Dataansvarlig

En dataansvarlig er den virksomhed eller organisation, der bestemmer, hvorfor og hvordan personoplysninger behandles. Rollen følger automatisk af den beslutning. Det er ikke noget, du vælger til eller fra.

Tilbage til ordbog

Hvad er en dataansvarlig?

Ifølge GDPR artikel 4, stk. 7, er den dataansvarlige den fysiske eller juridiske person, offentlige myndighed, institution eller andet organ, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger. Kort sagt: hvis din organisation bestemmer, hvorfor personoplysninger indsamles og hvordan de behandles, er du den dataansvarlige.

Rollen som dataansvarlig bestemmes af de faktiske omstændigheder, ikke af en kontrakt eller en titel. Selv hvis en aftale betegner dig som noget andet, vil tilsynsmyndigheden se på, hvem der reelt træffer beslutningerne om behandlingen.

Dataansvarlig vs databehandler

Skelnen mellem dataansvarlig og databehandler er et af de mest grundlæggende begreber i GDPR. Den dataansvarlige bestemmer formålet med og midlerne til behandlingen, mens databehandleren udfører behandlingen på den dataansvarliges instruktioner.

Dataansvarlig: Bestemmer hvorfor og hvordan personoplysninger behandles. Bærer det primære ansvar for GDPR-overholdelse.
Databehandler: Behandler personoplysninger på vegne af den dataansvarlige. Handler kun på den dataansvarliges dokumenterede instruktioner.

En klar forståelse af denne skelnen er afgørende, fordi den bestemmer, hvem der er ansvarlig for compliance, hvem der skal besvare henvendelser fra registrerede, og hvem der skal anmelde databrud til tilsynsmyndigheden.

Fælles dataansvarlige

GDPR artikel 26 anerkender, at to eller flere dataansvarlige i fællesskab kan afgøre formål og midler for behandlingen. I sådanne tilfælde skal de fælles dataansvarlige indgå en aftale, der specificerer deres respektive ansvar for compliance, herunder hvordan registrerede kan udøve deres rettigheder.

Fælles dataansvar opstår f.eks., når to organisationer driver et fælles loyalitetsprogram eller i fællesskab driver en platform, der indsamler brugerdata.

Den dataansvarliges forpligtelser

Som dataansvarlig skal din organisation opfylde en bred vifte af GDPR-forpligtelser:

Behandlingsgrundlag: Du skal have et gyldigt retsgrundlag for enhver behandlingsaktivitet (f.eks. samtykke, kontrakt, legitim interesse).
Oplysningspligt: Du skal informere registrerede om, hvordan deres data behandles, typisk gennem en privatlivspolitik.
Fortegnelse over behandlingsaktiviteter: Du skal føre en fortegnelse over behandlingsaktiviteter (ROPA) ifølge artikel 30.
Konsekvensanalyse: Ved højrisikobehandling skal du gennemføre en konsekvensanalyse (DPIA) ifølge artikel 35.
Databehandleraftaler: Du skal have en DPA med enhver databehandler.
Tilsyn med databehandlere: Du skal verificere, at dine databehandlere overholder GDPR og databehandleraftalen.
Brudanmeldelse: Du skal anmelde brud på persondatasikkerheden til tilsynsmyndigheden inden for 72 timer.
Databeskyttelsesrådgiver: Hvor det er påkrævet, skal du udpege en DPO ifølge artikel 37–39.

Ansvarlighedsprincippet: GDPR artikel 5, stk. 2, indfører ansvarlighedsprincippet (accountability): den dataansvarlige skal ikke kun overholde GDPR, men også kunne påvise overholdelse. Det betyder, at dokumentation ikke er valgfri — det er et lovkrav.

Ofte stillede spørgsmål om dataansvarlige

Ofte stillede spørgsmål om dataansvarlig

Hvad er en dataansvarlig?

En dataansvarlig er den organisation, der bestemmer formålet med og midlerne til behandling af personoplysninger. Ifølge GDPR artikel 4, stk. 7, er det den dataansvarlige, der bestemmer, hvorfor personoplysninger indsamles, og hvordan de behandles.

Hvad er forskellen på en dataansvarlig og en databehandler?

Den dataansvarlige bestemmer, hvorfor og hvordan personoplysninger behandles, og bærer det primære ansvar for GDPR-overholdelse. Databehandleren behandler personoplysninger på den dataansvarliges vegne og handler kun på den dataansvarliges dokumenterede instruktioner.

Kan to organisationer være fælles dataansvarlige?

Ja. GDPR artikel 26 giver mulighed for fælles dataansvar, når to eller flere organisationer i fællesskab afgør formål og midler for behandlingen. De skal aftale deres respektive ansvar i en gennemsigtig ordning.

Hvad er den dataansvarliges vigtigste forpligtelser?

De vigtigste forpligtelser omfatter at have et retsgrundlag for behandling, føre fortegnelse over behandlingsaktiviteter, indgå databehandleraftaler med databehandlere, gennemføre konsekvensanalyser hvor påkrævet og anmelde databrud til tilsynsmyndigheden inden for 72 timer.

Hvordan ved jeg, om min organisation er dataansvarlig?

Hvis din organisation bestemmer, hvorfor personoplysninger indsamles, og hvordan de behandles, er du den dataansvarlige. Rollen bestemmes af de faktiske omstændigheder, ikke af kontrakter eller titler. Hvis du træffer beslutningerne om behandlingen, er du den dataansvarlige.