Når du som privat virksomhed, offentlig myndighed, fysisk person, institution eller ethvert andet organ behandler (fx indsamler, registrerer, videregiver eller sletter) personoplysninger om andre personer, er det vigtigt, at du er opmærksom på, hvad din rolle er i forbindelse med behandlingen.
Den dataansvarlige er den person, virksomhed, myndighed eller anden organisation, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger.
Databehandleren er den person, virksomhed, myndighed eller anden organisation, der behandler personoplysninger på den dataansvarliges vegne efter instruks fra den dataansvarlige. Databehandleren bruger ikke oplysningerne til egne formål.
Afklaring af roller
Det er vigtigt at afklare rollefordelingen, fordi kravene til en dataansvarlig og til en databehandler er forskellige. Hvis de parter, der deltager i en behandling af personoplysninger, er usikre på, hvem der har ansvaret for at leve op til de forskellige regler om databeskyttelse, er der en risiko for, at ingen af parterne påtager sig ansvaret, eller at en part påtager sig et ansvar, som den pågældende reelt ikke har. Det er derfor meget vigtigt, at du – inden du begynder at behandle personoplysninger – får afklaret, hvilken rolle du og eventuelle andre parter har i forbindelse med behandlingen.
I nogle tilfælde vil rollefordelingen mellem dig og de øvrige parter, der behandler personoplysninger, være let at afklare, fordi der er tale om en klassisk databehandlerkonstruktion, hvor fx en it-leverandør udelukkende handler efter instruks og udfører elektronisk databehandling af personoplysninger for en anden virksomhed eller en myndighed. I andre tilfælde kan det være langt mere vanskeligt at vurdere, om du handler som dataansvarlig eller databehandler.
Du kan læse mere om fastlæggelsen af disse roller i Datatilsynets vejledning om dataansvarlige og databehandlere.