Veiledning: Din rolle som behandlingsansvarlig og databehandler
Denne veiledningen er ment å hjelpe deg med å forstå din rolle som behandlingsansvarlig kontra databehandler. Hva slags ansvar en behandlingsansvarlig har, og hvordan du fører tilsyn med databehandlerne dine. Nesten alle bedrifter bruker personopplysninger på en eller annen måte. Enten du samler inn personopplysninger for å fullføre en bestilling eller for markedsføring - du jobber med personopplysninger.Etter innføringen av GDPR i 2018 har det kommet nye forpliktelser for behandlingsansvarlige og databehandlere.
Denne veiledningen hjelper deg med å finne ut om du er behandlingsansvarlig eller databehandler, hva som er ansvaret for hver av rollene, og hvorfor det er viktig å forstå rollen din. I denne veiledningen gir vi deg også råd om hvordan du kan føre tilsyn med databehandlerne dine for å sikre at du følger GDPR-reglene og reglene som du som behandlingsansvarlig har satt på plass. Behandlingsansvarlige og databehandlere er de to hovedtypene av parter som er involvert i behandling av data i henhold til GDPR-reglene.
Innholdsfortegnelse
- Den behandlingsansvarliges ansvarsområder
- Databehandlerens ansvarsområder
- Signer en databehandleravtale med databehandleren din
- GDPR-bøter for behandlingsansvarlig vs. databehandler
- Veiledning for behandlingsansvarlige: Slik fører du tilsyn med databehandleren din
- Etabler gode kommunikasjonskanaler med databehandleren din
Behandlingsansvarlig vs. databehandler
GDPR har etablert ulike roller somhar ulikt ansvar for hvordan personopplysninger brukes og for de som behandler opplysningene; også kjent som behandlingsansvarlige og databehandlere.
Hva er en behandlingsansvarlig?
Behandlingsansvarlige er definert som:
Enkelt sagt er det de behandlingsansvarlige som tar avgjørelsene. De bestemmer hva slags opplysninger som skal samles inn, og hva de skal brukes til.
Enbehandlingsansvarlig kan være
-
Et privat selskap eller en juridisk enhet
Herunder en offentlig myndighet, en sammenslutning eller et registrert partnerskap
-
En enkeltperson
For eksempel en partner i et enkeltpersonforetak, en selvstendig næringsdrivendeeller en enkeltmannsforetak
Hva er en databehandler?
Databehandlere er definert som:
Enkelt sagt behandler databehandlere data på vegne av den behandlingsansvarlige, men har ingen beslutningsmakt over hvordan dataene brukes.
Det er altså den behandlingsansvarlige som bestemmer hva slags data som skal samles inn og hva de skal brukes til, mens databehandleren behandler dataene på vegne av den behandlingsansvarlige. La oss se på et eksempel.
Eksempel på en behandlingsansvarlig og en databehandler
Et bryggeri har mange ansatte. For å utbetale lønn inngår bryggeriet en kontrakt med et lønnsselskap. Bryggeriet gir informasjon til lønnsselskapet om når lønnen skal utbetales, og når en ansatt slutter eller får lønnsforhøyelse. Bryggeriet oppgir også alle relevante opplysninger for lønnsslippen og utbetalingen. Lønnsselskapet leverer IT-systemet og lagrer de ansattes data. Bryggeriet er behandlingsansvarlig, mens lønnsselskapet er databehandler.
Den behandlingsansvarliges ansvar
Som behandlingsansvarlig må du overholde kravene i GDPR. Det er ditt ansvar å sørge for at ikke bare organisasjonen din er i samsvar med GDPR, men også at databehandleren er det.
Derfor må du nøye vurdere alternativene når du skal velge hvilken type databehandler du vil bruke, enten det er en programvare, en frilanser eller en partner som du samarbeider med om databehandling.
I henhold til GDPR må organisasjoner føre nøyaktige og relevante fortegnelser over dataene som organisasjonen behandler. Dette gjelder også for nesten alle behandlingsansvarlige og databehandlere, bortsett fra når opplysningene som behandles, er tilfeldige.
Hvis organisasjonen din opptrer som behandlingsansvarlig, må du føre fullstendig oversikt over følgende:
-
Kontaktinformasjon til den behandlingsansvarlige og kontaktinformasjonen til personvernombudet (DPO), hvis det er aktuelt
-
Kategoriene av personopplysninger som behandles og samles inn
-
Formålene med personopplysningene som behandles, inkludert detjuridiske grunnlaget for behandlingen
-
Opplysninger om hvilke organisasjoner opplysningene deles med, inkludert tredjeparter utenfor EU
-
Tidsfrister og prosesser knyttet til oppbevaring og slettingav data
-
Relevante avtaler som dekker dataoverføringer til tredjeland utenfor Det europeiske økonomiske samarbeidsområdet (EØS), f.eks. databehandleravtaler
-
Informasjon om hvordan du sikrer data og beskytter dem, f.eks. mot cybersikkerhetstrusler
Nå som kravene til journalføring for å være behandlingsansvarlig er på plass, kan vi snakke litt om journalføring for databehandlere.
