GDPR – Forskrift om vern av personopplysninger

Roller

Ethvert selskap som behandler personopplysninger og faller innenfor rammen av GDPR, utgjør behandlingen enten som prosessor eller som kontroller.

Ulike roller i henhold til GDPR

Eksempler på personopplysninger er navn, telefonnumre og andre opplysninger som kan knyttes til en fysisk levende person. Med andre ord behandler de fleste selskaper personopplysninger om for eksempel kunder og / eller ansatte. Det er imidlertid ikke et individ av selskapet som er kontrolleren eller prosessoren, men selskapet selv er kontrolleren eller prosessoren. På den annen side kan en person være ansvarlig hvis han eller hun for eksempel er en eneste næringsdrivende. I tillegg må noen selskaper ha en databeskyttelsesansvarlig. Nedenfor finner du en oversikt over de ulike rollene under GDPR.

Behandlingsansvarlig

Det er den behandlingsansvarlige som bestemmer formålet med behandlingen og behandlingsmetoden. Med andre ord, hvordan og hvorfor personopplysninger skal behandles. Det er ikke mulig å overføre ansvaret som kontrollør til noen andre. På den annen side er det mulig å overlate gjennomføringen av behandlingen av personopplysningene til seg selv. 

What breaches of the GDPR can lead to an administrative fine?

Felleskontrollere

Det er mulig for flere aktører å være behandlingsansvarlige sammen i henhold til artikkel 26 GDPR. I slike tilfeller er det derimot viktig å regulere forholdet mellom de felles behandlingsansvarlige for å sikre at de overholder alle bestemmelsene i GDPR, for eksempel sikring av rettighetene til de registrerte. I henhold til personvernforordningen skal de ulike behandlingsansvarliges ansvar i en slik situasjon framgå av en «felles ordning». Dette bør reguleres skriftlig, for å bli bevist.

Prosessor

En databehandler behandler personopplysninger på vegne av en annen behandlingsansvarlig. Databehandleren skal bare behandle personopplysningene etter instruks fra den behandlingsansvarlige. Eksempler på selskaper som vanligvis fungerer som prosessorer:

  • Skytjenesteleverandør, for eksempel skylagring.
  • Regnskapskontorer og leverandører av regnskapssystemer.
  • Programmeringsselskaper og andre typer konsulenter.

Databehandlere og behandlingsansvarlige må holde oversikt over sine behandlingsaktiviteter i visse tilfeller

Både databehandlere og behandlingsansvarlige må holde oversikt over sine behandlingsaktiviteter i visse tilfeller i henhold til artikkel 30 GDPR. Hvis et selskap har mer enn 249 ansatte, må de føre et register. Dette gjelder uavhengig av om det er en prosessor eller en kontroller. På den annen side kan det hende at mindre selskaper også må gjøre det, som om de behandler sensitive personopplysninger og det ikke er midlertidig. For eksempel dersom et foretak har ansatte og dermed behandler sykefravær, som er sensitive personopplysninger.

Vær oppmerksom på at selskapet ikke er pålagt å holde oversikt over alle behandlingsoperasjoner i slike tilfeller. Det er tilstrekkelig å føre et register over behandlingsaktivitetene som forpliktelsene gjelder for. Men hvis det er usikkerhet om hvilke behandlinger GDPR krever er oppført i et register, er det bedre å registrere flere behandlinger enn for få. 

Skillet mellom kontrollører og prosessorer

Databehandlere mottar instruksjoner fra den behandlingsansvarlige om hvordan personopplysningene skal behandles. Databehandleren behandler dermed personopplysninger på vegne av en annen behandlingsansvarlig. For eksempel er det den behandlingsansvarlige som bestemmer formålene med behandlingen. Dette betyr igjen at databehandleren ikke må behandle personopplysningene i strid med instruksene.

Den behandlingsansvarlige og databehandleren skal inngå en skriftlig databehandleravtale der de regulerer reglene for behandlingen i samsvar med artikkel 28 i GDPR. Verbale databehandleravtaler er ikke gyldige i henhold til GDPR. 

