Ansvaret for riktig håndtering av persondata i virksomheten kan være utfordrende. Her er noen kjøreregler for behandlingsansvarlig, samspillet med databehandler og et spesielt blikk på sikker sletting av informasjon.
GDPR-reglene, eller mer formelt personvernforordningen, skiller mellom de to rollene behandlingsansvarlig og databehandler.
Behandlingsansvarlig er den som bestemmer formålet med behandlingen av personopplysninger og hvordan behandlingen skal skje. Formelt ligger ansvaret hos virksomheten, men i praksis er det jo du som må kjenne til spillereglene.
Selve dataflyten med innsamling og lagring kan foregå hos en ekstern virksomhet. Eksempelvis at kunderegisteret (CRM) ivaretas av en leverandør. Da er denne leverandøren databehandler og plikter å behandle personopplysninger slik den behandlingsansvarlige gir beskjed om.
En databehandler opptrer gjerne med en standard databehandleravtale for sin behandling av personopplysninger. Det kan gi inntrykk av at det er databehandleren som bestemmer etter som avtalen inneholder vilkår for hvordan databehandleren behandler personopplysninger.
Det er her du må være trygg i rollen behandlingsansvarlig: Ansvaret for at vilkårene etterlever personvernregelverket ligger hos deg. Du har ansvaret for å undersøke at standardavtalen etterlever regelverket.
Nyttige GDPR-tips for sjefen: Informasjonsplikten rundt personopplysninger
Datatilsynet har en god forklaring av roller og ansvarsfordeling, i sin fremstilling av temaet:
En butikk ønsker å bruke et analyseverktøy som behandler personopplysninger. Innehaveren finner en databehandler som har en standard databehandleravtale. Butikken ser at lagringstiden i vilkårene er lengre enn hva butikken har lov til. Databehandleren henviser til at det kun er standardavtalen som gjelder, og sier «take it or leave it».
Butikken er behandlingsansvarlig og må takke nei til tilbudet fordi for lang lagringstid er lovbrudd. Butikken har ansvaret for å overholde reglene, selv om det er en profesjonell ekstern aktør som er databehandler. Innehaveren må rett og slett lete videre etter en annen leverandør av analyseverktøy.
Så du denne? Håndtering av gammelt datautstyr
I din rolle som behandlingsansvarlig skal du sørge for riktig håndtering av personopplysninger. Det omfatter
La oss se nærmere på sletting. Dette er et område der det kan være lett å tråkke feil. Lagringsmedier som pc, mobil, nettbrett og kanskje noen gjenværende lokale serverdisker som er tatt ut av bruk, skal håndteres på forsvarlig måte.
Spesielt i større selskaper er det vanlig med en alt-i-ett-avtale med en ekstern aktør som tar hånd om maskinvaren. Hvor trygg er du på at personopplysninger lagret på disse ikke kommer på avveie?
Avtalene kan være diffuse, der leverandøren av tjenesten forutsetter at data er slettet, og all hardware leveres til materialgjenvinning.
Nyttig lesing: Sikker sletting av bedriftens data
Dette er greie problemstillinger å takle hvis det foreligger en databehandleravtale mellom partene. Da er det etablert en databehandlerrelasjon, og avtalen angir tydelig hvordan personopplysninger skal behandles.
Hvis det i stedet kun dreier seg om en avtale om avfallshåndtering, risikerer du ikke å ha kontroll på personopplysningene i utgåtte lagringsmedier.
Løsningen på denne usikkerheten er å inngå en databehandleravtale med en lokal aktør som sørger for sikker sletting og riktig avfallsbehandling. Da går lagringsmediene i en kvern og blir malt opp i så små biter at det er fysisk umulig å gjenskape data. Det kvernede materialet går deretter inn i en råvarestrøm til nye produkter.
Rollen som behandlingsansvarlig kan være utfordrende, og det er klokt å etablere ryddige samarbeid med databehandlere. Blant dem er en partner på sikker sletting av data.
Husk: Du er overordnet ansvarlig for å etterleve regelverket selv om du overlater visse beslutninger til databehandleren. Derfor er det avgjørende at du finner en partner du føler deg trygg på.
Ta gjerne kontakt for mer informasjon om NG Secures kompetanse og metoder.
Og her finner du nyttig informasjon: