Dataansvarlig eller databehandler

Indholdet er opdateret i marts 2022. Vær opmærksom på, at vi løbende opdaterer disse sider. 


Her kan du få et overblik over, hvad dataansvarlig, fælles dataansvarlig og databehandler betyder, og hvordan du undersøger de databeskyttelsesretlige roller i dit projekt.


Det er vigtigt at kende de databeskyttelsesretlige roller, da det er rollerne, der afgør, hvilke forpligtelser AU har. Det kan af og til være svært at finde ud af, hvilken rolle som AU har i et forskningsprojekt. Her på siden kan du læse om de tre roller, der findes i databeskyttelsesretten, når der sker en behandling af personoplysninger. Du kan f.eks. finde en række hjælpespørgsmål, som kan hjælpe dig med at afdække, hvilke(n) rolle(r) AU har.  

Når du er ansat ved AU og behandler personoplysninger i din forskning, som AU-ansat, skal du være opmærksom på, at det er AU, der er den dataansvarlige eller databehandleren. Du er dog konkret ansvarlig for at sikre, at databeskyttelsen er varetaget i dit projekt.  


Sådan undersøger du de databeskyttelsesretlige roller i dit projekt

Rollerne afhænger af hvem, der bestemmer formål med og hjælpemidler til behandlingen af personoplysninger.

  • Formål: Her skal du tænke på formålet med behandlingen af personoplysninger. Du skal altså spørge dig selv, hvorfor det er nødvendigt at behandle personoplysningerne. Du kan læse mere om formålsbeskrivelse her (link er ikke tilgængeligt endnu, men er på vej).
  • Hjælpemidler: Her skal du tænke på, hvordan personoplysningerne behandles. Det kan f.eks. være hvilke personoplysninger, der skal behandles om hvilke personer, hvilke behandlingsaktiviteter (indsamling, analyse, sletning osv.), der skal gennemføres, hvilke systemer, der skal bruges til behandlingen osv.

Vi skelner mellem tre roller

I alle tre tilfælde er det de faktiske forhold i dit forskningsprojekt, der afgør AU’s rolle. Altså hvordan du og andre parter faktisk gør:


Rolle 1: Dataansvarlig

En dataansvarlig er en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der alene eller sammen med andre afgør til hvilke formål og med hvilke hjælpemidler, der må foretages behandling af personoplysninger.

Den, der bestemmer formål med, og i det væsentligste hjælpemidlerne til, behandling af personoplysning er således dataansvarlig. 


Rolle 2: Fælles dataansvarlig

Hvis to eller flere dataansvarlige i fællesskab fastlægger formålene med og hjælpemidlerne til behandlingen af personoplysninger, er de fælles dataansvarlige. 

Vær opmærksom, på at der skal indgås en aftale om fælles dataansvar mellem de dataansvarlige.  


Rolle 3: Databehandler

En fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der behandler personoplysninger på den dataansvarliges vegne (dvs. under instruktion fra den dataansvarlige uden et selvstændigt forskningsformål). Den, som udfører behandlingen på en andens parts vegne er altså databehandler. Det er på trods af, at behandlingen er til den anden parts formål og efter den anden parts instruks.

Vær opmærksom på, at der skal indgås en aftale (databehandleraftale) mellem databehandleren og den dataansvarlige. Når du benytter en databehandler, skal du løbende føre tilsyn med, at databehandleren behandler personoplysninger på den måde, som du/AU har anvist, og som fremgår af databehandleraftalen. Hvordan du skal føre tilsyn afhænger af din risikovurdering.
Du kan læse mere om tilsyn med databehandlere i Datatilsynets vejledning.

Hjælpespørgsmål til at afgøre rollerne

For at afklare, om der er tale om 1, 2 eller 3 af ovenstående, hjælper det at stille følgende spørgsmål: 

  • Er der andre parter involveret?
  • Hvis formål behandles oplysningerne til?
  • Indeholder aftalen mellem dig og de(n) øvrige part(er) en direkte eller indirekte instruks om behandlingen af personoplysninger? 
  • Har du instrueret en anden part i, hvordan personoplysningerne skal behandles? 
  • Skal du godkende alle eller de væsentligste behandlingsskridt?
  • Skal du føre kontrol med den anden parts behandling?
  • Har du ret til at fastsætte vilkår for behandlingen af personoplysningerne, f.eks. hvornår de skal slettes?