Til Datatilsynet

Til startsiden til Datatilsynet

Veileder

Hva betyr de nye personvernreglene for din virksomhet?

Alle databehandlere får nye plikter

En databehandler er en virksomhet som behandler personopplysninger på vegne av en annen virksomhet, den såkalt behandlingsansvarlige. I dag følger den behandlingsansvarliges plikter av loven, mens databehandlerens plikter følger av en databehandleravtale mellom den behandlingsansvarlige og databehandleren. Loven pålegger dem å ha en slik avtale, men innholdet i avtalen er det langt på vei de to partene som blir enige om.

Forordningen vil inneholde selvstendige plikter for databehandlere. Disse pliktene kommer altså i tillegg til pliktene databehandlere har etter databehandleravtalen. Mange av pliktene vil være de samme som etter databehandleravtalene, mens noen er nye. Dessuten vil forordningen stille flere krav til databehandleravtaler og inneholde regler for godkjenning av underleverandører.

Plikter for databehandlere

Forordningen vil blant annet gi databehandlere plikt til å:

  1. sørge for informasjonssikkerhet, se artikkel 32
  2. umiddelbart varsle den behandlingsansvarlige om avvik, se artikkel 33
  3. opprette personvernombud på lik linje med behandlingsansvarlig, se artikkel 37

Databehandlere må også å si ifra til den behandlingsansvarlige dersom de mener at instruksjonene de får fra behandlingsansvarlige er i strid med forordningen eller personvernrett for øvrig. Selv om databehandlere får nye plikter, er det viktig å understreke at den behandlingsansvarlige fremdeles har hovedansvaret for behandlingen av personopplysninger. Den behandlingsansvarlige kan bare velge en databehandler som gir tilstrekkelige garantier for at personvernreglene følges.

Disse reglene følger av forordningen artikkel 28.

Brudd på disse pliktene kan føre til sanksjoner fra Datatilsynet. Dersom brudd på reglene medfører tap for den registrerte, vil både den behandlingsansvarlige og databehandleren være erstatningsansvarlige (solidaransvar). Disse reglene følger av forordningen artikkel 58 og fortalen nr. 146.

Krav til databehandleravtalen

Forordningen stiller følgende krav til innholdet i en databehandleravtale:

  • Databehandler skal kun behandler personopplysninger etter dokumenterte instruksjoner fra den behandlingsansvarlige.
  • Databehandler skal kun overføre personopplysninger til et land utenfor EU-/EØS-området eller til internasjonale organisasjoner slik det er beskrevet i dokumenterte instruksjoner fra den behandlingsansvarlige.
  • De som har tilgang til personopplysningene som behandles er underlagt taushetsplikt.
  • Databehandler skal sørge for informasjonssikkerhet i tråd med artikkel 32.
  • Databehandler må respektere reglene for underleverandører i tråd med artikkel 28.
  • Avtalen skal spesifisere hvordan databehandler skal bistå den behandlingsansvarlige med å etterkomme krav fra enkeltpersoner.
  • Avtalen skal spesifisere hvordan databehandler skal bistå den behandlingsansvarlige med informasjonssikkerhet, avvikshåndtering og konsekvensanalyse.
  • Databehandler skal avhengig av hva den behandlingsansvarlige velger, slette eller tilbakeføre alle personopplysninger når databehandlingstjenestene opphører. Kopier skal også slettes. Dette gjelder med mindre en annen lov krever  at de skal tas vare på.
  • Databehandler skal tilgjengeliggjøre dokumentasjon som viser at de etterlever artikkel 28 for den behandlingsansvarlige. Databehandler skal også bidra til revisjoner.

Avtalen skal være skriftlig, herunder elektronisk.

Kravene følger av forordningens artikkel 28.

Underleverandører

En underleverandør er en virksomhet som behandler personopplysninger på vegne av en databehandler. Forordningen understreker at behandlingsansvarlig skal godkjenne alle underleverandører skriftlig. Dette kan gjøre på to måter: Enten ved 1)en spesifikk godkjenning som betyr at den behandlingsansvarlige eksplisitt godkjenner én eller flere navngitte databehandlere, eller 2)ved en generell godkjenning som betyr at databehandleren fortløpende informerer den behandlingsansvarlige om hvilke underleverandører den planlegger å bruke, og den behandlingsansvarlige kan motsette seg de enkelte underleverandørene.

Forholdet mellom databehandleren og underleverandøren skal reguleres i en avtale mellom den behandlingsansvarlige og databehandleren. Denne avtalen tilsvarer databehandleravtalen. Dersom underleverandøren ikke følger reglene, er det databehandleren som er ansvarlig for dette ovenfor den behandlingsansvarlige.

Kravene følger av forordningen artikkel 28.