Underdatabehandler

En underdatabehandler er en underleverandoer, som din databehandler engagerer til at udfoere dele af databehandlingen pa dine vegne. GDPR kraever din forudgaende godkendelse, og underdatabehandleren skal overholde de samme databeskyttelsesforpligtelser.

Tilbage til ordbog

Hvad er en underdatabehandler?

En underdatabehandler (ogsa kaldet sub-processor) er en virksomhed, som din databehandler anvender til at udfoere specifikke behandlingsopgaver. I GDPR artikel 28, stk. 2-4 er reglerne for underdatabehandlere fastlagt.

Et typisk eksempel: Du bruger en HR-leverandoer (databehandler) til loenbehandling. HR-leverandoeren bruger en cloudtjeneste (underdatabehandler) til at hoste data. I dette tilfaelde er cloudtjenesten underdatabehandler i forhold til dine persondata.

Kaeden kan vaere lang. Store SaaS-leverandoerer har ofte mange underdatabehandlere, der igen kan have underdatabehandlere. Som dataansvarlig har du ansvaret for at vide, hvem der behandler dine data.

Godkendelse af underdatabehandlere

GDPR artikel 28, stk. 2 kraever, at databehandleren har din forudgaende skriftlige godkendelse, foer en underdatabehandler engageres. Godkendelsen kan vaere:

Specifik godkendelse: Du godkender hver enkelt underdatabehandler ved navn. Databehandleren skal indhente ny godkendelse ved aendringer.
Generel godkendelse: Du godkender brugen af underdatabehandlere generelt. Databehandleren skal informere dig om planlagte aendringer og give dig mulighed for at goere indsigelse.

Den generelle godkendelse er den mest brugte model i praksis, saerligt ved store cloudleverandoerer. De vedligeholder typisk en liste over underdatabehandlere og giver besked om aendringer via e-mail eller en abonnementsside.

Din databehandleraftale skal specificere, hvilken godkendelsesmodel der bruges, og sikre dig en reel mulighed for indsigelse.

Ansvar og forpligtelser

Ansvarsfordelingen er klar i GDPR:

Databehandleren er fuldt ansvarlig over for dig for underdatabehandlerens opfyldelse af forpligtelserne (artikel 28, stk. 4).
Du som dataansvarlig er stadig ansvarlig over for de registrerede for den samlede behandling.

Databehandleren skal indga en aftale med underdatabehandleren, der palaegger de samme databeskyttelsesforpligtelser som dem i din databehandleraftale. Det gaelder bl.a.:

Kun at behandle data efter dokumenteret instruks
At sikre fortrolighed
At implementere passende sikkerhedsforanstaltninger
At assistere med registreredes rettigheder
At slette eller returnere data ved aftalens ophoer

Underdatabehandlere i praksis

For at holde styr pa underdatabehandlere:

Kortlaeg: Bed alle dine databehandlere om en opdateret liste over underdatabehandlere, herunder lokation og rolle.
Vurder: Er underdatabehandlere i tredjelande? Kraever det standardkontraktbestemmelser?
Overvag: Abonner pa aendringslister fra dine leverandoerer, sa du far besked om nye underdatabehandlere.
Dokumenter: Registrer underdatabehandlere i din fortegnelse.
Reager: Hvis en ny underdatabehandler giver anledning til bekymring, brug din indsigelsesret.

Husk, at mange populaere tjenester bruger et stort antal underdatabehandlere. En enkelt SaaS-platform kan have 30-50 underdatabehandlere spredt over flere lande. Det er vigtigt at have et systematisk overblik.

Ofte stillede spørgsmål om underdatabehandler

Hvad er en underdatabehandler?

En underdatabehandler er en underleverandoer, som din databehandler engagerer til at udfoere dele af databehandlingen pa dine vegne. Underdatabehandleren skal overholde de samme databeskyttelsesforpligtelser som den primaere databehandler.

Skal den dataansvarlige godkende underdatabehandlere?

Ja. GDPR artikel 28, stk. 2 kraever, at databehandleren har den dataansvarliges forudgaende skriftlige godkendelse, inden en underdatabehandler engageres. Godkendelsen kan vaere specifik (navngivet) eller generel (med indsigelsesret ved aendringer).

Hvem er ansvarlig, hvis en underdatabehandler bryder GDPR?

Den primaere databehandler er fuldt ansvarlig over for den dataansvarlige for underdatabehandlerens opfyldelse af forpligtelserne. Den dataansvarlige er stadig ansvarlig over for de registrerede. I praksis kan alle parter i kaeden holdes ansvarlige.

Skal der indgas en aftale med underdatabehandleren?

Ja. Databehandleren skal indga en aftale med underdatabehandleren, der palaegger de samme databeskyttelsesforpligtelser som dem, der fremgar af databehandleraftalen mellem den dataansvarlige og databehandleren.