Det er en lidt gammel tråd, men kan ikke se at der er kommet et klart svar, så her er mit input:
Du har som virksomhed ansvaret for, at alle dine databehandlere overholder lovgivningen. Du bør desuden indgå databehandleraftaler med dem alle, så du har en kontrakt med hver af dem omkring hvad der indsamles, hvordan, hvad det må bruges til osv. Det er ikke tilstrækkeligt blot at tænke, at databehandlerne (eksempelvis Google) håndterer det for dig, blot fordi det er dem der har adgang til den indsamlede data. Det er den dataansvarlige (din virksomhed) der har ansvaret.
Derudover skal du som virksomhed sikre, at du overholder alle de andre elementer i GDPR, herunder oplysningspligten for dine besøgende. Det kræver en lovlig hjemmel for at indsamle og behandle persondata. Denne hjemmel kan være:
- Samtykke
- Kontraktlig forpligtelse
- Retslig forpligtelse
- Behov for at beskytte f.eks. kundes vitale interesser
- Samfundets interesse
- Interesseafvejning
På mange hjemmesider har indehaverne implementeret værktøjer såsom Cookiebot (dansk værktøj) til at indsamle samtykke til alt der ikke er absolut nødvendigt for hjemmesidens fungeren, eksempelvis tracking, marketing scripts, analyseværktøjer, adsense osv. Afgives der ikke samtykke, må disse scripts ikke aktiveres.
GDPR er ret omfattende, så ovenstående er ikke fyldestgørende for compliance. Men jeg tænker det kan hjælpe nogen til at forstå nogle af de forpligtelser og dét at man ikke kan sende ansvaret videre til ens databehandlere.