ComplyTo - Persondata er dit ansvar - ikke din IT-leverandørs

Den persondata du indsamler på dit website er dit ansvar

Persondata som din virksomhed anvender er dit ansvar – det er ikke din leverandør eller andre!

Skrevet af Kasper Mai Jørgensen, CEO i ComplyTo

Jeg faldt i weekenden over et spørgeskema på et større dansk medies website. Dem er der ret mange af – og de indsamler stort set alle persondata i større eller mindre grad. (Meningstilkendegivelser er også persondata).

Det er der ikke noget nyt i, men så faldt jeg over en boks til sidst hvor man angiver ”dette spørgeskema opbevares af ”leverandør x” – se deres persondatapolitik her”.

Det er jo egentlig en fin information om virksomhedens databehandler, men det præsenteres som om, at det er leverandøren som er dataansvarlig, og at jeg som læser skal forholde mig til underleverandørens persondatapolitik – det lugter meget af et forsøg på at skubbe ansvaret for indsamlingen og anvendelsen af persondata over på denne underleverandør.

Jeg har ligeledes snakket med virksomheder, som henholder sig til, at leverandøren af deres IT systemer er ”GDPR compliant”, og derfor har de helt styr på GDPR. Med de store kampagner mange software leverandører, markedsføringsbureauer og sågar kontorforsyningsvirksomheder har kørt om deres GDPR ekspertise, kan jeg godt forstå, at man bliver forvirret. Men lad det være slået fast en gang for alle – den som indsamler og bruger persondata er ansvarlig – det er den ansvarlige som får bøden. Og forsøg på at lægge ansvaret over på leverandøren er ikke muligt. De er oftest kun behandlere af data, og du har en databehandleraftale med leverandøren, som beskriver hvor ansvaret er – og det er hos den dataansvarlige.

IT-system eller makulator - de samme regler gælder

Nu kan software og databehandleraftaler være besværlige og tekniske at forstå – så lad os tage et helt lavpraktisk eksempel.

Kontorforsyningsvirksomheden har solgt dig en makulator og måske et låsbart arkivskab til papir – alt sammen så du kan overholde GDPR. Men det gør jo ikke at kontorforsyningen er ansvarlig for de papirerne i arkivskabet eller om de kommer i makulatoren – og hvis du får en bøde eller påtale for ikke at have styr på persondataloven, får du nok ikke den betalt af kontorforsyningen, som solgte dig en GDPR compliant makulator.

Når du køber et stykke software eller en online service, er det egentlig det samme. Leverandøren levere en service til dig – men det er dig som er ansvarlig for, at det bruges korrekt og de data du ligger i systemet. Hvis noget går galt med softwaren skal leverandøren selvfølgelig stå til ansvar (ligesom hvis makulatoren ikke virker, eller låsen på arkivskabet går i stykker), men det er stadig dig, som er ansvarlig for data og valget af leverandøren.

Så pas på med at tro, at du kan gemme dig bag din leverandør. Som virksomhed, forening eller andre som bruger persondata er det dig som er ansvarlig. Det gælder også spørgeskemaerne på dit website – det kan godt være du bruger Typeform, Surveymonkey eller andre – men dataene som indsamles er dit ansvar. Softwareleverandøren er ”bare” et avanceret arkivskab. Så du kan ikke gemme dig bag deres GDPR-branding og politikker. Persondata er dit ansvar!

Få mange flere nyheder og guides om GDPR

Skriv dig op til vores nyhedsbrev her

Andre relevante artikler

GDPR og samtykke

Hvornår skal du bede om samtykke, og hvad kan du gøre med det? Kasper forklarer gennem fire hverdagsscenarier med samtykke.

Fravalg af webshops uden datasikkerhed

Forbrugerne fravælger virksomheder, der ikke har styr på GDPR

Forbrugerne kræver styr på GDPR fra de virksomheder de handler hos. Hvad mener de om din branche? Vi har samlet tallene.

Se tallene her

Facebook og GDPR - I deler dataansvaret

Har din virksomhed en Facebookside? Eller bruger den analyseværktøjer til online markedsføring som Google Analytics? Så deler din virksomhed dataansvaret med IT-giganterne. 

Læs mere her

Find alle vores artikler

Tilbage til Blog-oversigten