GDPR: Vikar eller konsulent – hvilken betydning har det for databehandlerproblematikken?
27. august 2019
3 minutters læsetid
Emner
Mange virksomheder har ikke et fuldt overblik over hvilke samarbejdspartnere, der er omfattet af de særlige regler om databehandlere, og hvilke samarbejdspartnere, der ikke er omfattet. Selv virksomheder som har dette overblik kan være i tvivl om hvorvidt, den ene type kan indebære en driftsmæssig eller juridisk fordel frem for den anden type.
I denne artikel ser vi nærmere på disse emner i forhold til valget mellem brug af henholdsvis vikarer og konsulenter.
Denne artikel tager udgangspunkt i de vejledende principper, som Datatilsynet har offentliggjort for kvalificering af databehandlerproblematikken i forhold til konsulenter og vikarer. Du kan læse den fulde tekst fra Datatilsynet her.
Da principperne er vejledende, er der ikke tale om en fast facitliste som ukritisk kan bruges i ethvert tilfælde. Dataansvarlige virksomheder og organisationer vil dog gøre klogt i at tage udgangspunkt i principperne, når den dataansvarlige skal vurdere sin egen konkrete situation.
En virksomhed som behandler personoplysninger til eget formål, og som i det væsentligste bestemmer over behandlingen, er dataansvarlig. En dataansvarlig virksomhed kan uddelegere opgaver, som i det væsentligste består i at behandle personoplysninger. Hvis den som udfører opgaven ikke er en del af den dataansvarlige virksomheds egen juridiske enhed (fx som ansat), vil vedkommende som udgangspunkt være databehandler på vegne af den dataansvarlige virksomhed.
Fordi databehandlerkonstruktionen udløser en række juridiske konsekvenser – herunder krav om en databehandleraftale, orienteringspligter, og efter omstændighederne en hvis sikkerhedskontrol fra den dataansvarliges side – kan den dataansvarlige både af drifts- og sikkerhedsmæssige årsager have en legitim interesse i at undgå databehandlerkonstruktionen. Det gælder særligt, når den opgave som skal løftes kun er begrænset eller midlertidig.
Den dataansvarlige virksomhed kan med de rigtige overvejelser løse denne problematik ved at optimere brugen af henholdsvis vikarer og eksterne konsulenter under hensyn til de tilgængelige kompetencer.
Den dataansvarlige virksomhed kan under visse omstændigheder undgå, at samarbejdet med en vikar bliver omfattet af reglerne for brug af databehandlere.
Dette gælder fortrinsvist hvis vikaren er ansat og aflønnes af et vikarbureau, men for det første er underlagt direkte instruktion fra den dataansvarlige virksomhed, for det andet at virksomheden i øvrigt i det væsentligste har samme rettigheder og forpligtigelser overfor vikaren som overfor øvrige med-arbejdere, og for det tredje vikarens opgaver er sammenlignelige med det øvrige personale.
Selvom Datatilsynet ikke omtaler vikarer ansat af den dataansvarlige virksomhed uden et vikarbureau som mellemled, må det antages, at der gælder en lignede vurdering. I den forbindelse vil det dog tale for at anse forholdet som ikke værende omfattet af databehandlerkonstruktionen, at vikaren ikke er tilknyttet en anden juridisk enhed end arbejdsgiveren – her den dataansvarlige virksomhed.
Samlet set vil der således i udgangspunktet ikke være tale om brug af en databehandler, såfremt vikarens udførelse af arbejdsopgaven i det væsentligste er sammenlignelig med det øvrige personale, uanset at vikaren behandler personoplysninger på den dataansvarlige virksomheds vegne.
Den dataansvarlige virksomhed kan ikke undgå, at samarbejdet med en ekstern konsulent anses for en databehandlerkonstruktion, under henvisning til samme undtagelser som gælder for vikarer.
Den dataansvarlige virksomhed skal i forhold til hver enkelt konsulent foretage en selvstændig vurdering af hvorvidt, konsulenten indgår i en databehandlerkonstruktion.
Der foreligger som udgangspunkt en databehandlerkonstruktion, såfremt den eksterne konsulent helt eller delvist skal behandle personoplysninger til formål fastlagt af den dataansvarlige virksomhed og under dennes instruks. Omvendt foreligger der ikke en databehandlerkonstruktion hvis konsulentens eksempelvis skal gennemgå software og fejlrette i kildekoden, uden at konsulenter ser eller får adgang til personoplysninger i den forbindelse.
Samlet set vil der således være tale om brug af en databehandler, såfremt konsulentens udførelse af arbejdsopgaven i det væsentligste indebærer behandling af personoplysninger på den dataansvarlige virksomheds vegne.
Den optimale løsning vil ofte være afhængig af driften og den tilgængelige kompetence. Den data-ansvarlige virksomhed må overveje om behovet er langvarigt eller midlertidigt, hvilke omkostninger de forskellige løsninger har i forhold til hinanden, og hvilke kompetencer der er tilgængelige hos henholdsvis de konsulenter og de vikarer, som den dataansvarlige virksomhed har adgang til.
Den optimale løsning vil derfor altid være den, hvor det aktuelle behov tilgodeses i størst mulig grad, til de lavest mulige omkostninger, og med den mest effektive implementering.
Står du over for udfordringer med hvilken metode der bedst passer til at løse konkrete udfordringer i din organisation?
Kontakt os på telefon 72 30 12 05
Du er altid velkommen til at henvende dig til os og få en indledende drøftelse af din sag. Vi har stor erfaring i at analysere situationen og give dig råd om, hvad der er bedst at gøre.
