ROLLER i GDPR
Behandlingsansvarlig er en nøkkelrolle under GDPR
Behandlingsansvarlig er en sentral rolle under GDPR. Både juridiske og fysiske personer er behandlingsansvarlige. Det samme gjelder offentlige myndigheter og institusjoner. Nedenfor kan du finne ut mer om hva det vil si å være behandlingsansvarlig, som er en nøkkelrolle under GDPR.
Kontroller eller prosessor
Når et selskap behandler personopplysninger, gjør det det enten i rollen som prosessor eller kontroller. Rollen utføres ikke av en person i selskapet, men av selskapet selv. På den annen side kan enkeltpersoner spille en slik rolle i visse tilfeller. For eksempel enkeltpersoner som driver en eneste næringsdrivende.
Hva som avgjør hvem som er kontrollør
Hva som bestemmer hvem som har rollen som kontrollør, vurderes på grunnlag av bestemmelsen av behandlingen. Den som bestemmer midlene og formålene med behandlingen, er den behandlingsansvarlige. Det vil si den som bestemmer hvordan og hvorfor personopplysningene skal behandles. Det er derfor et spørsmål om hvem som bestemmer formålet med behandlingen av personopplysninger og hvordan det skal utføres.
Felleskontrollere
Det er mulig for to eller flere foretak å være felles behandlingsansvarlige. Vær oppmerksom på at det er viktig å regulere forholdet mellom dem, for å sikre overholdelse av forpliktelsene til behandlingsansvarlige i henhold til GDPR. For eksempel for å beskytte rettighetene til de registrerte.
Artikkel 26 i GDPR krever at felles behandlingsansvarlige regulerer sine ordninger seg imellom. For å bevise samsvar med artikkel 26 GDPR, bør de felles behandlingsansvarlige inngå en skriftlig avtale mellom hverandre. I avtalen kan de regulere hvordan de skal oppfylle sitt ansvar som behandlingsansvarlige og hvordan behandlingen skal utføres.
Ansvar for overføring
Det er ikke mulig for en behandlingsansvarlig å overføre ansvaret for behandlingen av personopplysninger. På den annen side er det mulig å overlate utførelsen av behandlingen til en annen operatør. En behandlingsansvarlig har med andre ord alltid denne rollen under GDPR.
En behandlingsansvarlig kan imidlertid engasjere en databehandler i henhold til artikkel 28 GDPR, og instruere databehandleren om å behandle personopplysningene på en bestemt måte. I dette tilfellet utføres behandlingen av prosessoren, men på vegne av kontrolleren. Det er derfor mulig å overlate behandlingen til noen andre, men det er fortsatt den behandlingsansvarlige som har bestemt hvordan og hvorfor personopplysningene skal behandles.
Ta hensiktsmessige tekniske og organisatoriske tiltak
En behandlingsansvarlig må sørge for at de behandler personopplysningene på en sikker måte. Personopplysninger skal beskyttes mot utilsiktet eller ulovlig ødeleggelse, tap eller endring. Det skal også treffes tiltak for å beskytte mot uautorisert utlevering av eller tilgang til personopplysninger som overføres, lagres eller på annen måte behandles. Dette skal gjøres ved å gjennomføre ulike hensiktsmessige tekniske og organisatoriske tiltak. Jo mer sensitive personopplysninger, desto høyere sikkerhetskrav.
Eksempler på tekniske og organisatoriske tiltak
Multi-faktor autentisering for innlogging
Kryptering av filer
Brukertillatelser
Lagring av sikkerhetskopier
Kontrollører er pålagt å opprettholde en registerliste i visse tilfeller
Noen selskaper som er behandlingsansvarlige, må holde oversikt over sine behandlingsaktiviteter for personopplysninger. Det samme gjelder prosessorer. I henhold til artikkel 30 i GDPR, må det være skriftlig og tilgjengelig i elektronisk form. Dersom den nasjonale reguleringsmyndighet anmoder om det, skal dette gjøres tilgjengelig for Myndigheten.
Dersom foretaket sysselsetter 250 eller flere personer, skal foretaket opprette et register. I tillegg må mindre selskaper gjøre det hvis de behandler sensitive personopplysninger eller hvis behandlingen kan sette de registrertes rettigheter og friheter i fare. Dette er på betingelse av at det ikke er relatert til midlertidig behandling. Dette betyr imidlertid ikke at mindre selskaper trenger å holde oversikt over alle behandlinger, bare fordi noen behandlinger oppfyller kravet. I stedet trenger de bare å holde oversikt over behandlinger som oppfyller kravet.
Hvis et selskap har ansatte og derfor behandler personopplysninger som sykefravær, behandler selskapet sensitive personopplysninger. Siden denne behandlingen er vanlig og ikke midlertidig, må selskapet holde oversikt over denne spesifikke behandlingen.
Enkeltpersoner kan være behandlingsansvarlige og prosessorer
Det kan være en enkeltperson som er behandlingsansvarlig eller prosessor. For eksempel, hvis han er en eneste handelsmann. Det samme gjelder hvis en person har installert et kamera på sin eiendom eller leilighet, filming et offentlig rom. I slike tilfeller kan det også være et krav at personen først må innhente tillatelse til overvåking av overvåking av overvåking av overvåkingskameraer fra vedkommende myndighet. Faktisk gjør mange privatpersoner feilen ved å ha en klokke med et kamera rettet mot en offentlig vei. Vær oppmerksom på at det er spesielt følsomt hvis kameraet peker mot en annens ytterdør, da dette betyr at det er mulig å se når noen forlater eller kommer hjem.
Mer om rollene i GDPR
Bedrifter som behandler personopplysninger i rollen som databehandler i henhold til GDPR
Et selskap fungerer som databehandler under GDPR, når det behandler personopplysninger på vegne av et annet selskap. Å være databehandler betyr at du behandler personopplysninger i henhold til andres instrukser. For eksempel behandler et regnskapsfirma personopplysninger på vegne av kunden, som vises i kundens fakturaer eller lønnsslipper, med det formål å administrere kundens kontoer. I slike tilfeller er regnskapsfirmaet databehandler på tidspunktet for behandling av slike data, og kunden er behandlingsansvarlig. Vær oppmerksom på at regnskapsfirmaet derimot er behandlingsansvarlig ved behandling av personopplysningene til sine egne ansatte.