Glemt Passord?

Behandlingsansvarlig og databehandler - roller og ansvar

https://www.datatilsynet.no/regelverk-og-verktoy/veiledere/behandlingsansvarlig-og-databehandler/?id=11277

Personvernforordningen skiller mellom begrepene behandlingsansvarlig og databehandler. Den behandlingsansvarlige bestemmer over personopplysningene, mens databehandleren opptrer på vegne av den behandlingsansvarlige. Databehandleren kan derfor bare behandle personopplysninger etter instruks fra den behandlingsansvarlige.

Behandlingsansvarlig

Personvernforordningen (GDPR) artikkel 4 nr. 7

Behandlingsansvarlig er en fysisk eller juridisk person, en offentlig myndighet, en institusjon eller ethvert annet organ som alene eller sammen med andre bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes; når formålet med og midlene for behandlingen er fastsatt i unionsretten eller i medlemsstatenes nasjonale rett, kan den behandlingsansvarlige, eller de særlige kriteriene for utpeking av vedkommende, fastsettes i unionsretten eller i medlemsstatenes nasjonale rett. 

Den behandlingsansvarlige er det primære pliktsubjektet etter forordningen, og er overordnet ansvarlig for å overholde personvernprinsippene og regelverket. Dette er grunnet ansvarlighetsprinsippet i forordningens artikkel 5.

Den behandlingsansvarlige er ansvarlig for å behandle personopplysninger på en lovlig, rettferdig og gjennomsiktig måte, ha et behandlingsgrunnlag, behandle personopplysningene på en sikker måte, sikre at de registrerte får utøvd sine rettigheter og en rekke andre plikter.

Den behandlingsansvarlige må derfor sørge for å etablere alle nødvendige organisatoriske og tekniske tiltak for å sikre at regelverket etterleves til enhver tid. Den behandlingsansvarlige må kunne vise at den opptrer i samsvar med reglene. Dette gjelder også med hensyn til forsvarlig valg av databehandler. En behandlingsansvarlig kan med andre ord ikke frasi seg ansvaret for å etterleve regelverket fordi selve behandlingen av personopplysningene skjer hos en annen virksomhet.

Datatilsynet kan ilegge den behandlingsansvarlige sanksjoner, for eksempel overtredelsesgebyr, dersom den ikke overholder regelverket. Enkeltpersoner kan også kreve erstatning fra den behandlingsansvarlige.

  • en arbeidsgiver er behandlingsansvarlig for opplysningene om sine ansatte
  • en forening er behandlingsansvarlig for opplysningene om sine medlemmer
  • et offentlig organ er ansvarlig for opplysningene de behandler om befolkningen

Dersom den behandlingsansvarlige er en juridisk person (en virksomhet) er den juridiske personen behandlingsansvarlig, og ikke enkeltpersoner internt i virksomheten. Dette gjelder selv om ledelsen delegerer oppgaver som gjelder behandling av personopplysninger til enkeltpersoner i virksomheten.

Databehandler

Personvernforordningen (GDPR) artikkel 4. nr. 8

En databehandler er en fysisk eller juridisk person, offentlig myndighet, institusjon eller ethvert annet organ som behandler personopplysninger på vegne av den behandlingsansvarlige. 

Det avgjørende er at en databehandler behandler personopplysninger på vegne av andre. Databehandleren behandler alltid personopplysningene etter instruks fra en annen virksomhet og kan derfor ikke bestemme formål og andre avgjørende elementer ved behandlingen. En databehandler har med andre ord fått delegert en oppgave om å behandle personopplysninger fra en behandlingsansvarlig.

En databehandler vil som regel være en ekstern virksomhet eller enhet, men også fysiske personer kan være databehandlere. Hvordan man er organisert, eksempelvis om man er et enkeltpersonforetak eller et stort konsern, har ikke betydning for spørsmålet om man er databehandler eller ikke.

Man kan være databehandler selv om man ikke kan se personopplysningene som behandles, eller gjør noe aktivt med dem. Det kan være nok at personopplysningene lagres på et system for at det er en databehandlerrelasjon.

Bruk av standardavtale fra databehandler

Mange databehandlere tilbyr spesifikke tjenester som innebærer behandling av personopplysninger og har derfor «standard databehandleravtaler». Ved bruk av slike standardavtaler kan man kanskje få inntrykk av at det er databehandleren som bestemmer fordi avtalen inneholder vilkår for hvordan databehandleren behandler personopplysninger. Ansvaret for at vilkårene etterlever personvernregelverket ligger likevel hos den behandlingsansvarlige. Den behandlingsansvarlige har derfor ansvar for å undersøke at standardavtalen etterlever regelverket.