ROLER – GDPR
Databehandlere spiller en viktig rolle under GDPR
Når en aktør behandler personopplysninger på vegne av en behandlingsansvarlig, skjer behandlingen i rollen som personlig informasjonsassistent. Det kan være et selskap, en organisasjon eller et offentlig organ som behandler personopplysninger i rollen som databehandler. Det som er viktig for denne rollen er at det ikke er databehandleren som bestemmer hvordan og hvorfor personopplysningene skal behandles.
Instruksjoner fra kontrolleren
Den behandlingsansvarlige gir instrukser til Databehandleren om hvordan personopplysningene skal behandles. Instruksjonene skal dokumenteres skriftlig. I tillegg må den behandlingsansvarlige og prosessoren inngå en prosessoravtale med hverandre. Dette kravet er fastsatt i artikkel 28 i GDPR. I tillegg, for å være gyldig, må kontrakten være skriftlig.
Databehandleren har ikke lov til å behandle personopplysningene for noen av sine egne formål. I tillegg er det den behandlingsansvarlige som bestemmer formålet med behandlingen. Stillingsbeskrivelsen kan være svært begrenset eller generell.
Eksempler
- Et eksempel på ringinngjerdede innlegg er outsourcing av post.
- Et eksempel på en generelt begrenset stilling kan være en revisor som utfører utbetaling av lønn fra brukerforetaket til sine ansatte (lønnsstyring).
Vær oppmerksom på at det kan være tilfeller der en instruksjon fra kontrolleren bryter med GDPR. Dersom databehandleren anser dette for å være tilfelle, skal de underrette den behandlingsansvarlige og ha rett til å stanse behandlingen inntil saken er undersøkt.
Eksempler på selskaper som ofte behandler personopplysninger i rollen som databehandlere
- Markedsføringsbyråer
- Regnskapsselskaper
- Programmeringsbyråer
- Laboratoriet
- Leverandør av skylagringstjenester
- Leverandør av økonomi- eller regnskapssystemer
Databehandlere har flere forpliktelser i henhold til GDPR
Inngå en skriftlig prosessoravtale
En prosessor må inngå en prosessoravtale med kontrolleren. Dette fremgår av artikkel 28 (3) i GDPR, og kontrakten må oppfylle minimumskravene som er angitt. I tillegg, for å være gyldig i henhold til artikkel 28 (9) GDPR, må databehandleravtalen være skriftlig. Dette kravet til skriving skiller seg fra mange andre typer avtaler, som er like gyldige muntlige som skriftlige.
Innholdet i en prosessoravtale
I databehandleravtalen skal partene blant annet regulere: behandlingens varighet, art og formål, type personopplysninger og kategorier av registrerte samt den behandlingsansvarliges forpliktelser og rettigheter, Minimumsinnholdet som prosessoravtalen må inneholde for å være gyldig, er angitt i artikkel 28 (3) i GDPR.
Skriftlig fullmakt til å engasjere underassistenter
Det er mulig for en prosessor å koble til en annen prosessor. En såkalt «underdatabehandler». For eksempel, hvis en prosessor programmerer apper, men ikke er dyktig i statistikk og derfor ønsker å ansette et annet byrå for å hjelpe til med denne spesifikke oppgaven. Derimot kan en underbehandler bare engasjeres av en databehandler etter at den behandlingsansvarlige har gitt forhåndsgodkjenning. Dette kravet er fastsatt i artikkel 28 nr. 2 i GDPR.
Kontrakt med assistent(er)
I henhold til artikkel 28 nr. 4 i GDPR er det klart at en databehandler må inngå en databehandleravtale med de underdatabehandlerne som er ansatt. Dette skal gjøres før en underbehandler begynner å behandle personopplysninger på vegne av den behandlingsansvarlige. Dersom underbehandleren ikke oppfyller sine forpliktelser til vern av personopplysninger, skal den opprinnelige databehandleren være fullt ut ansvarlig overfor den behandlingsansvarlige for oppfyllelsen av underbehandlerens forpliktelser.
Liste over instruksjoner
Bedrifter som behandler personopplysninger må kunne bevise samsvar med GDPR, uavhengig av om de behandler personopplysninger i rollen som prosessor eller kontroller. For eksempel bør en prosessor utarbeide lister over instruksjonene den har mottatt fra kontrollere.
