Da det er meget sandsynligt, at et webbureau vil behandle personoplysninger på vegne af sine kunder, anbefales det at tage visse forholdsregler for at undgå eventuelle tvister.
Hvis bureauet er den eksterne dataansvarlige, skal det:
- underskrive en såkaldt “ad hoc”-kontrakt (kaldet “Databehandleraftale”, “Kontrakt ex art. 28 i forordning 679/2016” eller “Udpegning af ansvarlig for databehandling” – her kan du finde du flere oplysninger og en skabelon, du kan downloade) med hver enkelt dataansvarlig (dvs. kunden), og
- handle på en gennemsigtig og proaktiv måde for at kunne bevise, at du har gjort alting korrekt i tilfælde af revision.
Hvad er forskellen mellem dataansvarlig og databehandler?
En “dataansvarlig” betyder enhver fysisk eller juridisk person, der bestemmer formålet med og midlerne til behandlingen af sine brugeres personoplysninger. Det er den dataansvarlige, der bestemmer “hvorfor” og “hvordan” de indsamlede personoplysninger skal behandles, som regel ejeren af hjemmesiden/appen (i dette tilfælde kunden).
“Databehandler” betyder en person eller juridisk enhed, der er involveret i behandlingen af personoplysninger på vegne af den dataansvarlige. Det kan f.eks. være et bureau, der laver nyhedsbreve eller marketingkampagner for sine kunder.
Bureauets forpligtelser
I henhold til GDPR har databehandleren (bureauet) følgende forpligtelser over for den dataansvarlige (kunden):
- Bureauet er kun forpligtet til at behandle personoplysninger efter kundens dokumenterede anvisninger. Det betyder, at bureauet nøje skal overholde kundens behandlingsinstrukser, som for størstedelens vedkommende er defineret i databehandleraftalen som anført ovenfor. Kundens instrukser omfatter hele databehandlingscyklussen, dvs. fra indsamling til afslutning af behandlingen. Det følger heraf, at når behandlingen er afsluttet, skal bureauet slette eller returnere personoplysningerne til kunden, afhængigt af de instrukser, som kunden (dvs. den dataansvarlige) har givet.
- Personoplysninger skal behandles med meget stor fortrolighed: Derfor skal bureauet sikre, at behandlingen kun udføres af bemyndigede personer, der er omfattet (eller juridisk bundet) af en fortrolighedsforpligtelse. Skriftlige behandlingsinstrukser opfylder normalt denne forpligtelse over for medarbejderne. Disse instrukser indeholder bestemmelser om, hvordan man behandler data og regler om privatlivets fred i forbindelse med behandlingen.
- Bureauet skal derefter sikre, at der træffes alle nødvendige sikkerhedsforanstaltninger, og bureauet må ikke benytte en ekstern parts tjenester (f.eks. som underdatabehandler) uden kundens forudgående skriftlige tilladelse.
- Bureauet har nogle grundlæggende forpligtelser til at yde assistance og samarbejde. Gennem vedtagelse af passende tekniske og organisatoriske foranstaltninger skal bureauet hjælpe kunden med at reagere på brugernes anmodninger om udøvelse af deres rettigheder. Lad os f.eks. antage, at en bruger beder om at få rettet sin e-mailadresse i en database, der bruges til at sende direct mails. Hvis det bureau, der står for at vedligeholde databasen og afsende sådanne e-mails, modtager anmodningen fra den pågældende person, skal bureauet straks informere kunden (dvs. den dataansvarlige) og fortsætte i henhold til de modtagne instrukser.
- Bureauet skal hjælpe kunden med at opfylde alle forpligtelser, der opstår i tilfælde af f.eks. et databrud, ved enhver forudgående høring af tilsynsmyndigheden, eller hvis det bliver nødvendigt at foretage en konsekvensanalyse vedrørende databeskyttelse.
- Bureauet skal stille alle de oplysninger til rådighed for kunden, som bureauet er i besiddelse af , og som er nødvendige for at påvise, at kunden overholder sine retlige forpligtelser. I den forbindelse må bureauet ikke hindre nogen kontrolaktiviteter (herunder inspektioner), der udføres direkte af kunden eller af en anden person, der er rekvireret af kunden.
Skadesløsholdelse og iubendas software
Det skal understreges, at skadesløsholdelse fritager bureauet for en del af det ansvar, der er forbundet med iubendas produkter, men ikke for alt ansvar.
Hvis bureauet f.eks. tilføjer bestemmelsen om Google Analytics til Privatlivs- og Cookiepolitikken, og linket til udbyderens privatlivspolitik er forkert, er det iubendas ansvar. Men hvis bureauet tilføjer Google Analytics, og hjemmesiden bruger en anden tjeneste, er bureauet ansvarlig, medmindre bureauet kan dokumentere, at det er fritaget (f.eks. hvis kunden har godkendt dokumenterne eller udtrykkeligt har bedt om at få denne bestemmelse med).
Kundens og bureauets pligter i tilfælde af skade på brugere
Artikel 82 i GDPR er den centrale regel om civilretligt ansvar i forbindelse med behandling af personoplysninger og den deraf følgende ret til erstatning, og der står:
Enhver person, der har lidt materiel eller immateriel skade som følge af en overtrædelse af denne Forordning, har ret til at få erstatning fra den dataansvarlige eller databehandleren for den lidte skade.
Mens den dataansvarlige (kunden) er ansvarlig for skade forårsaget af behandling, der er i strid med GDPR, er databehandleren (bureauet) kun ansvarlig for skade forårsaget af behandlingen, hvis:
- bureauet ikke har opfyldt sine forpligtelser i henhold til GDPR, eller
- bureauet har handlet inkonsekvent eller i strid med kundens (legitime) instrukser.
Bureauet kan reagere i tilfælde, hvor bureauet:
- handler i strid med kundens instrukser (selv hvis bureauet overskrider grænserne for sin kompetence, i hvilket tilfælde GDPR foreskriver, at bureauet skal påtage sig ansvaret som en uafhængig ejer)
- ikke hjælper kunden (f.eks. ved brud på datasikkerheden eller i forbindelse med en konsekvensanalyse vedrørende databeskyttelse)
- ikke stiller de nødvendige oplysninger, som bureauet er i besiddelse af, til rådighed for kunden
- ikke informerer kunden om, at en instruks fra kunden er i strid med loven
- er forpligtet dertil, men ikke udpeger en DPO(Databeskyttelsesrådgiver)
- udpeger en underdatabehandler, der ikke er godkendt i forvejen
- udpeger en underdatabehandler, der ikke giver tilstrækkelige garantier
- ikke fører et register over behandlingsaktiviteter.
Betingelserne for fritagelse for ansvar
Kunden eller bureauet kan kun fritages for ansvar, hvis de kan bevise, at skaden på ingen måde kan tilskrives dem (f.eks. hvis den skyldes en databehandling, der ikke er udført af dem).
Solidarisk hæftelse
Hvis skaden kan henføres til flere dataansvarlige eller databehandlere (eller begge), er de hver især økonomisk solidarisk ansvarlige for hændelsen.
I dette tilfælde kan den ansvarlige person, der har ydet fuld kompensation for skadens omkostninger (in solidum), kræve betaling af hver enkelt andel af den resterende kompensation hos resten af de involverede ejere eller ansvarlige parter.
💡
Få mere at vide om overholdelse af GDPR
Se også