Forholdet avgjør om en aktør er en kontroller eller prosessor

What is the definition of anonymised data?

Det er ikke ordlyden eller innholdet i en prosessoravtale som avgjør om en aktør er en kontrollør eller ikke. Det samme gjelder om operatøren er en prosessor. Det er det faktiske forholdet mellom partene som avgjør foretakets rolle. Dette betyr at det ikke er mulig å bli enige om hvem som skal ha hvilken rolle.

Sensitive personal data according to GDPR

Et selskap kan være en behandlingsansvarlig for visse behandlingsoperasjoner og en prosessor for andre behandlingsoperasjoner. For eksempel, hvis et selskap har ansatte og tilbyr en skytjeneste, hvor kundene kan lagre sikkerhetskopifiler som inneholder personlige data. Når skytjenesteleverandøren behandler personopplysninger om egne ansatte, er det kontrollørene som er behandlingsansvarlige, men når de behandler de opplastede sikkerhetskopifilene fra kundene, er det de som er prosessorene.

Databeskyttelsesansvarlig

Noen selskaper må ha en databeskyttelsesansvarlig. DPO  overvåker hvordan selskapet overholder GDPR. For eksempel ved å gi råd til ledelsen innen databeskyttelse, opptre som kontaktperson og samarbeide med DPA i tilfelle tilsyn. I tillegg må selskapet involvere DPO ved gjennomføring av en konsekvensutredning. Det samme gjelder dersom de vurderer å foreta en slik vurdering med sikte på ny behandling av personopplysninger. Dersom selskapet utpeker en personvernombud, skal dette meldes til tilsynsmyndigheten og registreres der.  

Personlig ansvar

Overholdelse av GDPR er den behandlingsansvarliges eller databehandlerens ansvar. DPO har ikke noe personlig ansvar for dette. I tillegg er det forbudt for selskapet å straffe DPO for å utføre sine oppgaver, når dette fører til noe som for eksempel selskapet ikke liker. Det kan faktisk være tilfelle at DPO fraråder foretaket å utføre en bestemt behandlingsoperasjon som det faktisk ønsker å gjøre.

Kunnskap

En DPO må ha et visst kunnskapsnivå for å kunne utføre sine oppgaver i sin rolle som DPO. For eksempel kunnskap om GDPR, å være kjent med kjernevirksomheten i selskapet og å kunne skape en databeskyttelseskultur i virksomheten. I tillegg kan personlige egenskaper også spille en viktig rolle. Det er gunstig hvis DPO er en god leder, som tør å snakke med store grupper og er tydelig i hans eller hennes kommunikasjon.

Databeskyttelsesansvarlige skal være uavhengige:

En databeskyttelsesansvarlig skal være uavhengig i selskapet. På den annen side betyr det ikke at personen ikke kan utføre andre oppgaver i foretaket. Det er tillatt, forutsatt at det ikke er noen interessekonflikt. Det kan for eksempel være en interessekonflikt når et medlem av ledelsen er personvernombud. Et annet eksempel kan være når en person tar beslutninger i selskapet som er knyttet til kjernevirksomheten, og det gjelder behandling av personopplysninger.

Mer informasjon om GDPR

Ulike typer brudd på personopplysninger i henhold til GDPR

I henhold til GDPR betyr et brudd på personopplysninger en sikkerhetshendelse som fører til utilsiktet eller ulovlig ødeleggelse, tap eller endring av personopplysninger. Det kan også føre til uautorisert tilgang til eller utlevering av personopplysninger. Eksempler på brudd på personopplysninger er når en datamaskin som inneholder personopplysninger krasjer og det ikke er sikkerhetskopiering, eller feilsendt e-post som inneholder personopplysninger. Selskaper skal forhindre brudd på personopplysninger ved å ta passende tekniske og organisatoriske sikkerhetstiltak. Eksempler på tiltak for å beskytte personopplysninger kan være å ha backupfiler og implementere interne prosedyrer for ansatte.

Lyst til å lære mer?

Les mer
Skroll til toppen