can bring. Both companies are involved in the technical set-up of the website. In that case, the two companies have decided to use the platform for both purposes (babysitting services and DVD/games rental) and will very often share clients’ names. Therefore, the two companies are joint controllers because not only do they agree to offer the possibility of ‘combined services’ but they also design and use a common platform. References References: Article 4(7) and (8), Articles 24, 26, 28 and 29 and Recitals (74), (79) and (81) of the GDPR Article 29 Working Party Opinion 1/2010 on the concepts of 'controller' and 'processor' (WP 169)
