NYHED. Databehandlere skal til at forberede sig på skrappere krav til persondatabeskyttelse. Forpligtelsen til ansvarlig databehandling er således ikke længere kun et anliggende for den dataansvarlige.
EU Forordningens krav til databehandlerne omfatter bl.a. et dokumentationskrav. Databehandlere skal derfor fremadrettet kunne dokumentere deres databehandling og fremlægge dokumentationen for den dataansvarlige og dennes eksterne revision. Det har fx konsekvenser for udbydere af cloud-baserede løsninger, som vil skulle dokumentere deres databehandling, også selvom deres aktiviteter ikke involverer direkte indsigt i de kundedata, de opbevarer.
Hvis en databehandler håndterer data i stor skala, følsomme data eller data om strafbare forhold, skal virksomheden sørge for, at der er udpeget en data protection officer, DPO. Det er DPO-ens opgave at rådgive om overholdelse af forordningens krav og overvåge, at det sker i praksis.
Forholdet mellem den dataansvarlige og databehandleren bliver også berørt. Hvor relationen mellem de to i dag reguleret er reguleret ved en databehandleraftale, som de selv udformer, stiller EU forordningen nu udtrykkelige krav til indholdet. Der stilles bl.a. krav om, at alle medarbejdere, der har adgang til persondata, skal være omfattet en en fortrolighedsklausul, og at databehandleren skal indhente den dataansvarliges samtykke til at bruge underleverandører. Derudover vil databehanderen skulle bidrage til, at den dataansvarlige kan opfylde de rettigheder, som en kunde har til bl.a. adgang til data og til at få rettet ukorrekte data om dem.
I forhold til databehandlerens sikkerhedsforanstaltninger, som i dag er omfattet af databehandleraftalen, vil det fremover være sådan, at databehandleren er direkte og selvstændigt ansvarlig for, at forordningens sikkerhedskrav opfyldes. Det betyder, at databehandleren fx selv skal tage skridt til at pseudonymisere og kryptere de persondata, de behandler for en dataansvarlig.
EU’s persondataforordnings direkte virkning på databehandleres aktiviteter betyder, at databehandlere selv skal til at håndtere risikoen for bødekrav på op til fire pct af deres omsætning.
Læs her om A brave new world for processors
