Databehandlar og behandlingsansvarleg - Sikkerheit (SR-SSH vg2) - NDLA

Hopp til innhald
Fagartikkel

Databehandlar og behandlingsansvarleg

Når ei bedrift, eit organ eller ein institusjon skal handtere personopplysningar, er dei lovpålagde å gjere dette på ein oversiktleg og ansvarleg måte. Dei to mest sentrale rollene i handtering av personopplysningar er databehandlar og behandlingsansvarlege Desse rollene er definerte i lovverket.

Personopplysningar er informasjon og vurderingar som kan knytast til ein enkeltperson. Døme på dette kan vere namn, adresse, e-postadresse og telefonnummer. Personopplysningar er ofte i tekstform, men det kan òg vere snakk om bilete, video, lydopptak og biometriske data.

Behandle personopplysningar

Vi kan arbeide med personopplysningar på mange måtar. Innsamling, registrering, samanstilling, lagring eller vidarelevering er nokre døme på korleis personopplysningar blir brukte. Vi bruker omgrepet behandle for å omfatte alle typar bruk og handtering av personopplysningar.

Dei to mest sentrale rollene i handtering av personopplysningar er databehandlar og behandlingsansvarleg.

  • Databehandlaren behandlar personopplysningar på vegner av den behandlingsansvarlege.

  • Den behandlingsansvarlege har det overordna ansvaret for at lova blir følgd og gir databehandlaren oppgåver og instruksjon for behandlinga av personopplysningane.

Databehandlar

Mange jobbsituasjonar inneber at du behandlar personopplysningar. Du kan til dømes ta imot bestillingar, utføre brukarstøtte, administrere datasystem og utarbeide arbeidslister.

Rolla blir definert ut frå at du som databehandlar behandlar personopplysningar på vegner av andre. Dette kan vere på vegner av eiga bedrift eller verksemd, men det kan òg gjerast på vegner av ei anna bedrift eller verksemd.

Som databehandlar er du gitt ei spesifikk oppgåve frå ein behandlingsansvarleg, og du har ikkje høve til å gå utanfor rammene til denne oppgåva, til dømes ved å bruke personopplysningane til noko anna enn det oppgåva beskriv.

Verksemder som bruker ein underleverandør som databehandlar, er pålagde å ha ein databehandlaravtale som definerer vilkåra for behandlinga. Underleverandøren (person eller bedrift/verksemd) må kjenne desse vilkåra og godta å følgje dei. Eit døme på dette kan vere ei bedrift som leiger inn e-postteneste frå ei ekstern bedrift i staden for å ha ei eiga e-postløysing.

EUs personvernforordning om databehandlaren

I denne forordning menes med [...] "databehandler" en fysisk eller juridisk person, offentlig myndighet, institusjon eller ethvert annet organ som behandler personopplysninger på vegne av den behandlingsansvarlige [...].

Personopplysningslova, EP/Rfo. 2016/679 kapittel 1 artikkel 4 nr. 8

Sjølv om du berre er databehandlar og ikkje har bestemt kva som skal gjerast med personopplysningane, har du eit ansvar for at lova ikkje blir broten. Det er derfor viktig at alle kjenner til lovverket og veit kva som blir gjort med opplysningane.

Behandlingsansvarleg

Den behandlingsansvarlege har det overordna ansvaret for at personopplysningar blir handterte på ein lovleg, rettferdig og gjennomsiktig måte, og at det finst eit gyldig grunnlag for å behandle personopplysningane.

Den behandlingsansvarlege kan vere ein faktisk person eller ei bedrift eller verksemd og kan ikkje seie frå seg ansvaret til dømes til databehandlaren.

EUs personvernforordning om den behandlingsansvarlege

I denne forordning menes med [...] "databehandler" en fysisk eller juridisk person, offentlig myndighet, institusjon eller ethvert annet organ som behandler personopplysninger på vegne av den behandlingsansvarlige [...].

Personopplysningslova, EP/Rfo. 2016/679 kapittel 1 artikkel 4 nr. 7

Kjelde

Personopplysningslova. (2018). Lov om behandling av personopplysninger (LOV-2018-06-15-38). Lovdata. https://lovdata.no/lov/2018-06-15-38



Relatert innhald

Skrive av Tron Bårdgård.
Sist fagleg oppdatert 02.12.2021