Personvernreglene kan være omfattende, og flere velger å sette håndteringen bort til tredjepart. Virksomheten har uansett et ansvar for at den eksterne databehandleren innfrir GDPR-kravene. Her er det mest sentrale du bør kjenne til når du setter bort slike oppgaver.
Virksomheter som behandler personopplysninger, kan benytte seg av en underleverandør. I GDPR omtales denne som databehandler. Hvis bedriften benytter en underleverandør, skal det inngås en databehandleravtale som sikrer at personopplysningene behandles i tråd med personvernreglene. Avtalen skal også beskrive hvordan databehandleren kan behandle opplysningene.
Er du usikker på om databehandleravtalene som virksomheten har inngått, oppfyller GDPR-kravene, kan den sjekkes det mot en standardavtale som det danske datatilsynet har utarbeidet. Den er også godkjent for bruk i Norge.
Å behandle personopplysninger vil blant annet si å samle inn, lagre, utlevere eller slette dem. EUs personvernforordning (GDPR) skiller mellom behandlingsansvarlig og databehandler.
Les også: Sikker sletting - viktig for den digitale sikkerheten
Behandlingsansvarlig og behandlingsgrunnlag
Den behandlingsansvarlige er ansvarlig for å behandle personopplysninger på en lovlig, rettferdig og gjennomsiktig måte, ha et behandlingsgrunnlag og behandle personopplysningene på en sikker måte for å sikre at de registrerte får utøvd sine rettigheter blant annet ved åpenhet, informasjon og forståelig språk.
Den behandlingsansvarlige må derfor sørge for å etablere alle nødvendige organisatoriske og tekniske tiltak i form av internkontroll og informasjonssikkerhet for å sikre at regelverket etterleves.
Samtykke som behandlingsgrunnlag
En forutsetning for å behandle personopplysninger er at det foreligger et behandlingsgrunnlag. Et slikt grunnlag kan blant annet være samtykke fra den du registrerer og behandler personopplysninger om.
I tillegg der det er nødvendig for å:
- oppfylle en avtale
- oppfylle en rettslig plikt
- beskytte vitale interesser
- utføre en oppgave i offentlig interesse eller utøve offentlig myndighet
- ivareta legitime interesser - interesseavveiing
Det er også særskilte regler for behandling av såkalte sensitive personopplysninger.
Når underleverandører behandler personopplysninger
Den behandlingsansvarlige kan delegere oppgaver knyttet til behandling av personopplysninger til underleverandører - såkalte databehandlere. Databehandleren behandler alltid personopplysningene etter instruks fra en annen virksomhet og kan derfor ikke bestemme formål og andre avgjørende elementer ved behandlingen.
En databehandler vil som regel være en ekstern virksomhet eller enhet, men også fysiske personer. Hvordan man er organisert, eksempelvis om man er et enkeltpersonforetak eller et stort konsern, har ikke betydning for spørsmålet om man er databehandler eller ikke.
Datatilsynet har utarbeidet veiledere for de pliktene som følger av GDPR.
Krav om databehandleravtale
Som nevnt skal det ved bruk av underentreprenører, utarbeides en databehandleravtale som sikrer at den registrertes rettigheter ivaretas. Det danske datatilsynet har utarbeidet en standard databehandleravtale.
Den er godkjent av Det europeiske personvernrådet og kan brukes i Norge. Mer om den danske avtalen finner dere her. Det er også laget en norsk versjon av standardavtalen.
