Transcription of Vejledning om tilsyn med databehandlere
1 Vejledning om tilsyn med databehandlere Pointskala og seks tilsynskoncepter Oktober 2021. Indhold Forord 3. 1. Start med at skabe overblik 5. Hvilke databehandlere har du? 5. Risiko og tilsyn 5. 2. Hvordan kan jeg f re tilsyn ? (En vejledende model) 6. Pointskala og tilsynskoncepter 6. Praktisk anvendelse af pointskalaen 6. Parametre for de enkelte point (A + B + C + D) 7. A. Hvor mange personer? 7. B. S rlige kategorier af personoplysninger? (F lsomme personoplysninger) 8. C. Andre personoplysninger af beskyttelsesv rdig karakter? (Fortrolige oplysninger) 9. D. S rlige behandlinger? 10. 3. Hvad skal jeg f re tilsyn med? 12. Kravene i databehandleraftalen 12. 4. Seks vejledende tilsynskoncepter 13.
2 De seks tilsynskoncepter 13. Kombination af koncepterne 13. 5. Hvor ofte skal jeg f re tilsyn ? 22. 6. Hvem skal f re tilsyn med underdatabehandlere? 24. Vejledning om tilsyn med databehandlere Side 2 af 26. Vejledning om tilsyn med databehandlere Denne Vejledning er t nkt som en hj lp til, hvordan du som dataansvarlig kan f re et pas- sende tilsyn med dine databehandlere . Vejledningen indeholder en vejledende model med en pointskala og seks tilsynskoncepter, der eksemplificerer, hvordan du kan gennemf re et pas- sende tilsyn med dine databehandlere . N r du som privat virksomhed, offentlig myndighed eller institution behandler personoplysnin- ger, har du som dataansvarlig et ansvar for, at behandlingen sker p en forsvarlig m de.
3 Behandling af personoplysninger skal ske p et lovligt grundlag, der skal v re etableret en passende sikkerhed, og du skal v re i stand til at sikre overholdelsen af de registreredes rettigheder . I mange tilf lde vil du som dataansvarlig ogs have behov for at overlade personoplysninger til eksterne leverand rer s kaldte databehandlere der p dine vegne og efter dine instruk- ser behandler de p g ldende oplysninger. I s danne situationer har du ogs et ansvar for, at dine databehandlere p samme m de som dig selv behandler oplysningerne forsvarligt. N r du g r brug af databehandlere , skal du for det f rste sikre dig, at der er indg et en s kaldt databehandleraftale mellem dig og databehandleren, og du skal for det andet f re en pas- sende kontrol ( tilsyn ) med databehandleren.
4 Denne Vejledning er t nkt som en hj lp til, hvordan du kan f re et s dant passende tilsyn med dine databehandlere . Hvad er en personoplysning? En personoplysning er enhver form for information, der kan henf res til en bestemt person, ogs selvom personen kun kan identificeres, hvis oplysningen kombineres med andre oplysninger. Personoplysninger kan for eksempel v re personnumre, registreringsnumre, et bil- lede, en e-mailadresse, et telefonnummer, et fingeraftryk, en stemmeoptagelse, l - gejournaler eller biologisk materiale, n r det er muligt at identificere en person ud fra oplysningerne eller ved at sammenholde med andre personoplysninger. Man siger, at oplysningen er "personhenf rbar". L s mere om hvad personoplysninger er her.
5 Vejledning om tilsyn med databehandlere Side 3 af 26. Hvad er behandling af personoplysninger? En behandling af personoplysninger kan have mange former. En behandling omfatter efter databeskyttelsesforordningen enhver h ndtering af personoplysninger, herunder indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ndring, genfinding, s gning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samk ring, begr nsning, sletning eller tilintetg relse. Finder blot en af de n vnte former for h ndtering af personoplysninger sted, vil der v re tale om en behandling, som er omfattet af databeskyttelsesreglerne.
