Ny vejledning fra Datatilsynet vedrørende dataansvar for konsulenter og vikarer
Datatilsynet har netop offentliggjort en ny vejledning, der skal være med til at gøre det klart for den dataansvarlige, hvor dataansvaret kan placeres, når der gøres brug af vikarer og eksterne konsulenter, herunder om der er tale om et databehandlerforhold.
Vejledningen skal ses som et supplement til Datatilsynets vejledning om dataansvarlige og databehandlere.
Vikarer
I forhold til vikarer, der skal behandle personoplysninger på vegne af den dataansvarlige, skal der lægges vægt på, hvorvidt vikaren er en del af den dataansvarliges juridiske enhed. Selvom vikaren er ansat og aflønnes af en anden juridisk enhed end den dataansvarliges, er der ikke nødvendigvis tale om et databehandlerforhold.
Det afgørende i denne situation er efter Datatilsynets opfattelse, om vikarens rolle og udførelse af opgaver er sammenlignelig med den dataansvarliges øvrige ansattes roller og udførelse af opgaver, herunder om vikaren er underlagt den dataansvarliges instruktionsbeføjelse. I bekræftende fald vil vikaren anses for at høre under den dataansvarliges behandling af personoplysninger, og der skal ikke indgås en databehandleraftale.
Konsulenter
Der vil ikke være tale om samme situation i forbindelse med anvendelsen af konsulenter, bl.a. fordi den dataansvarlige oftest ikke har de samme rettigheder og forpligtelser over for konsulenten, som over for vikaren. Den dataansvarlige skal derfor tage stilling til, om konsulenten instrueres i at behandle personoplysninger på vegne af den dataansvarlige og til dennes formål, for at vurdere hvorvidt der er tale om et databehandlerforhold.
Det afgørende for vurderingen af, hvorvidt en konsulent anses for at være en databehandler eller ej er således, om den dataansvarlige instruerer konsulenten i at behandle personoplysninger til den dataansvarliges eget formål. Hvis den dataansvarlige ikke gør dette, vil der som udgangspunkt ikke være tage om et databehandlerforhold, eksempelvis hvis en it-konsulent hyres til at finde og udbedre en fejl i noget software og i den forbindelse får adgang til personoplysninger. Konsulentens opgave i denne situation vedrører ikke behandlingen af personoplysninger, men udbedring af fejlen i softwaren.
Hvis konsulenten har behov for at behandle personoplysninger i forbindelse med leveringen af den købte ydelse, vil konsulenten blive selvstændigt dataansvarlig. Det er eksempelvis tilfældet, hvor konsulenten opbevarer oplysninger på og kommunikerer med en kontaktperson hos den dataansvarlige.
Både i forhold til vikarer og konsulenter, der har adgang til personoplysninger, anbefales det at indgå en fortrolighedsaftale, såfremt der ikke er tale om et databehandlerforhold, ligesom der skal gennemføres passende tekniske og organisatoriske foranstaltninger, når en ekstern person får adgang til personoplysninger under den dataansvarliges ansvar.