Databehandleravtale
Alle virksomheter som benytter seg av en underleverandør for lagring og eventuelt annen behandling av personopplysninger, er pliktig til å ha en databehandleravtale med underleverandøren. En databehandleravtale er en avtale mellom databehandler og behandlingsansvarlig om hvordan personopplysninger skal behandles.
Dette får du vite om databehandleravtale:
- Hva er en databehandleravtale?
- Behandlingsansvarlig vs. databehandler
- Når trenger du en databehandleravtale?
- Innholdet i en databehandleravtale
Hva er en databehandleravtale?
Definisjonen på en databehandleravtale er at det er en avtale mellom databehandler og behandlingsansvarlig om hvordan personopplysninger skal behandles. En slik avtale skal opprettes for alle virksomheter som benytter seg av underleverandører til lagring og annen behandling av personopplysninger.
Databehandleravtalen sikrer at personopplysninger blir behandlet i samsvar med regelverket, og setter en tydelig ramme for hvordan databehandleren kan behandle opplysningene. Avtalen regulerer databehandlerens håndtering av personopplysninger på vegne av behandlingsansvarlig.
- Les mer om: GDPR
- Les mer om: Teknologi, IPR og media
Hva er forskjellen mellom behandlingsansvarlig og databehandler?
Databehandleravtalen opprettes mellom en databehandler og en behandlingsansvarlig. Men hva er egentlig forskjellen på disse?
Hva er en behandlingsansvarlig?
Den behandlingsansvarlige er den eller de som bestemmer formålet med behandlingen av personopplysninger. Den behandlingsansvarlige har overordnet ansvar for å overholde personvernprinsippene og regelverket.
Behandlingsansvarlig kan være en fysisk eller juridisk person, en offentlig myndighet, en institusjon eller ethvert annet organ. For eksempel er en arbeidsgiver behandlingsansvarlig for opplysningene om sine ansatte, en forening er behandlingsansvarlig for medlemsopplysninger og et offentlig organ er ansvarlig for opplysninger de behandler om befolkningen.
Den behandlingsansvarlige er blant annet ansvarlig for å:
- Behandle personopplysninger på en lovlig, rettferdig og sikker måte
- Ha et behandlingsgrunnlag
- Sikre at de registrerte får utøvd sine rettigheter
Behandlingsansvarlig må sørge for å etablere alle nødvendige organisatoriske og tekniske tiltak for å sikre at lovverket følges til enhver tid.
Det er også den behandlingsansvarliges oppgave å velge en forsvarlig databehandler. Det overordnede ansvaret vil imidlertid alltid ligge hos den behandlingsansvarlige. Denne kan altså ikke fraskrive seg ansvaret.
Hva er en databehandler?
En databehandler er den eller de som behandler personopplysninger på vegne av en behandlingsansvarlig. Databehandleren kan være en fysisk eller juridisk person, en offentlig myndighet, en institusjon eller ethvert annet organ. Det er ikke uvanlig at en skytjeneste er databehandler, eller at en skytjeneste er underdatabehandler for en dataleverandør av virksomheten som samler inn personopplysningene i utgangspunktet.
Ettersom databehandleren alltid behandler personopplysninger etter instruks fra en annen virksomhet, kan vedkommende ikke bestemme formål eller andre avgjørende elementer ved behandlingen. Databehandleren utfører kun en delegert oppgave. Det er heller ikke nødvendig at vedkommende kan se personopplysningene som behandles eller gjør noe aktivt med dem for å være en databehandler.
Databehandleren har et selvstendig ansvar for å ha tilfredsstillende informasjonssikkerhet. Databehandleren kan ikke behandle personopplysninger på en annen måte enn det som er avtalt i databehandleravtalen. Selv om det heter «databehandleravtale», er ansvaret for vilkårene hos den behandlingsansvarlige. Det er altså behandlingsansvarlig som har ansvaret for å sørge for at databehandleravtalen følger lovverket.