6 En behandling af personoplysninger kan s ledes godt finde sted, selvom du ikke har l st eller aktivt anvendt de p g ldende personoplysninger, hvis du alene op- bevarer personoplysningerne. Find mere information om, hvorn r du behandler personoplysninger her. Vejledning om tilsyn med databehandlere Side 4 af 26. 1. Start med at skabe overblik Hvilke databehandlere har du? Hvilke andre virksomheder mv. behandler personoplysninger p dine vegne? Det kan v re et l nbureau, som st r for din l nadministration og derfor h ndterer l noplysninger om dine ansatte. En databehandler kan ogs v re et firma, der leverer og drifter dit kunde- h ndteringssystem (CRM) og derved behandler personoplysninger om dine kunders va- rek b, betalingsoplysninger, privatadresser, e-mailadresser osv.
7 Databehandleraftale Hvis du er i tvivl om, hvorvidt dine leverand rer er databehandlere for dig, b r du kon- takte dem for at f det afklaret. Sp rg om de normalt indg r databehandleraftaler. Se vejledningen om dataansvarlige og databehandlere for yderligere information om rollefordelin- gen. Hvis du ikke har indg et databehandleraftaler med de virksomheder, som behandler person- oplysninger p dine vegne, skal du kontakte virksomhederne, s I sammen kan f dette p . plads. Du kan med fordel have et fast tidspunkt hvert r, hvor du gennemg r, hvilke databehandlere du har, og hvem det er tid til at f re tilsyn med. Risiko og tilsyn Generelt kan man sige, at jo mere der kan g galt ved behandlingen hos databehandleren (stor risiko), jo st rre krav stilles der til dit tilsyn med databehandleren.
8 Her skal du v re op- m rksom p , at n r det handler om databeskyttelse, er det ikke risikoen for, at du (som virk- somhed eller som myndighed) kommer galt afsted. Det er derimod risikoen for de registrerede ( medarbejderne, kunderne og borgerne), du skal have for je. Hvor sandsynligt er det, at noget g r galt? Hvad er konsekvenserne, hvis det rent faktisk g r galt? Som tommelfingerregel kan du regne med, at kravene til tilsynet med databehandlere stiger i takt med: At databehandleren behandler flere personoplysninger. At oplysninger f r en mere fortrolig eller f lsom karakter. At behandlingen bliver mere indgribende. Den vejledende model, som er beskrevet i denne Vejledning , tager h jde for det forhold, at jo st rre risici der er ved behandlingen hos databehandleren, jo st rre krav stilles der til dit tilsyn med databehandleren.
9 I kapitel 2 og 3 kan du se konkrete eksempler p dette. Vejledning om tilsyn med databehandlere Side 5 af 26. 2. Hvordan kan jeg f re tilsyn ? (En vejledende model). Pointskala og tilsynskoncepter Det kan v re sv rt at finde det helt rigtige niveau for et tilsyn hvorn r g r man for lidt, og hvorn r g r man for meget? Nedenfor er en vejledende model, som du kan st tte dig til, n r du skal vurdere, hvordan du gennemf rer et passende tilsyn med dine databehandlere . Den vejledende model best r af en vejledende pointskala, som kan give dig en fornemmelse af, hvor risikofyldt behandlingen af personoplysninger er. I tilknytning hertil er der seks tilsyns- koncepter, som gradvist stiller st rre og st rre krav til din gennemf relse af tilsynet dvs.
10 Koncept 1 er det mindst ressourcekr vende, og koncept 5 og 6 vil normalt v re de mest ressourcekr vende. Kort sagt; st rre risiko giver flere point, og flere point betyder, at der stilles flere krav til dit tilsyn med databehandleren. I de f lgende afsnit kan du l se mere om, hvordan du kommer frem til det antal point, som passer bedst p din situation, og du kan l se mere om de forskellige tilsynskoncepter. Praktisk anvendelse af pointskalaen N r du anvender pointskalaen, er det for det f rste afg rende for antallet af point, hvor mange personer du overlader oplysninger om til din databehandler. Herefter kan det give flere point afh ngigt af, hvilke typer af personoplysninger databehandleren behandler p dine vegne, og hvilken slags behandling der er tale om.