Nedenfor finner du mer informasjon om forpliktelsene til prosessorer.
Databehandlere må holde oversikt over behandlingen av personopplysninger i visse tilfeller
Som en generell regel, mindre selskaper som er prosessorer trenger ikke å holde en oversikt over sine behandlingsaktiviteter. På den annen side må de kanskje gjøre det, selv om det ikke er et stort selskap. For eksempel der behandlingen innebærer en høy risiko for de registrertes rettigheter og friheter. Det samme gjelder behandling av sensitive personopplysninger.
Virksomheter med 250 eller flere ansatte skal føre journal over behandlingen. Vær oppmerksom på at det skal være skriftlig og tilgjengelig i elektronisk format. I tillegg skal selskapet på anmodning gjøre den tilgjengelig for den nasjonale personvernmyndigheten. Dette følger av artikkel 30 i GDPR.
Varsle den behandlingsansvarlige om brudd på personopplysningssikkerheten som har inntruffet
Brudd på personopplysninger er en form for sikkerhetshendelse. Det innebærer utilsiktet eller ulovlig ødeleggelse, tap, endring, uautorisert utlevering av eller tilgang til personopplysninger som overføres, lagres eller på annen måte behandles. Hvis det oppstår et brudd på personopplysningssikkerheten hos databehandleren, må de informere den behandlingsansvarlige om dette. I tillegg skal det gjøres uten unødig forsinkelse. Det er da den behandlingsansvarlige som kan ha behov for å varsle bruddet til tilsynsmyndigheten innen 72 timer.
Implementere hensiktsmessige tekniske og organisatoriske tiltak for å beskytte personopplysninger
I likhet med behandlingsansvarlige må en databehandler beskytte personopplysningene den behandler, ved å implementere hensiktsmessige tekniske og organisatoriske tiltak. For eksempel ved å kryptere filer, implementere brukertillatelser, multifaktorautentisering, etc.
Den faktiske situasjonen avgjør om et foretak er en databehandler eller en behandlingsansvarlig.
Bare det faktum at et selskap anser seg for å være en prosessor, og derfor inngår en prosessoravtale med en kontroller, betyr ikke at det automatisk er en prosessor. Med andre ord, det virkelige forholdet som bestemmer rollen som personopplysninger behandles i, bestemmer ikke hva som er i en kontrakt inngått mellom partene i kontrakten.
Et selskap kan være både kontroller og prosessor for ulike behandlingsoperasjoner
Et selskap kan være behandlingsansvarlig for visse behandlingsoperasjoner, for eksempel ved behandling av personopplysninger om sine ansatte. I tillegg kan selskapet være en prosessor i noen av sine behandlingsoperasjoner som de utfører for sine kunder. Med andre ord kan et selskap være både en kontroller og en prosessor, avhengig av den aktuelle behandlingen.
Etter slutten av levering av behandlingstjenester
Databehandlere skal slette alle personopplysninger som behandles på vegne av den behandlingsansvarlige etter at leveringen av behandlingstjenestene er avsluttet. Alternativt skal personopplysningene returneres til plikthaveren. Det er den behandlingsansvarlige som har rett til å velge mellom disse to tiltakene, i henhold til artikkel 28 (3) (g) i GDPR. I tillegg skal databehandleren sikre at eventuelle kopier av personopplysningene som databehandleren oppbevarer, tilintetgjøres. Vær imidlertid oppmerksom på at i noen tilfeller kan den behandlingsansvarlige måtte fortsette å behandle personopplysninger, hvis det kreves av en juridisk forpliktelse.
Mer informasjon om hjul
Personvernombud (DPO)
Noen selskaper må ha en databeskyttelsesansvarlig (DPO) under GDPR. Data Protection Officers (DPOs) spiller en viktig rolle i selskapet, inkludert å utføre kontroller, gi råd og anbefalinger innen databeskyttelse. I tillegg bør både registrerte og ansatte kunne kontakte personvernombudet ved eventuelle spørsmål om selskapets behandling av personopplysninger. Databeskyttelsesansvarlig kan utføre flere oppgaver i selskapet, forutsatt at det ikke er noen interessekonflikt. Et slikt eksempel kan være hvor et medlem av ledelsen er en databeskyttelsesansvarlig.