Fører du tilsyn med dine databehandlere?

Som privat virksomhed har du – som dataansvarlig – et ansvar for, at behandlingen af kunders og medarbejderes personoplysninger sker på en forsvarlig måde. I mange tilfælde vil du som dataansvarlig også have behov for at overlade personoplysninger til eksterne leverandører – såkaldte databehandlere – der på dine vegne og efter dine instrukser behandler de pågældende oplysninger.

I sådanne situationer har du også et ansvar for, at dine databehandlere – på samme måde som dig selv – behandler oplysningerne forsvarligt. Når du gør brug af databehandlere, skal du for det første sikre dig, at der er indgået en såkaldt databehandleraftale mellem dig og databehandleren, og du skal for det andet føre en passende kontrol (tilsyn) med databehandleren.

Hjemlen for tilsyn med databehandlere findes primært i GDPR Artikel 5, stk. 2  (ansvarlighedsprincippet – forhandleren skal kunne dokumentere efterlevelse) og i Artikel 28, stk. 1 (pligt til at vælge passende databehandlere). Kravene til tilsynet stiger i takt med antallet af personoplysninger, hvis oplysningerne har fortrolig eller følsom karakter og jo mere indgribende databehandlingen er.

Med andre ord:

• jo større risici der er ved behandlingen hos databehandleren,
• jo større krav stilles der til dit tilsyn med databehandleren.

Tilsynet kan bestå i revisorerklæringer, egenerklæringer, besvarelse af spørgeskema, ekstern certificering eller lignende. Benytter din virksomhed et egentligt GDPR-system (se info om GDPR-værktøj nedenfor), vil systemet hjælpe dig med at holde styr på det nødvendige tilsyn.

DI Bilbranchen har samlet tilsynsrapporter og vil føre tilsyn

Det kan være en større opgave for den enkelte bilforhandler at sørge for med passende mellemrum at gennemføre og dokumentere den passende kontrol med alle databehandlere. Bilimportøren vil også for de fleste være databehandler. Derfor har DI Bilbranchen samlet tilsynsrapporter og lignende fra relevante it-leverandører til bilbranchen, som fungerer som databehandlere.

I stedet for at hver enkelt bilforhandler skal sørge for at føre tilsyn med sine databehandlere, vil DI Bilbranchen i starten af året sørge for på medlemmernes vegne at gennemføre disse tilsyn hos databehandlerne og stille tilsynsrapporter, spørgeskemabesvarelser, certifikater m.m. til rådighed for medlemmerne.

Får du behov for at dokumentere, at din virksomhed har ført passende kontrol med en eller flere databehandlere, har DI Bilbranchen sørget for at indhente og opdatere kontrollen, som vi på siden stiller til din virksomheds rådighed.

Der vil løbende komme flere databehandlere på listen, men savner du en eller flere databehandlere, så giv os meget gerne et praj, så de kan komme med hurtigst muligt.