GDPR og persondatafororodningen.

En organisation spørger, hvorfor skal vi have en databehandleraftale med en søsterorganisation?

In Brevkassen by Karsten OlsenLeave a Comment

I brevkassen vedr. persondatalovgivningen svarer vi hver 14. dag på spørgsmål.

I denne uge: En organisation spørger “hvorfor skal vi have databehandleraftaler, når vi nu er to organisationer, der altid har delt oplysninger? Vi har altid haft et godt forhold og der har aldrig været problemer!”


Svar fra datalog Karsten Olsen:

Persondataloven og persondataforordningen kræver, at virksomheder og organisationer beskytter personhenførbare oplysninger. Når en privat organisation indsamler personhenførbare oplysninger om et levende individ, kan organisationen ikke blot ubetinget videregive oplysningerne til andre private organisationer.

Hvis ikke der er et konkret samtykke eller en instruks fra den registrerede om, at data kan overføres til en anden part, så kræver lovgivningen, at der udarbejdes såkaldte data­behandler­aftaler med de parter, man udveksler informationer med. Sådanne aftaler regulerer, hvad modtageren må gøre med data. Når en organisation yder en service for en anden, kan der ofte være brug for at udveksle oplysninger. Ofte er det den der indsamler data, som er “dataansvarlig”, og den der modtager data, som er databehandler, men det er langt fra altid sådan. Det afhænger bl.a. af hvad parterne har indgået aftale om.

Persondataforordningen giver begge parter et ansvar. Den dataansvarlige har eksempelvis ansvar for at sikre, at der i databehandlingen er den fornødne tekniske og organisatorisk it-sikkerhed. Den dataansvarlige er også ansvarlig for, at der indgås passende databehandleraftaler med alle parter, der skal behandle data.

Hvis en organisation vil gøre brug af en underleverandør, skal denne sikre sig, at underleverandøren også overholder alle de krav, som forordningen stiller til databehandlingen. Dette gøres ved at indgå en databehandleraftale, som sætter relevante krav til underleverandøren. I skal derfor sørge for, at der ligger en databehandleraftale også selvom, der er tale om udveksling mellem koncerninterne selskaber.

Ønsker du at vide mere, kan du evt. finde hele persondataforordningen her. 

Svarene i brevkassen er baseret på en konkret vurdering og kan ændre sig alt afhængig af de konkrete forhold i den enkelte virksomhed.


Leave a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.