Privat leverandør til det offentlige

Databehandler – dataansvarlig – eller begge dele?

Hvis en privat virksomhed leverer ydelser til/for det offentlige, der indebærer behandling af personoplysninger er det vigtigt at få afklaret om den private leverandør agerer som databehandler for den offentlige myndighed, eller den private leverandør er selvstændig dataansvarlig.

Hvad er forskellen på dataansvarlig og databehandler?

Kort kan man sige, at den dataansvarlig afgør hvorfor (med hvilket formål) og hvordan (med hvilke hjælpemidler), personoplysningerne behandles. En databehandler er derimod den, der behandler personoplysninger på vegne af den dataansvarlige – altså efter en instruks fra den dataansvarlige.
Læs mere om forskellen på dataansvarlig og databehandler.

Specielt i forholdet mellem private leverandører og det offentlige har der været uklarhed om hvorvidt der er tale om en databehandlerkonstruktion eller om den private leverandør er selvstændig dataansvarlig – derfor har Datatilsynet udarbejdet en række eksempler der kan være med til at skabe klarhed.

Helt overordnet kan det siges at hvis aftalen med kommunen indeholder behandling af personoplysninger så er den private leverandør databehandler og skal indgå databehandleraftale med eks. kommunen. Hvis derimod ydelsen i aftalen ikke indeholder behandling af personoplysninger som en del af ydelsen, så er den private leverandør selv dataansvarlig og skal leve op tilde krav der følger med, herunder oplysningspligten overfor de registrerede – og sikring af gyldigt formål, hjemmel osv..

Herunder prøver vi at gøre Datatilsynets eksempler endnu skarpere

Vurderingen er lavet ud fra vores erfaringer med de private leverandører vi hjælper og rådgiver om GDPR i forhold til deres rolle som leverandør til det offentlige.

Privat hjemmepleje

En privat leverandør af hjemmepleje til kommunen, vil sjældent være databehandler. I de mest almindelige tilfælde omhandler kontrakten “pleje og omsorg” og har dermed ikke behandling af personoplysninger som primært formål. 

Den private leverandør har til opgave at yde pleje og omsorg og er forpligtet til at videregive oplysninger og journalisere jf. journalføringsbekendtgørelsen, der er her ikke tale om databehandling, men videregivelse af data fra leverandøren til kommunen, hvilket leverandøren skal være opmærksom på i forbindelse med oplysningspligten i forhold til de registrerede.

Som selvstændig dataansvarlig skal leverandøren overholde oplysningspligten, føre fortegnelse over behandlingsaktiviteten og i det hele taget sikre at behandlingen lever op til reglerne i databeskyttelsesforordningen.

Leverandør af IT-system.

Som leverandør af et it-system til eks. kommunen, vil virksomheden oftest være databehandler, idet kommunen indsamler personoplysningerne (eks. ansatte, elever eller andre borgere) og behandler og opbevarer dem i systemet.
Det er en klassisk databehandlerkonstruktion og leverandøren må kun behandle oplysningerne efter instruks fra kommunen og skal derfor indgå en databehandleraftale.

Leverandør af varer/ydelser.

Som leverandør af varer eller ydelser der ikke kræver personbehandling til kommunens borgere, eksempelvis håndværkerydelser, levering af mad eller levering af varer på bevilling, er leverandøren selvstændig dataansvarlig i de fleste tilfælde. Der er tale om en videregivelse af oplysningerne til leverandørens brug og ikke en databehandlingsopgave.
Der kan også forekomme en databehandlerkonstruktion såfremt aftalen mellem leverandøren og kommunen omhandler behandling af personoplysninger og det er en del af, eller hele, formålet med aftalen.

Selvejende institution.

En selvejende institution der har driftsoverenskomst med kommunen og driver daginstitution for kommunens børn er selvstændig dataansvarlig. Formålet med aftalen med kommunen er drift af daginstitution for de af kommunens borgere der bliver visiteret til ydelsen, institutionen modtager ikke instruks vedr. behandlingen af personoplysningerne men definerer selv formålet med behandlingen.
Som selvstændig dataansvarlig skal institutionen overholde oplysningspligten, føre fortegnelse over behandlingsaktiviteten og i det hele taget sikre at behandlingen lever op til reglerne i databeskyttelsesforordningen.