Skriftlige avtaler og dokumenter
Inngå en prosessoravtale
Det er viktig å inngå en prosessoravtale når en kontroller engasjerer en prosessor. Dette må gjøres skriftlig i henhold til GDPR-reglene.
Hvem kan bli prosessor?
- Fysiske personer, for eksempel en enkelt næringsdrivende.
- Juridiske personer, for eksempel et selskap begrenset av aksjer eller et partnerskap.
- Offentlige myndigheter.
- Institusjoner.
- Aandre organer.
Når bør virksomheter inngå en prosessoravtale?
Det er to forskjellige situasjoner der selskaper skal inngå en prosessoravtale:
1. Engasjer prosessorer
når en behandlingsansvarlig engasjerer en databehandler, For eksempel, hvis et selskap engasjerer et regnskapsfirma for å holde sine nåværende kontoer på vegne av selskapet.
2. Bruke tjenestene til en prosessor
Når en prosessor i sin tur engasjerer en prosessor. Ofte kalt «databehandler» eller forkortet «underdatabehandler» (eng: underleverandør). For eksempel, hvis et brukerfirma, som kontroller, engasjerer et utviklingsselskap som er en prosessor for å utvikle og drive en mobilapplikasjon på vegne av brukerfirmaet. Utviklingsselskapet engasjerer i sin tur et konsulentfirma, om nødvendig, med en ekstern konsulent av fortreffelighet for utførelsen av kontrakten. Konsulentfirmaet blir deretter en prosessor av utviklingsselskapet.
Vær oppmerksom på at for å være gyldig i henhold til artikkel 28 (3) GDPR, må prosessoravtale være skriftlige.
Vanlige eksempler på når bedrifter bruker en prosessor
Revisjonsfirma
Når et selskap engasjerer et regnskapsbyrå til å administrere for eksempel selskapets lønn, driftsregnskap og regnskap.
Skytjenester
Om et selskap bruker skytjenester til å lagre personopplysninger.
Utvikler
Hvis et selskap ønsker å bygge en mobilapplikasjon og engasjerer et utviklingsselskap til å behandle personopplysninger i utførelsen av oppdraget på vegne av selskapet.
Hva en prosessoravtale er for å sikre
En prosessoravtale skal sikre at både den behandlingsansvarlige og databehandleren:
- Oppfyller kravene i GDPR.
- Er klar over sine forpliktelser i henhold til GDPR, både overfor hverandre og også overfor registrerte.
- Beskytte personopplysningene som behandles. Dette gjelder personopplysninger om for eksempel kunder, ansatte og andre kategorier av registrerte.
- Dokumenterer sitt samarbeid og arbeid med GDPR tydelig for å kunne demonstrere at partene overholder GDPR i samsvar med det grunnleggende databeskyttelsesprinsippet om ansvarlighet.
I tillegg må prosessoravtalen inneholde minimumskravene i artikkel 28 i GDPR. Ellers risikerer kontrakten å bli ansett som ugyldig eller defekt og dermed i strid med reglene i GDPR.
Eksempel på nødvendig innhold i en prosessoravtale
Formål
Formålet med behandlingen skal være oversiktlig.
Frist
Hvor lenge behandling skal finne sted, når den skal opphøre, etc. Det er også mulig å regulere tidsfrister som er mer spesifikke enn de som er angitt i GDPR. GDPR sier noen ganger at noe skal skje ”uten unødig forsinkelse”. I slike tilfeller kan avtalepartene velge å bli enige om at det aktuelle tiltaket i stedet bør finne sted innen «24 timer».
Kategorier
Hvilke typer personopplysninger det gjelder, for eksempel vanlige personopplysninger, sensitive personopplysninger eller andre personvernsensitive personopplysninger; Den skal også angi hvilken kategori av registrerte behandlingen gjelder. For eksempel, om det er en ekstra gruppe verdig beskyttelse, for eksempel barn eller syke, brukere, kunder, ansatte, etc.
Rettigheter og plikter
De respektive rettighetene og forpliktelsene til den behandlingsansvarlige og databehandleren, Det er også viktig å regulere kommersielle forhold som ikke er berørt av GDPR. For eksempel om databehandleren har rett til godtgjørelse for sin bistand i henhold til prosessoravtalen.
Personopplysningsassistent
På hvilke vilkår databehandleren kan benytte seg av tjenestene til en underdatabehandler, Vilkårene varierer, avhengig av om den behandlingsansvarlige har valgt å gi en spesifikk eller generell skriftlig forhåndsgodkjenning for databehandlerens engasjement med en annen databehandler.
Konfidensialitet
I henhold til artikkel 28 nr. 3 bokstav b i GDPR må prosessoravtalen inneholde en bestemmelse der databehandleren sikrer at personer som er autorisert til å behandle personopplysningene, har forpliktet seg til konfidensialitet eller er underlagt en passende lovbestemt taushetsplikt. Dette gjelder ikke bare egne ansatte, men også konsulenter og andre som kan få tilgang til personopplysningene gjennom databehandleren.
Anmeldelser
Databehandleren skal gjøre tilgjengelig for den behandlingsansvarlige all informasjon som er nødvendig for å påvise overholdelse av forpliktelsene fastsatt i GDPR. I tillegg skal personvernombudet muliggjøre og bidra til revisjoner utført av den behandlingsansvarlige eller av en annen revisor utpekt av den behandlingsansvarlige. Dette skal reguleres uttrykkelig i kontrakten.
Oppsigelse av kontrakt
Hva skjer med personopplysningene ved kontraktens slutt Den behandlingsansvarlige har rett til å bestemme om databehandleren returnerer eller sletter personopplysningene, og innen hvilken periode og hvordan.
EU-kommisjonen har publisert ”Retningslinjer 07/2020 om begrepene behandlingsansvarlig og databehandler i GDPR”, som inneholder ytterligere anbefalinger og retningslinjer for innholdet i en prosessoravtale.
Den behandlingsansvarlige skal gi databehandleren skriftlige instrukser om
Det følger av artikkel 28 (3) (a) GDPR at databehandlere kun kan behandle personopplysninger i samsvar med instruksjonene gitt av den behandlingsansvarlige, med mindre nødvendig behandling kreves av EU-lovgivningen eller en nasjonal lovgivning i en av medlemsstatene. Hvis en prosessor behandler personopplysningene i strid med de skriftlige instruksjonene, kan prosessoren være underlagt samme ansvar som om det var en kontroller.
Instruksjonene kan vises i prosessoravtalen, men dette er ikke et krav. I stedet er det mulig å utarbeide egne instrukser i vedlegg som utfyller prosessoravtalen. Det er ofte lettere å justere og oppdatere instruksjonene hvis de er formulert i et vedlegg til prosessoravtalen. Derfor er det vår anbefaling å utarbeide instruksjonene i et vedlegg til instruksjonene, i stedet for å bli innlemmet i prosessoravtalen som sådan.
Mer informasjon
Informere datasubjekter gjennom en personvernerklæring
De registrerte skal alltid informeres om behandlingen av sine personopplysninger. Dette gjøres vanligvis via en personvernerklæring. Bedrifter har vanligvis sin personvernerklæring publisert på deres nettside. Den skal blant annet angi formålet med behandlingen, varigheten av behandlingen, rettighetene til de registrerte, om selskapet har en databeskyttelsesansvarlig, etc.