Som med så meget andet så er det egentlig let – når man ved det.
Kort sagt: Du er dataansvarlig, hvis du er den, der bestemmer, hvorfor du behandler personoplysninger OG du er databehandler, hvis du udelukkende behandler personoplysningerne efter instruks fra en dataansvarlig.
En virksomhed kan være dataansvarlig og databehandler på samme tid.
Virksomheden (eller organisationen) kan sagtens være både dataansvarlig og databehandler, men sjældent for de samme personoplysninger/persondata. Eksempelvis er en it-virksomhed dataansvarlig for oplysningerne om egne ansatte og kunder, men vil ofte være databehandler for kundernes persondata om ansatte m.m..
Hvis der ikke er personoplysninger i data, så er der ingen der er dataansvarlig eller databehandler – i GDPR-sammenhæng. GDPR drejer sig udelukkende om personoplysninger.
Et eksempel:
Du har en håndfuld medarbejdere og benytter Danløn til at håndtere lønudbetalinger, skatteindberetninger osv.
Du er dataansvarlig for dine ansattes personoplysninger, fordi du indsamler dem og behandler dem, bla. for at kunne udbetale løn.
Danløn er databehandler for dig og må ikke benytte oplysningerne til andet, end du har givet instruks om (i databehandleraftalen, den kommer vi til om lidt)
Bemærk at selvom du videregiver oplysninger til eksempelvis Skat og Pensionsselskab, så er de ikke databehandlere – de bestemmer nemlig selv, hvad de gør med data, så de handler ikke efter instruks fra dig.
Databehandleraftale:
Hvis virksomheden, som dataansvarlig, benytter en databehandler, så er den forpligtet til at indgå en databehandleraftale – databehandleraftalen er den dataansvarliges ansvar og instruks til databehandleren om, hvordan han skal behandle dine data.
Jamen hov, Microsoft, Google osv. tager ikke mod instruks fra os – nej, det er ikke altid så let, for ofte vil vi opleve at de større cloud-tjenester, (Som Danløn fra eksemplet) ikke accepterer, din databehandleraftale, men har lavet deres egen, som du så bare har at underskrive, hvis du vil bruge deres system.
I teorien er teori og praksis det samme, men i praksis er det ikke.
Der er ingen større cloudtjenester, der er interesserede i at (eller kan) honorere tusindvis af forskellige databehandleraftaler, det strider mod forretningsmodellen i cloud-tjenester, hvor alt er standardiseret. Som bruger af tjenesterne kan du så vælge, om du vil acceptere standarddatabehandleraftalen, eller du vil benytte en anden tjeneste. Som mindre dansk virksomhed giver det ikke nogen mening at forsøge at “tvinge” Google til at acceptere din databehandleraftale 😉