Behandlingsansvarlig eller databehandler

Hva er en behandlingsansvarlig?

En behandlingsansvarlig bestemmer formål og midler for behandling av personopplysninger. Med andre ord bestemmer den behandlingsansvarlige hvordan og hvorfor en behandlingsaktivitet skal finne sted. Den behandlingsansvarlige kan være en juridisk person, for eksempel en bedrift, en SMB, en offentlig myndighet, et byrå eller en annen virksomhet.

I visse tilfeller kan formål og midler for behandling av personopplysninger, samt hvem som er behandlingsansvarlig, være bestemt av EU-lovgivning eller nasjonal lovgivning.

Hva er et felles behandlingsansvar?

Når det er to eller flere behandlingsansvarlige som sammen bestemmer formål og midler, anses de som felles behandlingsansvarlige. Sammen bestemmer de seg for å behandle personopplysninger for et felles formål. Felles behandlingsansvar kan ta mange former, og deltakelsen fra de ulike behandlingsansvarlige kan være ulik. Felles behandlingsansvarlige må derfor avklare sitt respektive ansvar for overholdelse av personvernregelverket. 

Hva er ansvaret til en behandlingsansvarlig eller felles behandlingsansvarlig?

Når man bestemmer formål og midler for behandling av personopplysninger må den behandlingsansvarlige, eller felles behandlingsansvarlige, sikre at enkeltpersoners personopplysninger er beskyttet. For å oppnå dette må den behandlingsansvarlige, eller felles behandlingsansvarlige, iverksette tiltak for å beskytte personopplysninger og gjøre det mulig for enkeltpersoner å utøve sine rettigheter.

For mer informasjon, se «Sjekkliste for den behandlingsansvarliges eller felles behandlingsansvarliges ansvar» 

Hva er en databehandler?

En databehandler kan kun handle etter den behandlingsansvarliges instrukser, ved å behandle personopplysninger på vegne av den behandlingsansvarlige.

I likhet med en behandlingsansvarlig, eller felles behandlingsansvarlig, kan en databehandler være en juridisk person, for eksempel en bedrift, en SMB, en offentlig myndighet, et byrå eller andre virksomheter.

Hva er en underdatabehandler?

En underdatabehandler opptrer etter instrukser fra databehandleren, noe som betyr at den kan behandle enkeltpersoners personopplysninger på vegne av databehandleren. En underdatabehandler kan være en juridisk person, for eksempel en bedrift, en SMB, en offentlig myndighet, et byrå eller et annen annen virksomhet.

Merk deg at en underdatabehandler bare kan utnevnes hvis den behandlingsansvarlige, eller felles behandlingsansvarlige, godkjenner den i en skriftlig form. I så fall må databehandleren utarbeide en bindende avtale med underdatabehandleren som beskriver underdatabehandlerens ansvarsområder. Denne databehandleravtalen må gi samme beskyttelse av enkeltpersoners personopplysninger som databehandleravtalen mellom den behandlingsansvarlige og databehandleren.

Hva er ansvaret til en databehandler?

Selv om det overordnede ansvaret generelt ligger hos den behandlingsansvarlige, har databehandlere også visse ansvarsområder i henhold til GDPR. Databehandlere må utføre behandlingsaktivitetene med egnede tekniske og organisatoriske tiltak etter instruks fra den behandlingsansvarlige eller felles behandlingsansvarlige. Ved å gjøre dette bistår databehandleren den behandlingsansvarlige med å overholde personvernforordningen.
Databehandlerforholdet, herunder databehandlerens ansvar, må reguleres av en avtale som dokumenterer hvilke behandlingsaktiviteter og behandlingsmetoder som kan benyttes. 

For mer informasjon, se "Sjekkliste for databehandlerens ansvar ".

 

Hva skal inngå i en databehandleravtale mellom den behandlingsansvarlige og databehandleren?

