Hva er en behandlingsansvarlig?
For å vurdere om du er behandlingsansvarlig må du vite hva slags rolle en behandlingsansvarlig har.
Personvernforordningen artikkel 4 nr. 7
Behandlingsansvarlig er en fysisk eller juridisk person, en offentlig myndighet, en institusjon eller ethvert annet organ som alene eller sammen med andre bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes; når formålet med og midlene for behandlingen er fastsatt i unionsretten eller i medlemsstatenes nasjonale rett, kan den behandlingsansvarlige, eller de særlige kriteriene for utpeking av vedkommende, fastsettes i unionsretten eller i medlemsstatenes nasjonale rett.
Den behandlingsansvarlige er ansvarlig
Den behandlingsansvarlige har det overordnede ansvaret for å overholde personvernprinsippene og regelverket. Dette kommer av ansvarlighetsprinsippet i forordningens artikkel 5 og artikkel 24.
Den behandlingsansvarlige er ansvarlig for å behandle personopplysninger på en lovlig, rettferdig og gjennomsiktig måte, ha et behandlingsgrunnlag, behandle personopplysningene på en sikker måte, sikre at de registrerte får utøvd sine rettigheter og en rekke andre plikter. Les mer om virksomhetens plikter.
Den behandlingsansvarlige må derfor sørge for å etablere alle nødvendige organisatoriske og tekniske tiltak for å sikre at regelverket etterleves til enhver tid. Den behandlingsansvarlige må kunne vise at den opptrer i samsvar med reglene. Dette gjelder også med hensyn til forsvarlig valg av databehandler. En behandlingsansvarlig kan med andre ord ikke frasi seg ansvaret for å etterleve regelverket fordi selve behandlingen av personopplysningene skjer hos en annen virksomhet.
Datatilsynet kan ilegge den behandlingsansvarlige sanksjoner, for eksempel overtredelsesgebyr, dersom den ikke overholder regelverket. Enkeltpersoner kan også kreve erstatning fra den behandlingsansvarlige.
Behandlingsansvarlig uavhengig av hva slags virksomhet du er, tjenester du tilbyr og hvordan du er organisert
Det har vanligvis ingen betydning hvordan du er organisert. En behandlingsansvarlig kan både være et enkeltpersonsforetak, et stort konsern, offentlig eller privat virksomhet. Du kan derfor ikke fraskrive deg et behandlingsansvar grunnet organisasjonsform.
Videre kan både juridiske personer og fysiske personer være behandlingsansvarlige. Det vanligste er likevel at den behandlingsansvarlige er en juridisk person.
Det har ingen betydning hva slags virksomhet du er og hva slags tjeneste du eventuelt leverer:
- en arbeidsgiver er behandlingsansvarlig for opplysningene om sine ansatte
- en forening er behandlingsansvarlig for opplysningene om sine medlemmer
- et offentlig organ er ansvarlig for opplysningene de behandler om befolkningen
Virksomheten er ansvarlig
Dersom den behandlingsansvarlige er en juridisk person (en virksomhet) er den juridiske personen behandlingsansvarlig, og ikke enkeltpersoner internt i virksomheten. Dette gjelder selv om ledelsen delegerer oppgaver som gjelder behandling av personopplysninger til enkeltpersoner i virksomheten.
Eksempel
Virksomheten ønsker å utføre en statistikkundersøkelse der det blir behandlet personopplysninger, og vil benytte en elektronisk løsning. Virksomhetens ledelse ber en ansatt i virksomheten vurdere sikkerhetsmessige aspekter ved løsningen. Selv om virksomheten delegerer arbeidet til en ansatt er det virksomheten som er den behandlingsansvarlige, ikke den ansatte.
Merk at Justisdepartementet har skrevet følgende i proposisjon 56 LS(2017-2018), kapittel 16.5.5:
«Etter departementets vurdering er unntaket fra plikten til vurdering av personvernkonsekvenser i forordningen artikkel 35 nr. 10 så snevert at det ikke synes nødvendig på nåværende tidspunkt å fastsette noen nasjonale unntak fra unntaket. Unntaket kommer bare til anvendelse når det supplerende rettsgrunnlaget for behandlingen inneholder en spesifikk regulering av de ulike behandlingsaktivitetene, noe som sjelden er tilfelle. Hvis behandlingsaktivitetene først er spesifikt regulert i lov eller forskrift, og personvernkonsekvensene allerede er vurdert i den forbindelse, kan departementet ikke se at en vurdering av personvernkonsekvenser vil ha en så stor tilleggsverdi at det er nødvendig å pålegge dette også i disse tilfellene.
At unntaket fører til grensedragningsspørsmål, er etter departementets oppfatning ikke et tilstrekkelig tungtveiende hensyn til at det er nødvendig å pålegge en plikt til vurdering av personvernkonsekvenser. Risikoen for misforståelser av rekkevidden av unntaket kan reduseres med informasjon og veiledning. Departementet foreslår ingen utvidet plikt til forhåndsdrøfting med tilsynsmyndigheten etter artikkel 36 nr. 5. Det foreslås imidlertid en forskriftshjemmel som åpner for slike bestemmelser, se lovforslaget § 14.»