Virksomheter som behandler personopplysninger kan benytte seg av underleverandører. I GDPR omtales disse som databehandlere. Benytter dere slike underleverandører skal det inngås en databehandleravtale som sikrer at personopplysningene behandles i tråd med personvernreglene og den skal beskrive hvordan databehandleren kan behandle opplysningene. Er dere usikre på om databehandleravtalene dere har inngått oppfyller GDPR-kravene, kan dere nå sjekke det mot en standardavtale som det danske datatilsynet har utarbeidet. Den danske avtalen er godkjent for bruk i Norge også.Å behandle personopplysninger vil blant annet si å samle inn, lagre, utlevere eller slette dem. EUs personvernforordning (GDPR) skiller mellom behandlingsansvarlig og databehandler.
Behandlingsansvarlig og behandlingsgrunnlag
Den behandlingsansvarlige er ansvarlig for å behandle personopplysninger på en lovlig, rettferdig og gjennomsiktig måte, ha et behandlingsgrunnlag og behandle personopplysningene på en sikker måte for å sikre at de registrerte får utøvd sine rettigheter blant annet ved åpenhet, informasjon og forståelig språk.
Den behandlingsansvarlige må derfor sørge for å etablere alle nødvendige organisatoriske og tekniske tiltak i form av internkontroll og informasjonssikkerhet for å sikre at regelverket etterleves.
En forutsetning for å behandle personopplysninger er at det foreligger et behandlingsgrunnlag. Slikt grunnlag kan blant annet være:
- Samtykke fra den du registrerer og behandler personopplysninger om
- Nødvendig for å oppfylle en avtale
- Nødvendig for å oppfylle en rettslig plikt
- Nødvendig for å beskytte vitale interesser
- Nødvendig for å utføre en oppgave i offentlig interesse eller utøve offentlig myndighet
- Nødvendig for å ivareta legitime interesser - interesseavveiing
I tillegg er det særskilte regler for behandling av såkalte sensitive personopplysninger.
Når underleverandører behandler personopplysninger
Den behandlingsansvarlige kan delegere oppgaver knyttet til behandling av personopplysninger til underleverandører - såkalte databehandlere. Databehandleren behandler alltid personopplysningene etter instruks fra en annen virksomhet og kan derfor ikke bestemme formål og andre avgjørende elementer ved behandlingen.
En databehandler vil som regel være en ekstern virksomhet eller enhet, men også fysiske personer kan være databehandlere. Hvordan man er organisert, eksempelvis om man er et enkeltpersonforetak eller et stort konsern, har ikke betydning for spørsmålet om man er databehandler eller ikke.
Datatilsynet har utarbeidet veiledere for de pliktene som følger av GDPR
Krav om databehandleravtale
Som nevnt skal det ved bruk av underentreprenører utarbeides en databehandleravtale som sikrer at den registrertes rettigheter ivaretas. Det danske datatilsynet har utarbeidet en standard databehandleravtale. Den er etter en omfattende prosess, godkjent av Det europeiske personvernrådet. Det betyr at den også kan brukes i Norge. Mer om den danske avtalen finner dere her. Det er også laget en norsk versjon av standardavtalen.