Med GDPR er det vigtigt med klarhed om rollefordelingen i forhold til behandling af persondata. STIL har derfor netop udsendt to cirkulæreskrivelser, som gør det klart og tydeligt, hvem der har ansvaret for hvilke opgaver, når der behandles data i de systemer, som STIL stiller til rådighed. Det gør det nemt og overskueligt for institutionerne at se, hvornår de har dataansvaret og hvornår det er STIL, som er hhv. dataansvarlig eller databehandler.
Den 25. maj 2018 får den nye persondataforordning (GDPR) direkte virkning i Danmark. Databeskyttelsesforordningen skal sikre de registreredes ret til databeskyttelse. Samtidig indføres der nye procedurer, som skal sikre det.
De forskellige rettigheder og pligter, der følger af forordningen, skal løftes af den dataansvarlige for persondatabehandlingerne. Tilsvarende følger der også en række pligter med rollen som databehandler.
På undervisningsområdet stiller Styrelsen for It og Læring en række it-systemer til rådighed for sektoren. Styrelsens udmelding afklarer dataansvaret i disse systemer.
Hvorfor er det vigtigt at vide, om du er dataansvarlig eller databehandler?
Når du som privat virksomhed, offentlig myndighed, fysisk person, institution eller ethvert andet organ behandler (for eksempel indsamler, registrerer, videregiver eller sletter) personoplysninger om andre personer, er det vigtigt, at du er opmærksom på, hvad din rolle er i forbindelse med behandlingen.
Inden for persondataretten skelnes der mellem, om du er henholdsvis dataansvarlig for en behandling af personoplysninger, eller om du alene fungerer som databehandler for en dataansvarlig.
- Dataansvarlig: Typisk en virksomhed eller offentlig myndighed, der afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger.
- Databehandler: Typisk en virksomhed eller offentlig myndighed, der behandler personoplysninger på den dataansvarliges vegne og efter instruks fra den dataansvarlige.
Det er vigtigt, at du kender din egen rolle i forbindelse med behandlingen, fordi kravene til en dataansvarlig og til en databehandler er forskellige.
Kilde: Datatilsynets ’Vejledning om dataansvarlige og databehandlere’