Roller i GDPR
GDPR definerer klare roller med tilhørende ansvar og forpligtelser. At forstå disse roller er afgørende for korrekt implementering af databeskyttelse i enhver organisation.
Hvem gør hvad?
I GDPR er der tre centrale roller: den dataansvarlige, der bestemmer formål og midler for databehandling; databehandleren, der udfører behandling på den dataansvarliges vegne; og DPO'en (databeskyttelsesrådgiveren), der rådgiver og overvåger compliance.
Rollerne er ikke altid entydige. En virksomhed kan være dataansvarlig for nogle behandlinger og databehandler for andre. Det afgørende er, hvem der reelt træffer beslutningerne om behandlingen.
DPO (Databeskyttelsesrådgiver)
DPO'en er virksomhedens interne ekspert i databeskyttelse. Rollen er obligatorisk for visse typer virksomheder og indebærer rådgivning, overvågning og kontakt til Datatilsynet.
Dataansvarlig
Den dataansvarlige er den person eller organisation, der bestemmer formålet med og midlerne til behandling af personoplysninger. Det er den dataansvarlige, der bærer det overordnede ansvar.
Databehandler
Databehandleren behandler personoplysninger på vegne af den dataansvarlige. Forholdet reguleres af en databehandleraftale med klare instrukser og sikkerhedsgarantier.