Databehandler
En databehandler er en fysisk eller juridisk person, offentlig myndighed, institution eller andet organ, der behandler personoplysninger på vegne af den dataansvarlige. Typiske databehandlere er cloud-udbydere, hostingselskaber, lønadministratorer og marketing-bureauer, der håndterer kundedata.
Databehandleraftalen
Når en dataansvarlig overlader behandling af personoplysninger til en databehandler, skal der indgås en skriftlig databehandleraftale. Aftalen skal blandt andet indeholde: emnet for og varigheden af behandlingen; behandlingens art og formål; typen af personoplysninger og kategorier af registrerede; den dataansvarliges forpligtelser og rettigheder; og databehandlerens forpligtelser vedrørende sikkerhed, fortrolighed, underbehandlere og bistand til den dataansvarlige.
Databehandlerens forpligtelser
Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige. Databehandleren skal sikre, at personer med adgang til data er underlagt fortrolighed; implementere passende tekniske og organisatoriske sikkerhedsforanstaltninger; kun anvende underbehandlere med den dataansvarliges forudgående godkendelse; bistå den dataansvarlige med at opfylde de registreredes rettigheder; slette eller returnere alle data efter behandlingens ophør; og stille nødvendige oplysninger til rådighed for den dataansvarlige.
Underbehandlere
Databehandleren kan kun anvende en anden databehandler (underbehandler) med forudgående specifik eller generel skriftlig godkendelse fra den dataansvarlige. Ved generel godkendelse skal databehandleren informere om eventuelle tilføjelser eller udskiftninger af underbehandlere, så den dataansvarlige kan gøre indsigelse. Databehandleren skal pålægge underbehandleren de samme forpligtelser som i den oprindelige databehandleraftale og er ansvarlig for underbehandlerens overholdelse.
Vigtigste punkter
- Behandler data udelukkende efter den dataansvarliges instruks
- Skal indgå skriftlig databehandleraftale med den dataansvarlige
- Kan kun bruge underbehandlere med den dataansvarliges godkendelse
- Har selvstændigt ansvar for passende sikkerhedsforanstaltninger
- Skal slette eller returnere data når behandlingen ophører