Dataansvar og databehandlere

Dataansvar og databehandlere (siden er under ombygning)

 

Når du som klub eller organisation behandler (f.eks. indsamler, registrerer, videregiver eller sletter) personoplysninger om andre personer, er det vigtigt, at du er opmærksom på, hvad din rolle er i forbindelse med behandlingen.

Det er vigtigt, fordi kravene til en dataansvarlig og en databehandler er forskellige. Hvis de parter, der deltager i en behandling af personoplysninger, er usikre på, hvem der har ansvaret for at leve op til de forskellige regler om databeskyttelse, er der en risiko for, at ingen af parterne påtager sig ansvaret, eller at en part påtager sig et ansvar, som den pågældende reelt ikke har. Det er derfor meget vigtigt, at du – inden du begynder at behandle personoplysninger – får afklaret, hvilken rolle du og eventuelle andre parter har i forbindelse med behandlingen.


Hvornår er du dataansvarlig, og hvornår er du databehandler?
Kort kan man sige, at den dataansvarlig afgør hvorfor (med hvilket formål) og hvordan (med hvilke hjælpemidler), personoplysningerne behandles. En databehandler er derimod den, der behandler personoplysninger på vegne af den dataansvarlige – altså efter en instruks fra den dataansvarlige.


Databehandlerkonstruktion eller ej?
Det afhænger af den leverede ydelse. Det er vigtigt at bemærke, at det ikke er i alle tilfælde, at en aftale mellem to parter, betyder at den ene har rollen som databehandler – altså at der er tale om en databehandlerkonstruktion. For at der er tale om en databehandlerkonstruktion, skal aftalen mellem de to parter nemlig først og fremmest dreje sig om behandling (indsamling, opbevaring, sletning mv.) af personoplysninger – og ikke eksempelvis være en håndværksydelse, som f.eks. nedenstående eksempel:

Reparation af kopimaskine
Klubben hyrer en reparatør til at reparere virksomhedens kopimaskine, hvori der kan være gemt dokumenter med personoplysninger.
Aftalen mellem klubben og reparatøren går ud på, at reparatøren skal reparere klubbens kopimaskine.
Klubben vil i denne situation ikke benytte reparatøren som databehandler, fordi aftalen mellem parterne hverken helt eller delvist går ud på, at reparatøren skal behandle personoplysninger på vegne af klubben.
Hvis der er risiko for, at reparatøren i forbindelse med sin reparation får adgang til personoplysninger, kan klubben – som led i sine almindelige sikkerhedsforanstaltninger – bede reparatøren om at underskrive en tavshedspligtserklæring.

Du kan finde DBU's standard databehandleraftale her.

Og husk, hvis du er i tvivl, er du altid velkommen til at kontakte DBU's Data Protection Manager Tanja Koch-Rasmussen på tara@dbu.dk.


Fælles dataansvar
Fælles dataansvar mellem to eller flere parter kan komme på tale, hvis parterne i fællesskab bestemmer, hvorfor der skal behandles personoplysninger (formålet), og hvordan der skal behandles personoplysninger (hjælpemidlerne). 

DBU og de danske fodboldklubber har fælles dataansvar. Det kan du læse mere om i nedenstående dokumenter, hvor du også kan se selve aftalen om fælles dataansvar.