Dataansvarlig og databehandler

Den dataansvarlige definerer, hvorfor data indsamles, og hvordan de bruges. 

• Ansvar: Har det overordnede juridiske ansvar for, at behandlingen overholder GDPR.
• Eksempler: En virksomhed, der indsamler kunders navne og adresser for at kunne levere en vare, eller en skole, der registrerer elevers fravær.
• Krav: Skal kunne dokumentere overholdelse og sikre et lovligt grundlag (f.eks. samtykke eller en kontrakt).

Databehandler (Den der udfører)

Databehandleren håndterer dataene efter instruks fra den dataansvarlige. 

• Ansvar: Har ikke selvstændige rettigheder til at bruge eller ændre dataene.
• Eksempler: En ekstern IT-leverandør, en cloud-udbyder (fx Microsoft 365) eller et lønningsbureau, der opbevarer eller behandler data for andre.
• Krav: Skal indgå en juridisk bindende databehandleraftale med den dataansvarlige.

Når et menighedsråd som offentlig myndighed behandler (fx indsamler, registrerer, videregiver eller sletter) personoplysninger om andre personer, er det vigtigt, at være opmærksom på, hvilken rolle menighedsrådet har i forbindelse med behandlingen. Der sondres mellem, om man er dataansvarlig eller om man alene fungerer som databehandler for en dataansvarlig.

Kravene - og de forpligtelser der følger med - til en dataansvarlig og til en databehandler er forskellige.

I forhold til de initiativer, som gennemføres fra centralt hold er det udgangspunktet, at

• De folkekirkelige institutioner og myndigheder er dataansvarlige
• Der er fælles dataansvar med Folkekirkens It i forhold til de behandlinger, der sker i it-systemer, som stilles til rådighed på Kirkenettet
• Andre leverandører, som institutioner og myndigheder selv har indgået aftale med, fungerer som databehandlere.

Læs mere i "Vejledningen om dataansvarlige og databehandlere", som du finder nedenstående. 

I databeskyttelsesforordningen defineres en dataansvarlig og en databehandler således:

Efter databeskyttelsesforordningens artikel 4, nr. 7 

Er en dataansvarlig:
En fysisk eller juridisk person, en offentlig myndighed, en institution eller en anden organisation, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger.

Efter databeskyttelsesforordningens artikel 4, nr. 8, 

Er en databehandler:
En fysisk eller juridisk person, en offentlig myndighed, en institution eller en anden organisation, der behandler personoplysninger på den dataansvarliges vegne.

I udgangspunktet er det den dataansvarlige, som har ansvaret for, at en behandling af personoplysninger lever op til reglerne i databeskyttelsesforordningen.

Som dataansvarlig skal du derfor blandt andet sikre dig, at du:

1. Har lov til at behandle de oplysninger, som du og dine databehandlere er i besiddelse af (om du har en behandlingshjemmel).
2. Er i stand til at efterlevede registrerede personers rettigheder (fx opfylde din oplysningspligt eller give den registrerede indsigt).
3. Får indberettet eventuelle brud på persondatasikkerheden til Datatilsynet inden for 72 timer.

På Kirkenettet er der fælles dataansvar. Det vil sige, at By-, Land- og Kirkeministeriet, der stiller de fælles systemer til rådighed, blandt andet er ansvarlig for at foretage de passende tekniske og organisatoriske foranstaltninger for at sikre det nødvendige sikkerhedsniveau.

Den enkelte myndighed og institution, fx stifter, provstier og sogne, er som brugere af systemerne ansvarlige for den behandling af personoplysninger, som finder sted i forbindelse med anvendelsen, og det vil også være dem, som skal vurdere alvoren af og eventuelt anmelde et sikkerhedsbrud til Datatilsynet.