Databehandler og behandlingsansvarlig - Sikkerhet (SR-SSH vg2) - NDLA

Hopp til innhold
Fagartikkel

Databehandler og behandlingsansvarlig

Når en bedrift, et organ eller en institusjon skal håndtere personopplysninger, er de lovpålagt å gjøre dette på en oversiktlig og ansvarlig måte. De to mest sentrale rollene i håndtering av personopplysninger er databehandler og behandlingsansvarlig. Disse rollene er definert i lovverket.

Personopplysninger er informasjon og vurderinger som kan knyttes til en enkeltperson. Eksempler på dette kan være navn, adresse, e-postadresse og telefonnummer. Personopplysninger er ofte i tekstform, men det kan også være snakk om bilder, video, lydopptak og biometriske data.

Behandle personopplysninger

Vi kan arbeide med personopplysninger på mange måter. Innsamling, registrering, sammenstilling, lagring eller viderelevering er noen eksempler på hvordan personopplysninger blir brukt. Vi bruker begrepet behandle for å omfatte alle typer bruk og håndtering av personopplysninger.

De to mest sentrale rollene i håndtering av personopplysninger er databehandler og behandlingsansvarlig.

  • Databehandleren behandler personopplysninger på vegne av den behandlingsansvarlige.

  • Den behandlingsansvarlige har det overordnede ansvaret for at loven følges og gir databehandleren oppgaver og instruksjon for behandlingen av personopplysningene.

Databehandler

Mange jobbsituasjoner innebærer at du behandler personopplysninger. Du kan for eksempel ta imot bestillinger, utføre brukerstøtte, administrere datasystemer og utarbeide arbeidslister.

Rollen defineres ut fra at du som databehandler behandler personopplysninger på vegne av andre. Dette kan være på vegne av egen bedrift eller virksomhet, men det kan også gjøres på vegne av en annen bedrift eller virksomhet.

Som databehandler er du gitt en spesifikk oppgave fra en behandlingsansvarlig, og du har ikke anledning til å gå utenfor denne oppgavens rammer, for eksempel ved å bruke personopplysningene til noe annet enn det oppgaven beskriver.

Virksomheter som bruker en underleverandør som databehandler, er pålagt å ha en databehandleravtale som definerer vilkårene for behandlingen. Underleverandøren (person eller bedrift/virksomhet) må kjenne disse vilkårene og godta å følge dem. Et eksempel på dette kan være en bedrift som leier inn e-posttjeneste fra en ekstern bedrift i stedet for å ha en egen e-postløsning.

EUs personvernforordning om databehandleren

I denne forordning menes med [...] "databehandler" en fysisk eller juridisk person, offentlig myndighet, institusjon eller ethvert annet organ som behandler personopplysninger på vegne av den behandlingsansvarlige [...].

Personopplysningsloven, EP/Rfo. 2016/679 kapittel 1 artikkel 4 nr. 8

Selv om du bare er databehandler og ikke har bestemt hva som skal gjøres med personopplysningene, har du et ansvar for at loven ikke blir brutt. Det er derfor viktig at alle kjenner til lovverket og vet hva som gjøres med opplysningene.

Behandlingsansvarlig

Den behandlingsansvarlige har det overordnede ansvaret for at personopplysninger håndteres på en lovlig, rettferdig og gjennomsiktig måte, og at det finnes et gyldig grunnlag for å behandle personopplysningene.

Den behandlingsansvarlige kan være en faktisk person eller en bedrift eller virksomhet og kan ikke frasi seg ansvaret for eksempel til databehandleren.

EUs personvernforordning om den behandlingsansvarlige

I denne forordning menes med [...] "behandlingsansvarlig" en fysisk eller juridisk person, en offentlig myndighet, en institusjon eller ethvert annet organ som alene eller sammen med andre bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes [...].

Personopplysningsloven, EP/Rfo. 2016/679 kapittel 1 artikkel 4 nr. 7

Kilde

Personopplysningsloven. (2018). Lov om behandling av personopplysninger (LOV-2018-06-15-38). Lovdata. https://lovdata.no/lov/2018-06-15-38



Relatert innhold

Skrevet av Tron Bårdgård.
Sist faglig oppdatert 02.12.2021