Logg inn

Logg inn med ditt passord for å redigere hjemmesiden!

Skriv inn epostadressen din (må være den som er registrert på Mekke), og trykk på "Send meg passord" for å bli tilsendt nytt passord på epost.

Hopp til innhold

Det er vanskelig å avgrense et enkelt kurs. Det er flere temaer som er viktige som man må fjerne. Denne siden er for å få fokus på viktige sider som vi ikke har hatt plass til i kurset.

Vi anbefaler å bruke tid på www.gdprblogg.no og www.pvern.no 

Databehandleravtale

"Personvernforordningen skiller mellom begrepene behandlingansvarlig og databehandler. Den behandlingsansvarlige bestemmer over personopplysningene, mens databehandleren opptrer på vegne av den behandlingsansvarlige. Databehandleren kan derfor bare behandle personopplysninger etter innstruks fra den behandlingsansvarlige."

Behandlingsansvarlig

Den behandlingansvarlige er etter forordningen pliktansvarlig og overordnet ansvarlig for å overholde personvernprinsippene og regelverket. Den behandlingsansvarlige er ansvarlig for å behandle personopplysninger på en lovlig, rettferdig og gjennomsiktig måte, blant mange andre plikter.

Behandlingsansvarlig må derfor passe at alle organisatoriske og tekniske tiltak som trengs er etablert så regelverket følges klart til enhver tid. Behandlingsansvarlig må også vise at den opptrer i samsvar med reglene. Dette gjelder også med godt valg av databehandler. Av denne grunn kan ikke behandlingsansvarlig gi fra seg ansvaret for å passe på at regelverket følges.

Databehandler

"En databehandler er en fysisk eller juridisk person, offentlig myndighet, institusjon eller ethvert annet organ som behandler personopplysninger på vegne av den behandlingsansvarlige."
Det viktigste å få med seg i paragrafen er at en databehandler behandler opplysninger på vegne av andre.

Databehandleren behandler alltid opplysninger etter instruks fra en annen bedrift, og kan av den grunn aldri bestemme formål eller andre avgjørende ting ved behandlingen. En databehandler har med andre ord blitt gitt en oppgave om å behandle personopplysninger fra en behandlingsansvarlig.

En databehandler vil ofte være en annen bedrift, men det kan også være en fysisk person som er databehandler. Hvordan man er organisert - både som enkeltperson eller en større bedrift - har ikke betydning for spørsmålet om man er databehandler eller ikke. Selv hvis man ikke kan se dataen som blir behandlet kan man regnes som databehandler eksempelvis hvis man oppbevarer personopplysninger på en skytjeneste. En databehandler kan i tillegg også være behandlingsansvarlig, men bare for "egne" opplysninger. Det vi mener med egne opplysninger er for eksempel opplysninger om databehandler sine ansatte. Det er derimot ikke mulig å være databehandler og behandlingsansvarlig for samme behandlingen.

Mange databehandlere har spesifikke tjenester som har med behandling av personopplysninger å gjøre, og har derfor en "standard databehandleravtale". Når du skal ta bruk av slike avtaler kan det hende man får inntrykk av at det er databehandler som bestemmer, siden avtalen har vilkår for hvordan databehandleren behandler opplysninger. Likevel ligger ansvaret for at vilkårene etterlever regelverket hos behandlingsansvarlig. Derfor må du som behandlingsansvarlig sikre at vilkårene er undersøkt, og at de følger regelverket.

Oppsummering

Disse punktene er en oppsummering på de viktigste tingene å vurdere når det kommer til om det foreligger et databehandleroppdrag, og hvorvidt du er databehandler eller behandlingsansvarlig

  • Personopplysningene behandles bare etter dine formål.
  • Det er du som er overordnet ansvarlig for å overholde personvernregelverket.
  • Den andre parten behandler opplysninger på vegne av deg, og har ikke bestemmelsesrett over opplysningene.
  • Den andre parten er en ekstern virksomhet, separert fra deg.
  • Loven eller lignende pålegger deg å behandle visse personopplysninger.
  • En avtale mellom deg og en annen part inneholder en direkte eller en indirekte instruks om å behandle personopplysninger (Motsatt: avtalen omhandler levering av et annet type oppdrag eller tjeneste).
  • Du kan instuere den andre parten om hvordan personopplysningene kan behandles.
  • Den andre parten kan bare lovlig behandle opplysningene etter instruks fra deg, og kan ikke bruke opplysningene til egne formål.
  • Det er du som bestemmer formål og de avgjørende hjelpemidlene for hvordan personopplysningene skal behandles
  • Du kan kontrollere at den andre parten behandler opplysninger som avtalt.
  • Personene du behandler personopplysninger om har en berettiget forventning om at du er behandlingsansvarlig.
  • Du kan kreve at den andre parten sletter eller tilbakeleverer opplysningene.

Du kan finne hele veiledningen på Datatilsynet sin nettside her

 

Del denne siden med andre!

Share on FacebookShare on Twitter

Logg inn