Databehandler

En databehandler er en ekstern virksomhed eller person, der behandler personoplysninger på dine vegne. Tænk på din hosting-udbyder, dit lønsystem eller dit nyhedsbrevssystem. De behandler alle data, som din virksomhed er ansvarlig for.

Tilbage til ordbog

Hvad er en databehandler?

Ifølge GDPR artikel 4, stk. 8, er en databehandler en fysisk eller juridisk person, offentlig myndighed, institution eller andet organ, der behandler personoplysninger på vegne af den dataansvarlige. Det afgørende er, at databehandleren ikke selv bestemmer formålet med eller midlerne til behandlingen — det gør den dataansvarlige.

Databehandlerforholdet opstår, når din organisation engagerer en ekstern part, der håndterer personoplysninger som led i den service, de leverer til dig. Det er en yderst almindelig konstellation i moderne forretningsdrift.

Typiske databehandlere

De fleste organisationer er afhængige af et stort antal databehandlere. Almindelige eksempler er:

Cloud- og hostingudbydere: Infrastrukturtjenester der opbevarer eller transmitterer dine data (f.eks. AWS, Azure, Google Cloud).
Løn- og HR-systemer: Eksterne platforme der behandler medarbejderdata på dine vegne.
Email- og nyhedsbrevstjenester: Platforme der opbevarer kontaktlister og udsender kommunikation.
CRM-systemer: Værktøjer til kundestyring der indeholder kunders personoplysninger.
IT-support og managed services: Eksterne IT-leverandører med adgang til dine systemer og data.
Rekrutteringsplatforme: Tjenester der behandler kandidaters personoplysninger under ansættelse.

Dine forpligtelser over for databehandlere

Som dataansvarlig bærer du det primære ansvar for at sikre, at dine databehandlere håndterer personoplysninger korrekt. GDPR artikel 28 stiller specifikke krav:

Databehandleraftale: Du skal have en skriftlig aftale med enhver databehandler, der dækker omfang, formål og sikkerhedsforanstaltninger.
Due diligence: Før du engagerer en databehandler, skal du vurdere, om de kan stille tilstrækkelige garantier for databeskyttelse.
Sikkerhedsvurdering: Du skal sikre, at databehandleren implementerer passende tekniske og organisatoriske sikkerhedsforanstaltninger.
Underdatabehandlere: Databehandleren må ikke engagere en anden databehandler (underdatabehandler) uden din forhåndsgodkendelse.
Auditrettigheder: Du skal bevare retten til at auditere eller inspicere databehandlerens overholdelse.

Underdatabehandlere

En underdatabehandler er en tredjepart, der engageres af din databehandler til at udføre en del af behandlingen. For eksempel kan din CRM-udbyder bruge en cloud-hostingtjeneste til at opbevare data. Din databehandler skal informere dig om nye underdatabehandlere og give dig mulighed for at gøre indsigelse.

Hvor mange databehandlere har en typisk organisation? Små og mellemstore virksomheder har typisk mellem 30 og 60 databehandlere. Større organisationer har ofte flere hundrede. At vedligeholde et ajourført register over alle databehandlere er afgørende for GDPR-overholdelse.

Ofte stillede spørgsmål om databehandlere

Ofte stillede spørgsmål om databehandler

Hvad er en databehandler ifølge GDPR?

En databehandler er enhver ekstern part, der behandler personoplysninger på vegne af en dataansvarlig. Databehandleren handler kun på den dataansvarliges instruktioner og bestemmer ikke selv formålet med eller midlerne til behandlingen.

Hvad er forskellen på en dataansvarlig og en databehandler?

Den dataansvarlige bestemmer, hvorfor og hvordan personoplysninger behandles, mens databehandleren udfører behandlingen på den dataansvarliges vegne. Den dataansvarlige bærer det primære ansvar for overholdelse.

Skal jeg have en databehandleraftale med alle databehandlere?

Ja. GDPR artikel 28 kræver en skriftlig aftale med enhver databehandler. Aftalen skal dække genstand, varighed, art og formål med behandlingen, typer af personoplysninger og kategorier af registrerede.

Hvad er en underdatabehandler?

En underdatabehandler er en tredjepart, der engageres af din databehandler til at udføre en del af behandlingen. Din databehandler skal indhente din forhåndsgodkendelse, før de engagerer en underdatabehandler.

Hvor mange databehandlere har en typisk virksomhed?

Små og mellemstore virksomheder har typisk mellem 30 og 60 databehandlere. Det er vigtigt at vedligeholde et komplet og ajourført register over alle databehandlere som en del af dit GDPR-compliance-program.