Databehandlerens ansvar
Databehandlere er også pålagt å føre register over informasjon somdekker kategoriene av behandling:
-
Informasjon om dataoverføringertil tredjeland
-
Tidsfristerfor sletting av data
-
Relevante sikkerhetstiltak som er iverksatt
GDPR-kravene til databehandlere er mindre omfattende enn for behandlingsansvarlige. Databehandlere har ikke det samme ansvaret når det gjelder å overholde GDPR. En databehandler bør imidlertid iverksette egnede tekniske og organisatoriske tiltak for å sikre at alle behandlede opplysninger håndteres i samsvar med reglene ipersonvernforordningen.
Det er også viktig at databehandlerens plikter overfor den behandlingsansvarlige er spesifisert i en kontrakt. Avtalen må også dekke hva som skjer med personopplysningene når avtalen avsluttes.
Inngå en databehandleravtalemed databehandleren din
Hvis bedriften din har en ekstern tjenesteleverandør som behandler personopplysninger, er det du som behandlingsansvarlig som er ansvarlig for at databehandlingen og personvernet ivaretas på riktig måte. Derfor er det viktig at du inngår en databehandleravtale med databehandleren.
En databehandleravtale skal sikre at databehandleren kun behandler opplysningene til de formålene som den behandlingsansvarlige har samlet inn opplysningene til. Databehandleren har ikke lov til å bruke opplysningene til andre formål.
For at en databehandleravtale skal være i samsvar med GDPR, må følgende aspekter være oppfylt:
-
Behandlingensgjenstand og varighet
-
Behandlingensart og formål
-
Type personopplysninger
-
Kategorier av berørtepersoner
-
Plikter og rettigheter for de behandlingsansvarlige
-
Vedta egnede tekniske og organisatoriske tiltak (TOM) for beskyttelse av personopplysninger
-
Omfanget av myndigheten til å utstede direktiver
-
Forpliktelser og rettigheter for databehandleren
-
Avtale omkonfidensialitet
-
Entreprenørensrapporteringsplikt
-
Leverandørensplikt til å samarbeide/støtte
-
Kontrollbeføyelser
-
Legitim bruk av underleverandører
-
Ivaretakelse av deregistrertes rettigheter
-
Oppdragetsvarighet
-
Opphør med tilbakelevering eller sletting av databehandlerensopplysninger
-
Avsluttende bestemmelser
GDPR-bøter for behandlingsansvarlig vs. databehandler
Både behandlingsansvarlige og databehandlere har et ansvar. Den behandlingsansvarlige har et klart ansvar for å samarbeide med databehandlere som overholder GDPR-reglene. (Hvis du vet at databehandleren din ikke overholder GDPR-reglene, bør du vurdere en annen databehandler). Databehandleren kan også holdes ansvarlig, sammen med den behandlingsansvarlige, i tilfelle brudd på GDPR, noe som kan føre til GDPR-bøter. Bøtene kan gå opp til 20 millioner euro eller 4 prosent av den årlige globale omsetningen din. To gode grunner tilå overholde GDPR.
Organisasjoner som har fått bøter for ikke å overholde GDPR, er blant annet WhatsApp og Google. WhatsApp ble ilagt en bot på 225 millioner euro for "unødvendig og uklar" håndtering av personopplysninger.
La oss nå snakke om hvordan du fører tilsyn meddatabehandlerne dine for å sikre at de overholder kravene.
Veiledning for behandlingsansvarlige: Slik fører du tilsyn med databehandlerendin
I henhold til artikkel 24 i EUs personvernforordning skal den behandlingsansvarlige kunne påvise at databehandlingen utføres i samsvar med personvernforordningen, og disse tiltakene skal gjennomgås og oppdateres om nødvendig.
Personvernforordningen sier ikke noe om hvor ofte eller hvordan du forventes å føre tilsyn med databehandlerne dine, bare at du skal kontrollere at databehandlingen skjer i samsvar med personvernforordningen.
Det finnes altså ingen offisiell måte å føre tilsyn med databehandlerne på, og det kan også være vanskelig å finne ut hva som er det riktige tilsynsnivået.
Vi i CyberPilot har laget noen anbefalinger om hva du bør være oppmerksom på når du fører tilsyn med databehandlerne dine. Våre anbefalinger er delvis basert på Datatilsynets veiledning om hvordan du fører tilsyn med databehandlere.
En tommelfingerregel er at jo flere personer som får sine opplysninger behandlet, desto høyere bør tilsynet med databehandleren være.
Få oversikt over databehandlernedine
Før du setter i gang, bør du skaffe deg en oversikt over hvilke og hvor mange selskaper som behandler opplysninger på dine vegne. Du har kanskje flere databehandlere enn du tror. Databehandlerne kan være et lønnsselskap som håndterer de ansattes lønnsopplysninger, en skyleverandør som lagrer personopplysninger, eller et kundeadministrasjonssystem (CRM) som håndterer personopplysninger om kundenes betalingsinformasjon, privatadresser, e-post og andre personopplysninger.
