Dataansvarlig eller databehandler

Indholdet er opdateret i juli 2022. Vær opmærksom på, at vi løbende opdaterer disse sider. 


Behandler du personoplysninger til din forskning? Her får du hjælp til at få styr på: 

  • Hvilken databeskyttelsesretlig rolle, som AU har i projektet. 

  • Hvilken databeskyttelsesretlige rolle, som andre samarbejdspartnere eller leverandører har i projektet.

  • Om du har brug for en databeskyttelsesretlige aftale.

Det er vigtigt at kende de databeskyttelsesretlige roller, da det er rollerne, der afgør, hvilke forpligtelser AU har. Det kan af og til være svært at finde ud af, hvilken rolle som AU har i et forskningsprojekt. Her på siden kan du læse om de tre roller, der findes i databeskyttelsesretten, når der sker en behandling af personoplysninger. Du kan f.eks. finde en række hjælpespørgsmål, som kan hjælpe dig med at afdække, hvilke(n) rolle(r) AU har.  

Når du er ansat ved AU og behandler personoplysninger i din forskning, som AU-ansat, skal du være opmærksom på, at det er AU, der er den dataansvarlige eller databehandleren. Du er dog konkret ansvarlig for at sikre, at databeskyttelsen er varetaget i dit projekt.  


Sådan undersøger du de databeskyttelsesretlige roller i dit projekt


Rollerne afhænger af hvem, der bestemmer formål med og hjælpemidler til behandlingen af personoplysninger.

  • Formål: Her skal du tænke på formålet med behandlingen af personoplysninger. Du skal altså spørge dig selv, hvorfor det er nødvendigt at behandle personoplysningerne. Du kan snarest læse mere om formålsbeskrivelse.  
  • Hjælpemidler: Her skal du tænke på, hvordan personoplysningerne behandles. Det kan f.eks. være:
    • hvilke personoplysninger, der skal behandles om hvilke personer.
    • hvilke behandlingsaktiviteter (indsamling, analyse, sletning osv.), der skal gennemføres.
    • hvilke systemer, der skal bruges til behandlingen osv.

Vi skelner mellem tre roller

I alle tre tilfælde er det de faktiske forhold i dit forskningsprojekt, der afgør AU’s rolle. Altså hvordan du og andre parter faktisk gør:


Rolle 1: Dataansvarlig

En dataansvarlig er en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der alene eller sammen med andre afgør til hvilke formål og med hvilke hjælpemidler, der må foretages behandling af personoplysninger.

Den, der bestemmer formål med, og i det væsentligste hjælpemidlerne til, behandling af personoplysning er således dataansvarlig. 


Rolle 2: Fælles dataansvarlig

Hvis to eller flere dataansvarlige i fællesskab fastlægger formålene med og hjælpemidlerne til behandlingen af personoplysninger, er de fælles dataansvarlige. 

Vær opmærksom, på at der skal indgås en aftale om fælles dataansvar mellem de dataansvarlige.  


Rolle 3: Databehandler

En fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der behandler personoplysninger på den dataansvarliges vegne (dvs. under instruktion fra den dataansvarlige uden et selvstændigt forskningsformål). Den, som udfører behandlingen på en andens parts vegne er altså databehandler. Det er på trods af, at behandlingen er til den anden parts formål og efter den anden parts instruks.

Vær opmærksom på, at der skal indgås en aftale (databehandleraftale) mellem databehandleren og den dataansvarlige. Når du benytter en databehandler, skal du løbende føre tilsyn med, at databehandleren behandler personoplysninger på den måde, som du/AU har anvist, og som fremgår af databehandleraftalen. Hvordan du skal føre tilsyn afhænger af din risikovurdering.
Du kan læse mere om tilsyn med databehandlere i Datatilsynets vejledning.

Hvad betyder "faktiske forhold" og hvorfor er det relevant?

De faktiske forhold er alle de ting AU og andre parter gør i et forskningsprojekt. De faktiske forhold afgør, hvordan databeskyttelsesretten gælder i det enkelte projekt. 

  • Et eksempel på de faktiske forhold: AU beder en leverandør (fx et konsulenthus) om at foretage nogle analyser om køn og lønniveauer, hvor resultaterne skal bruges i et forskningsprojekt. Leverandøren behander præcis de personoplysninger (fx alder, køn, adresse og oplysninger om lønforhold), som AU har instrueret leverandøren i. Leverandøren behandler alene personoplysningerne med henblik på at lave analyseresultaterne til AU og må ikke bruge oplysningerne til andet. 
  • De databeskyttelsesretslige roller i eksemplet: Måden, som parterne (AU og leverandøren) faktisk agerer på (ved deres handlinger) i ovenstående eksempel, betyder at AU er dataansvarlig, fordi AU fastlægger formål og hjælpemidler med behandlingen af personoplysninger. Leverandøren er databehandler, fordi leverandøren udelukkende behandler personoplysningerne til AU's formål og på den måde, AU anviser (instruktionen).

Hjælpespørgsmål til at afgøre rollerne

For at afklare, om der er tale om 1, 2 eller 3 af de databeskyttelsesretlige roller, hjælper det at stille følgende spørgsmål:

  • Er der andre parter involveret?
    • Svar ud fra ovenstående eksempel: Ja, leverandøren.
  • Hvis formål behandles oplysningerne til?
    • Svar ud fra ovenstående eksempel: Til AU's forskningsformål.
  • Indeholder aftalen mellem dig og de(n) øvrige part(er) en direkte eller indirekte instruks om behandlingen af personoplysninger? 
    • Svar ud fra ovenstående eksempel: Ja.
  • Har du instrueret en anden part i, hvordan personoplysningerne skal behandles? 
    • Svar ud fra ovenstående eksempel: Ja.
  • Skal du godkende alle eller de væsentligste behandlingsskridt?
  • Skal du føre kontrol med den anden parts behandling?
  • Har du ret til at fastsætte vilkår for behandlingen af personoplysningerne, f.eks. hvornår de skal slettes?