Er du sikker på at databehandlerne dine oppfyller GDPR-kravene?

Av Ingrid Bjørdal 16. jan 2020

Er du sikker på at databehandlerne dine oppfyller GDPR-kravene?

Virksomheter som behandler personopplysninger kan benytte seg av underleverandører. I GDPR omtales disse som databehandlere. Benytter dere slike underleverandører skal det inngås en databehandleravtale som sikrer at personopplysningene behandles i tråd med personvernreglene og den skal beskrive hvordan databehandleren kan behandle opplysningene. Er dere usikre på om databehandleravtalene dere har inngått oppfyller GDPR-kravene, kan dere nå sjekke det mot en standardavtale som det danske datatilsynet har utarbeidet. Den danske avtalen er godkjent for bruk i Norge også.Å behandle personopplysninger vil blant annet si å samle inn, lagre, utlevere eller slette demEUs personvernforordning (GDPR) skiller mellom behandlingsansvarlig og databehandler.

Behandlingsansvarlig og behandlingsgrunnlag

Den behandlingsansvarlige er ansvarlig for å behandle personopplysninger på en lovlig, rettferdig og gjennomsiktig måte, ha et behandlingsgrunnlag og behandle personopplysningene på en sikker måte for å sikre at de registrerte får utøvd sine rettigheter blant annet ved åpenhet, informasjon og  forståelig språk.  

Den behandlingsansvarlige må derfor sørge for å etablere alle nødvendige organisatoriske og tekniske tiltak i form av internkontroll og informasjonssikkerhet for å sikre at regelverket etterleves. 

En forutsetning for å behandle personopplysninger er at det foreligger et behandlingsgrunnlag. Slikt grunnlag kan blant annet være:

  • Samtykke fra den du registrerer og behandler personopplysninger om
  • Nødvendig for å oppfylle en avtale
  • Nødvendig for å oppfylle en rettslig plikt
  • Nødvendig for å beskytte vitale interesser
  • Nødvendig for å utføre en oppgave i offentlig interesse eller utøve offentlig myndighet
  • Nødvendig for å ivareta legitime interesser - interesseavveiing

I tillegg er det særskilte regler for behandling av såkalte sensitive personopplysninger

Når underleverandører behandler personopplysninger

Den behandlingsansvarlige kan delegere oppgaver knyttet til behandling av personopplysninger til underleverandører - såkalte databehandlere. Databehandleren behandler alltid personopplysningene etter instruks fra en annen virksomhet og kan derfor ikke bestemme formål og andre avgjørende elementer ved behandlingen. 

En databehandler vil som regel være en ekstern virksomhet eller enhet, men også fysiske personer kan være databehandlere. Hvordan man er organisert, eksempelvis om man er et enkeltpersonforetak eller et stort konsern, har ikke betydning for spørsmålet om man er databehandler eller ikke.

Datatilsynet har utarbeidet veiledere for de pliktene som følger av GDPR

Krav om databehandleravtale

Som nevnt skal det ved bruk av underentreprenører utarbeides en databehandleravtale som sikrer at den registrertes rettigheter ivaretas. Det danske datatilsynet har utarbeidet en standard databehandleravtale. Den er etter en omfattende prosess, godkjent av Det europeiske personvernrådet. Det betyr at den også kan brukes i Norge. Mer om den danske avtalen finner dere her.  Det er også laget en norsk versjon av standardavtalen.

LAST NED GRATIS SJEKKLISTE:EUs nye personvernforordning (GDPR)

 

 

Temaer: personopplysninger, GDPR, databehandler


Ingrid Bjørdal's photo

Av: Ingrid Bjørdal

Ingrid Bjørdal er administrerende direktør i Norsk Makulering. Hun har jobbet i Norsk Gjenvinning siden 2001 og har siden den gang hatt stillinger innen nedstrøm/logistikk, vært konserntrainee, HMSK-sjef for Norsk Gjenvinning Industri og HR-sjef for konsernet siden 2007. I 2016 ble hun direktør for organisasjonsutvikling og compliance. Ingrid har en Bachelor of Science (BSc) fra Universitet i Oslo og Bergen, og en Master of Science (MSc) i Human Resource Management and Organisational Analysis fra King’s College i London. Hun har hatt flere verv i bransjen, og sitter bl.a. i forhandlingsutvalget på Miljøoverenskomsten og er oppnevnt av NHO som meddommer i arbeidsrettssaker i Oslo Tingrett.

Epost

Kommentarer

En blogg fra Norsk Makulering

Norsk Makulering er landets ledende aktør innen makulering. Vi tilbyr sikker makulering av sensitive dokumenter, digitale lagringsmedier, og andre varer og produkter. Hver uke publiserer vi et nytt innlegg her på Makuleringsbloggen.no. Følg oss gjerne!

Se animasjon om vår prosess: norskmakulering.no/prosess

Norsk Makulering prosess

Besøk norskmakulering.no

Last ned gratis sjekkliste: EUs nye personvernforordning (GDPR)

Siste innlegg