Vurder også omfanget av databehandleren. Hvor mye trenger du at de gjør? Jo mer arbeid og data databehandleren behandler, desto mer overvåking og kontroll må du innføre.
Slik fører du tilsyn med databehandlerendin
Som behandlingsansvarlig er du forpliktet til å føre tilsyn med alle databehandlere. Her er noen viktige ting du bør huske på når du fører tilsyn med databehandlerne dine:
-
Sørg for at databehandlerens ansatte som håndterer personopplysninger, har undertegnet en taushetserklæring
-
Forsikre deg om at databehandleren behandler personopplysningene de behandler på dine vegne,med riktige sikkerhetstiltak, som f.eks:
-
Evnen til å sikre kontinuerlig konfidensialitet, integritet, tilgjengelighet og robusthet for behandlingssystemer og -tjenester.
-
Pseudonymisering og kryptering av personopplysninger
-
Databehandleren bruker ikke en underdatabehandler uten din tillatelse
-
Underdatabehandleren er underlagt de samme forpliktelsene som databehandleren, og at databehandleren gjennomfører revisjoner med den eventuelle underdatabehandleren
-
Sørg for at databehandleren bistår deg med forespørsler vedrørende de registrertesrettigheter
-
Sørg for at databehandleren bistår deg i forbindelse med rapportering av bruddpå personopplysningssikkerheten
-
Sørg for at databehandleren sletter og returnerer alle personopplysninger til deg (den behandlingsansvarlige) når tjenesten deres er over.
Gjennomfør revisjoner av databehandleren din
Når det er mulig, bør du gå gjennom databehandlerens ytelse i forhold til avtalen du har inngått med dem. Be databehandleren om en oversikt over databehandlingsaktivitetene de har utført på dine vegne. Hvis det er noen problemer, bør du forsøke å løse og utbedre dem. Hvis det viser seg at databehandlingen ikke holder et tilfredsstillende nivå, bør du vurdere å samarbeide med en annen databehandler somoppfyller dine krav til databehandling.
Detkan være lurt å ha et fast tidspunkt hvert år for å gjennomgå databehandlerne du samarbeider med, og avgjøre hvilke av dem som trenger tilsyn.
Databehandler som bruker en underdatabehandler
I henhold til GDPR kan en databehandler sette bort deler av databehandlingen sin til en tredjepart. Dette kalles en underdatabehandler.
Hvis du har gitt databehandleren din fullmakt til å bruke en underdatabehandler, må du sørge for at underdatabehandleren følger de gjeldende reglene. Du bør alltid være klar over hvem som arbeider med opplysningene dine,og hvordan de håndterer dem.
En kontrakt mellom en databehandler og en underdatabehandler må inneholde samme type dataforpliktelser som du (den behandlingsansvarlige) har utarbeidet med databehandleren din.
Databehandlerens sikkerhetstiltak
Databehandlere må overholde de samme sikkerhetstiltakene som behandlingsansvarlige. Du bør derfor være klar over hvilke sikkerhetstiltak databehandlerne dine har iverksatt for å ivareta personopplysningenes sikkerhet og deres evne til å garantere konfidensialitet.
Bruddpå datasikkerheten
Hvis det oppstår en feil, kan både du (den behandlingsansvarlige) og databehandleren bli utsatt for ondsinnede angrep. Databehandleren kan bli utsatt for brudd på datasikkerheten, noe som kan påvirke opplysningene de behandler på vegne av deg, samt personene hvis opplysninger de behandler. Sørg for at dere har egnede prosesser på plass, slik at dere begge overholder GDPR-forpliktelsene. Det er også verdt å merke seg at personvernforordningen stiller krav til hvordan og når man skal rapportere brudd på personvernreglene, samt hvilke typer brudd som må rapporteres. Og du kan selvsagt bli bøtelagt hvis du ikke følger disse rapporteringskravene. Detanbefales også at organisasjoner fører en logg over datainnbrudd, også de som ikke må rapporteres, slik at de kan bevise at de overholder GDPR.
Åpenhetog innsyn
I tillegg bør dere være åpne når dere kommuniserer om behandlingen av de registrertes opplysninger. Vurder hvordan bruken av tredjeparter kommuniseres i informasjonen du gir til de registrerte. Sørg for at databehandleren kommuniserer behandlingen av personopplysninger påen korrekt måte.
Etabler gode kommunikasjonskanaler med databehandlerendin
Ta alltid opp hva slags aktiviteter du ønsker at databehandleren skal utføre på dine vegne. Det er sannsynlig at bedriften din har mange databehandlere, for eksempel HR-tjenester, lønnsselskaper og markedsføringsbyråer. Husk at databehandlerne jobber for deg, og at det derfor er viktig å kommunisere.
Du bør være åpen og transparent i forholdet til databehandlerne dine, slik at forholdet kan vokse seg sterkt og blomstre. Et sterkt forhold mellom behandlingsansvarlig og databehandler er nøkkelen til å oppnå samsvar med GDPR.
You will receive inspiration, tools and stories about good cyber security practice directly in your inbox. Our newsletter is sent out approximately once a month.