Databehandler og behandlingsansvarlig
Personopplysninger er informasjon og vurderinger som kan knyttes til en enkeltperson. Eksempler på dette kan være navn, adresse, e-postadresse og telefonnummer. Personopplysninger er ofte i tekstform, men det kan også være snakk om bilder, video, lydopptak og biometriske data.
Behandle personopplysninger
Vi kan arbeide med personopplysninger på mange måter. Innsamling, registrering, sammenstilling, lagring eller viderelevering er noen eksempler på hvordan personopplysninger blir brukt. Vi bruker begrepet behandle for å omfatte alle typer bruk og håndtering av personopplysninger.
De to mest sentrale rollene i håndtering av personopplysninger er databehandler og behandlingsansvarlig.
Databehandleren behandler personopplysninger på vegne av den behandlingsansvarlige.
Den behandlingsansvarlige har det overordnede ansvaret for at loven følges og gir databehandleren oppgaver og instruksjon for behandlingen av personopplysningene.
Mange jobbsituasjoner innebærer at du behandler personopplysninger. Du kan for eksempel ta imot bestillinger, utføre brukerstøtte, administrere datasystemer og utarbeide arbeidslister.
Rollen defineres ut fra at du som databehandler behandler personopplysninger på vegne av andre. Dette kan være på vegne av egen bedrift eller virksomhet, men det kan også gjøres på vegne av en annen bedrift eller virksomhet.
Som databehandler er du gitt en spesifikk oppgave fra en behandlingsansvarlig, og du har ikke anledning til å gå utenfor denne oppgavens rammer, for eksempel ved å bruke personopplysningene til noe annet enn det oppgaven beskriver.
Virksomheter som bruker en underleverandør som databehandler, er pålagt å ha en databehandleravtale som definerer vilkårene for behandlingen. Underleverandøren (person eller bedrift/virksomhet) må kjenne disse vilkårene og godta å følge dem. Et eksempel på dette kan være en bedrift som leier inn e-posttjeneste fra en ekstern bedrift i stedet for å ha en egen e-postløsning.
EUs personvernforordning om databehandleren
I denne forordning menes med [...] "databehandler" en fysisk eller juridisk person, offentlig myndighet, institusjon eller ethvert annet organ som behandler personopplysninger på vegne av den behandlingsansvarlige [...].
Personopplysningsloven, EP/Rfo. 2016/679 kapittel 1 artikkel 4 nr. 8
Selv om du bare er databehandler og ikke har bestemt hva som skal gjøres med personopplysningene, har du et ansvar for at loven ikke blir brutt. Det er derfor viktig at alle kjenner til lovverket og vet hva som gjøres med opplysningene.
Den behandlingsansvarlige har det overordnede ansvaret for at personopplysninger håndteres på en lovlig, rettferdig og gjennomsiktig måte, og at det finnes et gyldig grunnlag for å behandle personopplysningene.
Den behandlingsansvarlige kan være en faktisk person eller en bedrift eller virksomhet og kan ikke frasi seg ansvaret for eksempel til databehandleren.
EUs personvernforordning om den behandlingsansvarlige
I denne forordning menes med [...] "behandlingsansvarlig" en fysisk eller juridisk person, en offentlig myndighet, en institusjon eller ethvert annet organ som alene eller sammen med andre bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes [...].
Personopplysningsloven, EP/Rfo. 2016/679 kapittel 1 artikkel 4 nr. 7
Personopplysningsloven. (2018). Lov om behandling av personopplysninger (LOV-2018-06-15-38). Lovdata. https://lovdata.no/lov/2018-06-15-38