airplanebooksbriefcase business cogs cross election entertainment fish house law lockmedicalpeopleselfservices socialtax

4. Datasikkerhed

 

Sikring mod bl.a. uvedkommendes adgang til personoplysninger

54.1. Sikring mod bl.a. uvedkommendes adgang til personoplysninger

Den dataansvarlige skal sørge for, at oplysninger ikke kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Det samme gælder for databehandlere.
Dette indebærer bl.a., at man internt i sin virksomhed eller myndighed skal sikre, at kun de ansatte, der aktuelt har behov for at kunne se bestemte oplysninger, har (teknisk) adgang til oplysningerne. Det skal naturligvis også sikres, at personer udefra ikke kan få adgang til oplysningerne, f.eks. via internetadgang til virksomhedens eller myndighedens interne net.

Dataansvarlig eller databehandler

54.2. Dataansvarlig eller databehandler

Når man som virksomhed, offentlig myndighed eller i anden sammenhæng beskæftiger sig med behandling af personoplysninger, er det vigtigt at afklare, om man er dataansvarlig for oplysningerne, eller om man i stedet fungerer som databehandler for den dataansvarlige.
Det afgørende er, hvem der juridisk og/eller faktisk afgør, hvordan personoplysninger skal behandles. Kort sagt bestemmer den dataansvarlige over oplysningerne, også når oplysningerne befinder sig hos databehandleren.
Den dataansvarlige kan f.eks. være en myndighed, der ved lov er blevet pålagt en given behandling af personoplysninger. Den dataansvarlige kan også være en arbejdsgiver, der behandler personoplysninger om sine ansatte og sine kunder, eller en læge, der behandler patientoplysninger i forbindelse med sin praksis eller et forskningsprojekt.
En databehandler kendetegnes ved kun at behandle personoplysninger på vegne af (efter instruks fra) en dataansvarlig. Databehandleren behandler ikke personoplysningerne til egne formål og må derfor ikke bruge de overladte oplysninger til andet end udførelsen af opgaven for den dataansvarlige. Det samme gælder for ansatte hos den dataansvarlige.
En databehandler kan f.eks. være en virksomhed, som varetager driften af en anden virksomheds eller myndigheds it-systemer. En databehandler kan også være en udbyder af et webhotel, der varetager driften af et websted for andre, eller et inkassobureau, som får overladt oplysninger, fordi bureauet skal inddrive gæld for den dataansvarlige.
Hvis man som dataansvarlig benytter sig af en databehandler, skal der indgås en skriftlig aftale herom med databehandleren (en såkaldt databehandleraftale). Du kan læse mere om kravene til sådanne databehandleraftaler på Datatilsynets hjemmeside.