Når du indsamler og behandler data om dine medarbejdere eller andre, er det din virksomhed, der sidder med det juridiske ansvar. Det kaldes med et fint ord at være dataansvarlig. Det betyder kort og godt, at det er dit ansvar, at dine medarbejderes personoplysninger bliver behandlet sikkert, lovligt og med respekt for privatlivet.
I en travl hverdag giver det god mening at få hjælp udefra. Det er både smart og strategisk at lade eksperter om fx lønkørsel, IT-drift eller HR-administration. Men her opstår den klassiske misforståelse.
Mange tænker: “Nu ligger mine data i leverandørens system, så nu er det også deres ansvar.” Men sådan fungerer GDPR ikke.
Selvom du overlader selve arbejdet til en ekstern partner (en databehandler), så beholder du rollen som dataansvarlig. Du kan uddelegere opgaverne, men aldrig ansvaret. Hvis din leverandør laver en fejl eller mister data, er det din virksomhed, der står med regningen og forklaringsproblemet over for både myndigheder og medarbejdere.
En databehandler er en ekstern leverandør, der håndterer din virksomheds personoplysninger for dig. Det gælder alt fra cloud-tjenester og lønsystemer som DataLøn til rekrutteringsplatforme, hvor I behandler jobansøgninger. Det afgørende er, at det er dig (den dataansvarlige), der bestemmer, hvorfor dataene skal behandles, og hvilke oplysninger der er tale om.
Databehandleren fungerer som din forlængede arm og må derfor ikke bruge oplysningerne til egne formål, men skal udelukkende følge dine instrukser.
Når du har fundet ud af, hvem dine databehandlere er, skal du have styr den lovpligtige databehandleraftale. Her begår mange den fejl at tro, at en underskrift på en standardkontrakt betyder “tjek – vi er i mål”.
Databehandleraftalen er ikke bare en formalitet, der skal samle støv i skuffen. Det er din sikkerhed for, at leverandøren ved præcis, hvordan de skal passe på dine data, og at de omgående giver jer besked, hvis der sker et databrud.
Hvis aftalen ikke stemmer overens med det, I rent faktisk gør i hverdagen, risikerer du, at den er ugyldig i Datatilsynets øjne. Og så står du alene med ansvaret.
For at sove trygt om natten og undgå datatab eller store bøder bør du fokusere på disse 3 ting:
Overlad aldrig data til en leverandør uden en skriftlig, konkret aftale. Den skal beskrive præcis, hvad de må og ikke må. Der er helt specifikke krav til en databehandleraftale.
Det er ikke nok at have aftalen i skuffen. Du skal løbende tjekke (føre tilsyn med), at din leverandør gør det, I har aftalt.
Har du et opdateret overblik over alle leverandører, der har adgang til dine data?
Outsourcing af opgaver er kommet for at blive, og det giver dig frihed til at fokusere på din kerneforretning. Men husk, at ansvaret følger med. Tag et kig på jeres leverandørliste i dag. Ved du præcis, hvem der har adgang til dine data? Har I en gyldig aftale med dem alle? Og får I tjekket op på dem løbende?
Vi ved godt, at GDPR og databehandleraftaler kan føles som en tung administrativ byrde. Derfor har vi skræddersyet et webinar, der gør reglerne håndgribelige og praktiske.
På webinaret “GDPR: Brug af databehandlere og databehandleraftaler i praksis” lærer du bl.a.:
Har du spørgsmål eller brug for rådgivning, står vores jurister klar til at hjælpe på 72 27 90 16 eller HRJura@visma.com.