en
Når du som privat virksomhed, offentlig myndighed eller institution behandler personoplysninger, har du som dataansvarlig et ansvar for, at behandlingen sker i overensstemmelse med de persondataretlige regler.
Ofte vil en dataansvarlig have behov for at overlade personoplysninger til eksterne leverandører, såkaldte databehandlere, som herefter behandler de pågældende oplysninger på vegne af den dataansvarlige og efter den dataansvarliges instrukser. I sådanne situationer har den dataansvarlige også et ansvar for at sikre, at databehandleren behandler oplysningerne i overensstemmelse med de gældende regler på området.
Som dataansvarlig skal man, forinden man overlader personoplysninger til en databehandler, sikre, at der er indgået en såkaldt databehandleraftale med databehandleren. Databehandleraftalen skal leve op til minimumskravene i databeskyttelsesforordningen. Som dataansvarlig er man imidlertid også forpligtet til løbende at føre tilsyn med databehandleren. Det er et krav, at det tilsyn som udøves, er passende.
Vejledning indeholder pointskala og seks tilsynskoncepter
Datatilsynet har nu udgivet en vejledning om, hvordan man som dataansvarlig kan føre et passende tilsyn med sine databehandlere.
Kravene til det tilsyn som den dataansvarlige fører med en databehandler, er højere jo større risikoen ved behandlingen af personoplysningerne er. I vejledningen inddeles tilsynet i seks koncepter, hvoraf koncept 1 er det mindst ressourcekrævende tilsyn og koncept 6 er det mest ressourcekrævende tilsyn.
Vejledningen indeholder således en pointskala, som skal give den dataansvarlige en ide om, hvor risikofyldt den behandling af personoplysninger, som databehandleren foretager, er. Baseret herpå kan den dataansvarlige vurdere, hvilket tilsynskoncept der vil være passende.
For yderligere information kan du tilgå Datatilsynets Vejledning om tilsyn med databehandlere.