Avtalen mellom den behandlingsansvarlige, eller felles behandlingsansvarlig, og databehandleren må fastsette at databehandleren:

  • kun behandler personopplysningene etter instrukser fra den behandlingsansvarlige, herunder med hensyn til overføring av personopplysninger til et tredjeland utenfor EØS;
  • sikrer at de personene som er autorisert til å behandle opplysningene har forpliktet seg til fortrolighet eller er underlagt lovbestemt taushetsplikt,
  • ivaretar sikkerheten ved behandlingen;
  • ikke skal engasjere en annen databehandler uten forutgående konkret eller generell skriftlig tillatelse fra den behandlingsansvarlige, som har en mulighet til å protestere;
  • skal bistå den behandlingsansvarlige med å oppfylle den behandlingsansvarliges forpliktelser til å svare på den enkeltes forespørsler om å utøve sine rettigheter;
  • skal bistå den behandlingsansvarlige med å sikre behandlingen, varsle databrudd og utføre DPIA-er;
  • etter beslutning fra den behandlingsansvarlige, sletter eller returnerer alle personopplysninger til den behandlingsansvarlige når databehandlerforholdet opphører;
  • gjør all nødvendig informasjon tilgjengelig for den behandlingsansvarlige for å demonstrere samsvar med forpliktelsene i henhold til GDPR;
  • muliggjør og bidrar til revisjoner, herunder inspeksjoner utført av den behandlingsansvarlige eller en annen revisor som er pålagt av den behandlingsansvarlige.

Hva må en databehandleravtale mellom en databehandler og underdatabehandler inneholde

Avtalen mellom databehandleren og underdatabehandleren må inneholde spesifikke klausuler som garanterer at personopplysningene som skal behandles, beskyttes på samme måte som angitt i databehandleravtalen.

 

Hvem er ansvarlig for hvem?

En behandlingsansvarlig, eller felles behandlingsansvarlig, er ansvarlig for både sin egen overholdelse av GDPR, og for overholdelsen av den valgte databehandleren. Rent konkret betyr dette at hvis databehandleren bryter sine forpliktelser i henhold til GDPR, kan den behandlingsansvarlige, eller felles behandlingsansvarlig, bli holdt ansvarlig, og være gjenstand for bøter og andre konsekvenser der det er aktuelt.

En databehandler er ansvarlig for både sin egen overholdelse av GDPR og kan være ansvarlig overfor den behandlingsansvarlige for brudd på databehandleravtalen. En databehandler kan også være ansvarlig overfor den behandlingsansvarlige for brudd forårsaket av underdatabehandlere. 

 

Sjekkliste over ansvarsområder

Sjekkliste for den behandlingsansvarliges eller felles behandlingsansvarliges ansvar

  • Overholdelse av personvernprinsippene i henhold til GDPR art. 5 
  • Opprettholde enkeltpersoners personvernrettigheter
  • Føre protokoll over behandlingsaktiviteter
  • Ivareta sikkerheten ved behandlingen
  • Velge en egnet databehandler
  • Inngå en bindende databehandleravtale mellom behandlingsansvarlig og databehandler
  • Varsle om brudd på personopplysningssikkerheten til den relevante nasjonale tilsynsmyndigheten og til enkeltpersoner, der det er aktuelt
  • Å være ansvarlig for behandlingsaktivitetene, sørge for innebygd personvern ogforeta vurderinger av personvernkonsekvenser når det er nødvendig
  • Utnevne et personvernombud når det er nødvendig
  • Overholde personvernforpliktelsene ved internasjonale overføringer av personopplysninger
  • Samarbeide med tilsynsmyndighetene

Sjekkliste for databehandlerens ansvar
 

  • Følge den behandlingsansvarliges instrukser
  • Føre protokoll over behandlingsaktiviteter
  • Ivareta sikkerheten ved behandlingen
  • Respektere og opprettholde den bindende databehandleravtalen
  • Innhente godkjenning fra den behandlingsansvarlige før du engasjerer en ny underdatabehandler (og gi den behandlingsansvarlige en mulighet til å protestere). Dersom du engasjerer en underdatabehandler, må det inngås en databehandleravtale med underdatabehandleren som samsvarerer med den opprinnelige databehandleravtalen mellom den behandlingsansvarlige og databehandleren.
  • Varsle om brudd på personopplysningssikkerheten til behandlingsansvarlig
  • Varsle GDPR-brudd til den behandlingsansvarlige
  • Å være ansvarlig for behandlingsaktivitetetene: f.eks. praktisering av innebygd personvern
  • Utnevne et personvernombud når det er nødvendig
  • Sikre at internasjonale overføringer er autorisert av den behandlingsansvarlige og overholder GDPR
  • Samarbeid med tilsynsmyndighetene