DA
HR-jura Persondata

Er vikarer og konsulenter databehandlere?

logo
Juranyt
calendar 22. februar 2019
globus Danmark

Er en ekstern konsulent eller vikar virksomhedens databehandler? Er han eller hun en selvstændig dataansvarlig? Eller er virksomheden ansvarlig for vikarens handlinger? Det er relevant at se på, men det er ikke altid ligetil. Datatilsynet har netop udstedt nogle vejledende principper, som vi uddyber her.

Når virksomheder gør brug af eksterne ressourcer, som får adgang til virksomhedens persondata, er det vigtigt at få klarlagt, om der kan være tale om en databehandler, og hvem der er ansvarlig for den konkrete databehandling, der følger med opgaven. Det gælder uanset, om der er tale om brug af leverandører, eksterne konsulenter eller vikarer fra vikarbureauer.

Datatilsynet har netop udstedt en vejledning, som fokuserer på konsulenter og vikarer. Vejledningen uddyber i hvilke situationer, der kan være tale om en databehandler. Datatilsynet skelner i vejledningen overordnet mellem konsulenter og vikarer, og herefter hvorvidt vikarer fra vikarbureauer er underlagt virksomhedens instruktionsbeføjelse?

Vikarens rolle i virksomheden

Hvis en virksomhed benytter en vikar, som er ansat og aflønnes af et eksternt vikarbureau, til at behandle personoplysninger, så er det først og fremmest relevant at overveje, om der er tale om en databehandlerkonstruktion. Der kan kun være tale om en databehandlerkonstruktion, hvis vikaren ikke er en del af virksomhedens juridiske enhed. Hvis en vikar fra et vikarbureau er underlagt virksomhedens instruktionsbeføjelse, vil Datatilsynet dog være tilbøjelig til at mene, at vikarens behandling kan falde under virksomhedens dataansvar. Man bør derfor også se på, om aftalevilkårene indebærer, at:

  • Den dataansvarlige har den fulde instruktionsbeføjelse over for vikaren og pligt til at føre tilsyn med vikarens arbejde.
  • Den dataansvarlige har de samme rettigheder og pligter over for vikaren som over for sit eget personale.

Hvis virksomheden svarer ja til de punkter, og vikarens udførelse af opgaver sker på en måde, som er sammenlignelig med de øvrige medarbejderes, vil vikarens behandling af persondata kunne høre under virksomhedens databehandling og ansvar.

I en situation hvor en vikar er tilknyttet virksomheden direkte – og altså ikke kommer fra et bureau - vil man formentlig anse forholdet som en løst tilknyttet ansættelse og som en del af virksomhedens juridiske enhed. Vejledningen forholder sig ikke til denne problemstilling.

De vejledende principper fra Datatilsynet berører heller ikke en situation, hvor vikaren som udgangspunkt ikke skal behandle personoplysninger, men hvor vikaren alligevel kommer i berøring med personoplysninger, for eksempel kontaktinformation på medarbejdere mm. I en sådan situation kan vikarens sporadiske berøring med personoplysninger være et selvstændigt dataansvar.

Er konsulentopgaven behandling af oplysninger?

For at finde ud af om en ekstern konsulent er virksomhedens databehandler, er det afgørende, om konsulentydelsen helt eller delvist drejer sig om behandling af personoplysninger på vegne af virksomheden. Datatilsynet nævner følgende situationer, hvor det er tilfældet:

  • En myndighed hyrer en konsulent til at gennemgå en borgersag for at finde eventuelle sagsbehandlingsfejl mv. Det er således en del af ydelsen, at konsulenten skal gennemgå personoplysninger på vegne af den dataansvarlige.
  • En dataansvarlig bruger et system, hvori et stort omfang af dokumenter med personoplysninger scannes og konverteres til tekst, som lagres i en database. Grundet behandlingens store omfang sker det med mellemrum, at fejl i systemet gør, at data ikke lagres korrekt i databasen. En It-konsulent har som opgave løbende at foretage rettelser i de personoplysninger, som ikke er registreret korrekt i databasen.

I de situationer handler konsulenten efter den dataansvarliges instruks og for dennes formål. Konsulenten vil derfor være databehandler, og der skal indgås en databehandleraftale.

Der vil også være situationer, hvor ydelsen som udgangspunkt ikke vedrører behandling af persondata, og hvor konsulenten ikke vil være databehandler. Det kan for eksempel være, hvis:

  • En konsulent hyres til at lave en analyse af arbejdsgange i en virksomhed og komme med forbedringsforslag.
  • En It-konsulent hyres til at søge årsagen til en fejl i software, som bliver anvendt af den dataansvarlige til behandling af personoplysninger. Efter fejlen er identificeret, skal konsulenten foretage ændringer i softwarens kildekode.

