Er vikarer og konsulenter databehandlere?

Når virksomheder gør brug af eksterne ressourcer, som får adgang til virksomhedens persondata, er det vigtigt at få klarlagt, om der kan være tale om en databehandler, og hvem der er ansvarlig for den konkrete databehandling, der følger med opgaven. Det gælder uanset, om der er tale om brug af leverandører, eksterne konsulenter eller vikarer fra vikarbureauer.

Datatilsynet har netop udstedt en vejledning, som fokuserer på konsulenter og vikarer. Vejledningen uddyber i hvilke situationer, der kan være tale om en databehandler. Datatilsynet skelner i vejledningen overordnet mellem konsulenter og vikarer, og herefter hvorvidt vikarer fra vikarbureauer er underlagt virksomhedens instruktionsbeføjelse?

Vikarens rolle i virksomheden

Hvis en virksomhed benytter en vikar, som er ansat og aflønnes af et eksternt vikarbureau, til at behandle personoplysninger, så er det først og fremmest relevant at overveje, om der er tale om en databehandlerkonstruktion. Der kan kun være tale om en databehandlerkonstruktion, hvis vikaren ikke er en del af virksomhedens juridiske enhed. Hvis en vikar fra et vikarbureau er underlagt virksomhedens instruktionsbeføjelse, vil Datatilsynet dog være tilbøjelig til at mene, at vikarens behandling kan falde under virksomhedens dataansvar. Man bør derfor også se på, om aftalevilkårene indebærer, at:

• Den dataansvarlige har den fulde instruktionsbeføjelse over for vikaren og pligt til at føre tilsyn med vikarens arbejde.
• Den dataansvarlige har de samme rettigheder og pligter over for vikaren som over for sit eget personale.

Hvis virksomheden svarer ja til de punkter, og vikarens udførelse af opgaver sker på en måde, som er sammenlignelig med de øvrige medarbejderes, vil vikarens behandling af persondata kunne høre under virksomhedens databehandling og ansvar.

I en situation hvor en vikar er tilknyttet virksomheden direkte – og altså ikke kommer fra et bureau - vil man formentlig anse forholdet som en løst tilknyttet ansættelse og som en del af virksomhedens juridiske enhed. Vejledningen forholder sig ikke til denne problemstilling.

De vejledende principper fra Datatilsynet berører heller ikke en situation, hvor vikaren som udgangspunkt ikke skal behandle personoplysninger, men hvor vikaren alligevel kommer i berøring med personoplysninger, for eksempel kontaktinformation på medarbejdere mm. I en sådan situation kan vikarens sporadiske berøring med personoplysninger være et selvstændigt dataansvar.

Er konsulentopgaven behandling af oplysninger?

For at finde ud af om en ekstern konsulent er virksomhedens databehandler, er det afgørende, om konsulentydelsen helt eller delvist drejer sig om behandling af personoplysninger på vegne af virksomheden. Datatilsynet nævner følgende situationer, hvor det er tilfældet:

• En myndighed hyrer en konsulent til at gennemgå en borgersag for at finde eventuelle sagsbehandlingsfejl mv. Det er således en del af ydelsen, at konsulenten skal gennemgå personoplysninger på vegne af den dataansvarlige.
• En dataansvarlig bruger et system, hvori et stort omfang af dokumenter med personoplysninger scannes og konverteres til tekst, som lagres i en database. Grundet behandlingens store omfang sker det med mellemrum, at fejl i systemet gør, at data ikke lagres korrekt i databasen. En It-konsulent har som opgave løbende at foretage rettelser i de personoplysninger, som ikke er registreret korrekt i databasen.

I de situationer handler konsulenten efter den dataansvarliges instruks og for dennes formål. Konsulenten vil derfor være databehandler, og der skal indgås en databehandleraftale.

Der vil også være situationer, hvor ydelsen som udgangspunkt ikke vedrører behandling af persondata, og hvor konsulenten ikke vil være databehandler. Det kan for eksempel være, hvis:

• En konsulent hyres til at lave en analyse af arbejdsgange i en virksomhed og komme med forbedringsforslag.
• En It-konsulent hyres til at søge årsagen til en fejl i software, som bliver anvendt af den dataansvarlige til behandling af personoplysninger. Efter fejlen er identificeret, skal konsulenten foretage ændringer i softwarens kildekode.

Hvis konsulenten i forbindelse med opgaven får behov for at behandle oplysninger for at kunne levere ydelsen, vil konsulenten være selvstændig dataansvarlig for den konkrete behandling. Det vil for eksempel være tilfældet, når konsulenten opbevarer kontaktoplysninger på de medarbejdere i virksomheden, som kan kontaktes i forbindelse med opgaven.

Virksomheder skal være opmærksomme på, at når en ekstern person, som ikke er databehandler, får adgang til personoplysninger under den dataansvarliges ansvar, så skal den dataansvarlige sørge for at gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er forbundet hermed. Derudover kan virksomheden have en informationspligt overfor de registrerede i forbindelse med videregivelsen af personoplysningerne.

IUNO mener

Når en virksomhed benytter eksterne ressourcer i virksomheden, skal virksomheden altid huske at tage højde for persondatareglerne. Virksomheden er nødt til at vurdere den konkrete situation for at få afklaret, om der er databehandlerkonstruktion, hvem der i øvrigt er ansvarlig for hvad, og hvilke sikkerhedsmæssige tiltag der kan være nødvendige.

Hvis virksomheden anvender en vikar fra vikarbureauer, er det også væsentligt at tænke på, at vikaren først og fremmest er ansat i vikarbureauet. Vikaren kan være underlagt pligter i vikarbureauet, som virksomheden er nødsaget til at tage højde for.

De vejledende principper fra Datatilsynet skelner meget firkantet mellem vikarer og konsulenter og kan ikke give svaret på alle problemstillinger. Det kan dog være en rettesnor for virksomheders brug af vikarer fra vikarbureauer og ved vurderingen af eksterne konsulenter.

[Datatilsynets vejledning ”Dataansvar – vikarer og konsulenter”]