GDPR: Hvad med vikarer og konsulenter?
I er en virksomhed, I er dataansvarlige for en række personoplysninger og I benytter jer af vikarer og konsulenter, som også har adgang til de oplysninger. Hvilke regler gælder, når dataansvaret skal placeres? Det spørgsmål har Datatilsynet for nylig besvaret i en vejledning.
Vikarer og eksterne konsulenter, som udfører arbejdsopgaver, herunder behandler personoplysninger hos en kunde, er ikke ansat hos kunden, men i et andet firma, som er en anden juridisk enhed eller person. Derfor gælder der umiddelbart andre regler for dem end for de medarbejdere, der er ansat af og får udbetalt løn fra den dataansvarlige virksomhed. Der er desuden forskel på vikarer og eksterne konsulenter. Datatilsynet har beskrevet de forskellige muligheder og samlet nogle vejledende principper i dette notat, som beskriver disse fire scenarier:
Vikarer, som behandler personoplysninger og er
- del af den dataansvarliges juridiske enhed eller
- ikke del af den dataansvarliges juridiske enhed.
Eksterne konsulenter
- behandler ikke personoplysninger
- behandler personoplysninger.
Vikarer kan ofte betragtes som medarbejdere, men husk at få styr på aftalevilkårene
Der er især fire forhold, der i forhold til dataansvar placerer vikaren som en del af den dataansvarliges juridiske enhed:
- vikarens rolle og udførelse af opgaver hos den dataansvarlige svarer nogenlunde til de øvrige medarbejderes,
- den dataansvarlige har den fulde instruksbeføjelse over for vikaren,
- den dataansvarlig har pligten til at føre tilsyn med vikarens arbejde og
- den dataansvarlige har de samme rettigheder og forpligtelser over for vikaren som for eget personale, eksempelvis at tegne en lovpligtig arbejdsskadeforsikring for vikaren.
Hvis I kan svare ja til de spørgsmål, er det ikke af betydning, hvem der betaler vikarens løn. Hvis I ikke kan svare ja, så skal vikaren betragtes som en databehandler, og der skal laves en databehandleraftale for det.
I begge tilfælde er det utroligt vigtigt, at kontrakten mellem vikarbureau og virksomhed beskriver den rollefordeling, man ønsker, og muligvis allerede har indrettet sig efter.
Eksterne konsulenter bliver ikke betragtet som medarbejdere
Eksterne konsulenter vil kun sjældent kunne betragtes som en del af den dataansvarliges juridiske enhed, så her er det afgørende, om konsulenten behandler personoplysninger eller ej. Som eksempel, hvor behandling af personoplysninger i hvert fald til dels indgår i den eksterne konsulents opgave, nævnes en it-konsulent, der har til opgave at lave rettelser i de personoplysninger, som er forkert registreret i den dataansvarliges database. I dette tilfælde repræsenterer konsulenten en ekstern juridisk enhed og får en rolle som databehandler, hvilket skal reguleres i en databehandleraftale.
Som eksempler på situationer, hvor konsulenten ikke behandler personoplysninger, nævnes analyse af og forbedringsforslag til arbejdsgange samt fejlsøgning og -retning af software.
Husk: Det er den dataansvarlige virksomheds ansvar, at der er en databehandleraftale.
Podcast for SMV'er om GDPR-regler
Datatilsynet har lavet en række podcast for mindre og mellemstore virksomheder, som har brug for en introduktion til GDPR-reglerne. Lyt med her.