Hvis konsulenten i forbindelse med opgaven får behov for at behandle oplysninger for at kunne levere ydelsen, vil konsulenten være selvstændig dataansvarlig for den konkrete behandling. Det vil for eksempel være tilfældet, når konsulenten opbevarer kontaktoplysninger på de medarbejdere i virksomheden, som kan kontaktes i forbindelse med opgaven.

Virksomheder skal være opmærksomme på, at når en ekstern person, som ikke er databehandler, får adgang til personoplysninger under den dataansvarliges ansvar, så skal den dataansvarlige sørge for at gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er forbundet hermed. Derudover kan virksomheden have en informationspligt overfor de registrerede i forbindelse med videregivelsen af personoplysningerne.

IUNO mener

Når en virksomhed benytter eksterne ressourcer i virksomheden, skal virksomheden altid huske at tage højde for persondatareglerne. Virksomheden er nødt til at vurdere den konkrete situation for at få afklaret, om der er databehandlerkonstruktion, hvem der i øvrigt er ansvarlig for hvad, og hvilke sikkerhedsmæssige tiltag der kan være nødvendige.

Hvis virksomheden anvender en vikar fra vikarbureauer, er det også væsentligt at tænke på, at vikaren først og fremmest er ansat i vikarbureauet. Vikaren kan være underlagt pligter i vikarbureauet, som virksomheden er nødsaget til at tage højde for.

De vejledende principper fra Datatilsynet skelner meget firkantet mellem vikarer og konsulenter og kan ikke give svaret på alle problemstillinger. Det kan dog være en rettesnor for virksomheders brug af vikarer fra vikarbureauer og ved vurderingen af eksterne konsulenter.

[Datatilsynets vejledning ”Dataansvar – vikarer og konsulenter”]

Når virksomheder gør brug af eksterne ressourcer, som får adgang til virksomhedens persondata, er det vigtigt at få klarlagt, om der kan være tale om en databehandler, og hvem der er ansvarlig for den konkrete databehandling, der følger med opgaven. Det gælder uanset, om der er tale om brug af leverandører, eksterne konsulenter eller vikarer fra vikarbureauer.

Datatilsynet har netop udstedt en vejledning, som fokuserer på konsulenter og vikarer. Vejledningen uddyber i hvilke situationer, der kan være tale om en databehandler. Datatilsynet skelner i vejledningen overordnet mellem konsulenter og vikarer, og herefter hvorvidt vikarer fra vikarbureauer er underlagt virksomhedens instruktionsbeføjelse?

Vikarens rolle i virksomheden

Hvis en virksomhed benytter en vikar, som er ansat og aflønnes af et eksternt vikarbureau, til at behandle personoplysninger, så er det først og fremmest relevant at overveje, om der er tale om en databehandlerkonstruktion. Der kan kun være tale om en databehandlerkonstruktion, hvis vikaren ikke er en del af virksomhedens juridiske enhed. Hvis en vikar fra et vikarbureau er underlagt virksomhedens instruktionsbeføjelse, vil Datatilsynet dog være tilbøjelig til at mene, at vikarens behandling kan falde under virksomhedens dataansvar. Man bør derfor også se på, om aftalevilkårene indebærer, at:

  • Den dataansvarlige har den fulde instruktionsbeføjelse over for vikaren og pligt til at føre tilsyn med vikarens arbejde.
  • Den dataansvarlige har de samme rettigheder og pligter over for vikaren som over for sit eget personale.

Hvis virksomheden svarer ja til de punkter, og vikarens udførelse af opgaver sker på en måde, som er sammenlignelig med de øvrige medarbejderes, vil vikarens behandling af persondata kunne høre under virksomhedens databehandling og ansvar.

I en situation hvor en vikar er tilknyttet virksomheden direkte – og altså ikke kommer fra et bureau - vil man formentlig anse forholdet som en løst tilknyttet ansættelse og som en del af virksomhedens juridiske enhed. Vejledningen forholder sig ikke til denne problemstilling.

De vejledende principper fra Datatilsynet berører heller ikke en situation, hvor vikaren som udgangspunkt ikke skal behandle personoplysninger, men hvor vikaren alligevel kommer i berøring med personoplysninger, for eksempel kontaktinformation på medarbejdere mm. I en sådan situation kan vikarens sporadiske berøring med personoplysninger være et selvstændigt dataansvar.

Er konsulentopgaven behandling af oplysninger?