Når trenger du en databehandleravtale?
Dersom en behandlingsansvarlig, for eksempel en virksomhet, setter ut hele eller deler av behandlingen av personopplysninger til andre virksomheter, vil sistnevnte være en databehandler. Det kreves da en databehandleravtale. Eksempler på dette er:
- Dersom en virksomhet bruker et markedsføringsfirma til å sende ut markedsføring på vegne av virksomheten
- Dersom en virksomhet bruker en annen virksomhets skytjeneste for å lagre personopplysninger
En databehandleravtale kan enten være en frittstående avtale mellom partene, eller kan inngå som en del av en annen avtale. Det er imidlertid et krav at avtalen er et rettslig bindende dokument.
Dersom databehandleren benytter seg av en annen databehandler, altså en underleverandør, til å gjøre hele eller deler av behandlingen, vil det være nødvendig med en databehandleravtale også mellom disse partene.
Hva må en databehandleravtale inneholde?
Databehandleravtalen skal skrives på en klar måte, som gir tydelige rammer for hva databehandleren kan gjøre med personopplysningene. Avtalen må minimum inneholde en beskrivelse av selve behandlingen, den behandlingsansvarliges plikter og rettigheter og databehandlerens forpliktelser.
Beskrivelse av selve behandlingen
Avtalen skal beskrive konkret hva databehandleren faktisk skal gjøre, hva oppdraget går ut på, behandlingens art, hva som er formålet med behandlingen, varigheten til avtalen, hvilke typer personopplysninger som er registrert og hvilken kategori de registrerte tilhører.
Den behandlingsansvarliges plikter og rettigheter
Den behandlingsansvarlige har svært mange plikter og rettigheter, og det er ikke nødvendig å beskrive disse detaljert i databehandleravtalen ettersom de står i personopplysningsloven og personvernforordningen. Avtalen bør imidlertid beskrive pliktene og rettighetene på et overordnet nivå. Plikter og rettigheter som ikke følger direkte av loven, må derimot være godt beskrevet.
Databehandlers forpliktelser
Den behandlingsansvarlige har en rett og en plikt til å gi databehandleren dokumenterte skriftlige instrukser for hvordan personopplysningene skal behandles.
Databehandlerens forpliktelser kan deles opp i 8 punkter. Disse er som følger:
- Det er kun den behandlingsansvarlige som kan bestemme hva som skal skje med personopplysningene som behandles.
- De autoriserte personene skal behandle personopplysningene på en sikker måte. Kun de som har behov for opplysningene skal få tilgang til dem.
- Databehandleren må ha tilfredsstillende sikkerhetstiltak. Dette er plikten til informasjonssikkerhet, og innebærer for eksempel tilgangsstyring og risikovurdering.
- Ved bruk av en annen databehandler, altså en underleverandør, må den opprinnelige databehandleren inngå en databehandleravtale med den nye databehandleren. Denne avtalen må inneholde de samme forpliktelser som er inngått mellom behandlingsansvarlig og den primære databehandleren. Behandlingsansvarlig må gi særskilt tillatelse for bruk av underleverandør.
- Databehandleren skal bistå behandlingsansvarlig med å oppfylle plikten til å svare på anmodninger fra de registrerte, dersom de ønsker å utøve sine rettigheter.
- Databehandler skal bistå den behandlingsansvarlige med å oppfylle sine plikter, for eksempel i forbindelse med overholdelse av krav til personopplysningssikkerhet, avviksmeldinger, vurdering av personvernkonsekvenser og krav til forhåndsdrøftelser.
- Når databehandleroppdraget avsluttes, skal ikke databehandleren lenger ha tilgang til opplysningene. Avtalen må derfor regulere hva som skjer med personopplysningene når oppdraget er fullført.
- Databehandleren skal tilgjengeliggjøre informasjon til den behandlingsansvarlige når denne krever det. Det kan for eksempel være å dokumentere at autoriserte personer er underlagt taushetsplikt.