For at finde ud af om en ekstern konsulent er virksomhedens databehandler, er det afgørende, om konsulentydelsen helt eller delvist drejer sig om behandling af personoplysninger på vegne af virksomheden. Datatilsynet nævner følgende situationer, hvor det er tilfældet:

  • En myndighed hyrer en konsulent til at gennemgå en borgersag for at finde eventuelle sagsbehandlingsfejl mv. Det er således en del af ydelsen, at konsulenten skal gennemgå personoplysninger på vegne af den dataansvarlige.
  • En dataansvarlig bruger et system, hvori et stort omfang af dokumenter med personoplysninger scannes og konverteres til tekst, som lagres i en database. Grundet behandlingens store omfang sker det med mellemrum, at fejl i systemet gør, at data ikke lagres korrekt i databasen. En It-konsulent har som opgave løbende at foretage rettelser i de personoplysninger, som ikke er registreret korrekt i databasen.

I de situationer handler konsulenten efter den dataansvarliges instruks og for dennes formål. Konsulenten vil derfor være databehandler, og der skal indgås en databehandleraftale.

Der vil også være situationer, hvor ydelsen som udgangspunkt ikke vedrører behandling af persondata, og hvor konsulenten ikke vil være databehandler. Det kan for eksempel være, hvis:

  • En konsulent hyres til at lave en analyse af arbejdsgange i en virksomhed og komme med forbedringsforslag.
  • En It-konsulent hyres til at søge årsagen til en fejl i software, som bliver anvendt af den dataansvarlige til behandling af personoplysninger. Efter fejlen er identificeret, skal konsulenten foretage ændringer i softwarens kildekode.

Hvis konsulenten i forbindelse med opgaven får behov for at behandle oplysninger for at kunne levere ydelsen, vil konsulenten være selvstændig dataansvarlig for den konkrete behandling. Det vil for eksempel være tilfældet, når konsulenten opbevarer kontaktoplysninger på de medarbejdere i virksomheden, som kan kontaktes i forbindelse med opgaven.

Virksomheder skal være opmærksomme på, at når en ekstern person, som ikke er databehandler, får adgang til personoplysninger under den dataansvarliges ansvar, så skal den dataansvarlige sørge for at gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er forbundet hermed. Derudover kan virksomheden have en informationspligt overfor de registrerede i forbindelse med videregivelsen af personoplysningerne.

IUNO mener

Når en virksomhed benytter eksterne ressourcer i virksomheden, skal virksomheden altid huske at tage højde for persondatareglerne. Virksomheden er nødt til at vurdere den konkrete situation for at få afklaret, om der er databehandlerkonstruktion, hvem der i øvrigt er ansvarlig for hvad, og hvilke sikkerhedsmæssige tiltag der kan være nødvendige.

Hvis virksomheden anvender en vikar fra vikarbureauer, er det også væsentligt at tænke på, at vikaren først og fremmest er ansat i vikarbureauet. Vikaren kan være underlagt pligter i vikarbureauet, som virksomheden er nødsaget til at tage højde for.

De vejledende principper fra Datatilsynet skelner meget firkantet mellem vikarer og konsulenter og kan ikke give svaret på alle problemstillinger. Det kan dog være en rettesnor for virksomheders brug af vikarer fra vikarbureauer og ved vurderingen af eksterne konsulenter.

[Datatilsynets vejledning ”Dataansvar – vikarer og konsulenter”]

Modtag vores nyhedsbrev

Anders

Etgen Reitz

Partner

Søren

Hessellund Klausen

Partner

Kirsten

Astrup

Advokatfuldmægtig

Lignende nyt

logo
HR-jura

14. november 2019

Flyselskabs e-mails var hverken organisationsfjendtlig adfærd eller misbrug af ledelsesretten

logo
HR-jura

7. november 2019

Højesteret: Mistet sygedagpengerefusion kunne ikke modregnes i løn

logo
HR-jura

25. oktober 2019

Respektløs e-mail kunne berettige bortvisning

logo
Persondata

25. oktober 2019

EU-Kommissionen: Privacy Shield består tredje evaluering

logo
HR-jura

17. oktober 2019

Ophold hjemme mellem vagter var arbejdstid

logo
HR-jura Persondata

15. oktober 2019

Nyt whistleblowerdirektiv vedtaget: Stærkere beskyttelse på vej

Events

logo
HR-jura
2. september 2019

Morgenmøde om omstruktureringer i de nordiske lande (Engelsk)

logo
HR-jura
2. september 2019

Livestream om omstruktureringer i de nordiske lande (Engelsk)

logo
HR-jura
30. januar 2019

Morgenmøde om den nye ferielov 2019

logo
HR-jura
30. januar 2019

Morgenmøde om den nye ferielov 2019 (webinar)

logo
HR-jura
3. december 2018

International HR-jura dag 2018

logo
HR-jura
3. december 2018

Seminar om udvikling og ansættelsesformer (engelsk)

// COOKIE INFORMATION POPUP SCRIPT