Magma
07.05.2018
INNLEDNING
EUs nye personvernforordning, General Data Protection Regulation (GDPR), trer i kraft i EU 25. mai 2018. Gjennom EØS-avtalen er det forutsatt at Norge skal vedta en ny personopplysningslov som implementerer GDPR innen dette tidspunkt. Lovforslaget til denne loven er lagt fram for Stortinget i stortingsproposisjon 56 LS (2017-2018), og forslaget har tatt inn GDPR som den vesentlige delen av lovteksten.
Dersom en fysisk eller juridisk person, en offentlig myndighet, en institusjon eller ethvert annet organ behandler personopplysninger, og denne behandlingen omfattes av personopplysningsloven sitt saklige virkeområde, vil denne inneha rollen som enten behandlingsansvarlig eller databehandler. Når ny personopplysningslov i Norge trer i kraft, vil det bli innført et krav om at alle behandlingsansvarlige skal inngå databehandleravtaler med sine databehandlere som oppfyller krav i GDPR til databehandleravtaler.
Alle databehandleravtaler fra før GDPR og ny personopplysningslov trer i kraft, må da som et minimum oppfylle GDPR sine krav til innhold i databehandleravtalen. Videre må behandlingsansvarlige som ikke har inngått databehandleravtale med sine databehandlere, inngå slike avtaler før den nye loven trer i kraft. Databehandleravtalen kan være en selvstendig kontrakt eller en del av en hovedavtale.
De obligatoriske minimumskravene til hva en databehandleravtale skal inneholde, fremgår av GDPR artikkel 28. Når en behandlingsansvarlig bruker en databehandler, inngår man et samarbeid, og i likhet med andre avtaleinngåelser er det da viktig at avtalen forebygger fremtidige konflikter og gir partene forutberegnelighet i deres ansvar og plikter. Partene bør derfor ved utarbeidelsen av kontraktene sikre at databehandleravtalene ikke blir for generelle. Ved utarbeidelse av databehandleravtalen bør virksomheter derfor vurdere om det er behov for å spesifisere ytterligere de minimumsvilkårene som GDPR oppstiller, samt om det også bør inkluderes andre vilkår.
Kort oppsummert kan man si at konstruksjonen av en databehandleravtale bør oppfylle tre vesentlige kriterier:
- Databehandleravtalen må oppfylle det minimumsinnhold som fremgår av krav i GDPR. Om nødvendig bør den spesifisere vilkårene ytterligere.
- Avhengig av reguleringene i en eventuell hovedavtale bør det vurderes om avtalen skal inneholde ytterligere vilkår enn bare de minimumsvilkår som fremgår av GDPR.
- Behandlingsansvarlig må gi alle nødvendige instrukser for at databehandler skal kunne behandle personopplysninger i fullt samsvar med den behandlingsansvarliges formål og ønsker.
BEHANDLINGSANSVARLIG ELLER DATABEHANDLER?
Behandlingsansvarlig er definert som den «som alene eller sammen med andre bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes».
Det betyr at den som bestemmer hva personopplysningene skal brukes til, og derfor også hvorfor opplysningene samles inn, er behandlingsansvarlig. I praksis vil det være den øverste ledelsen som er behandlingsansvarlig.
Databehandler er definert som den «som behandler personopplysninger på vegne av den behandlingsansvarlige». En databehandler har ingen egen bestemmelsesrett over hvordan personopplysningene skal behandles, men opptrer bare på instruks fra behandlingsansvarlig.
I utgangspunktet er det behandlingsansvarlig som har ansvaret for at behandling av personopplysninger oppfyller kravene til behandling av personopplysninger i GDPR og personopplysningsloven. GDPR gir imidlertid databehandleren noen selvstendige, nye forpliktelser som ikke tilfalt denne rollen i henhold til tidligere lovgivning. Disse forpliktelsene vil eksistere parallelt med de forpliktelsene som fremgår av databehandleravtalen.
I noen tilfeller vil rollefordelingen mellom partene være lett å avklare. Dette vil typisk være tilfellet i en klassisk databehandlerkonstruksjon hvor for eksempel en IT-leverandør utelukkende behandler personopplysninger etter instruks fra en annen virksomhet. En databehandler vil også eksempelvis kunne være en leverandør av lønns- og personalsystemer hvor dataserveren er plassert hos leverandøren, som drifter løsningen for andre virksomheter.
I andre tilfeller kan det være vanskelig å avgjøre hvilken rolle man innehar. Alle virksomheter, organer, organisasjoner osv. som behandler personopplysninger, må foreta en konkret vurdering i hvert enkelt tilfelle der de behandler personopplysninger, og ta stilling til hvilken rolle de har. Det er flere momenter som vil være relevante i en slik vurdering. Ett vesentlig moment en må vurdere, er hvilken ytelser som skal leveres. Forutsetningen for at en kan være en databehandler, er nemlig at databehandleren kun opererer etter instruks fra behandlingsansvarlig. Dersom en avtale innebærer at en virksomhet skal levere en ytelse, og denne leverandøren ikke utelukkende kan operere etter instruks fra kjøperen ved oppfyllelse av avtalen, vil ikke leverandøren være en databehandler. Dersom denne leverandøren selv må kunne bestemme hvordan man vil behandle noen av eller alle personopplysninger, vil leverandøren faktisk være en behandlingsansvarlig for denne aktuelle behandlingen.
For eksempel behøver normalt ikke kunder, herunder bedriftskunder, å inngå databehandleravtaler med sin bank eller sitt forsikringsselskap. Banker og forsikringsselskaper er selv behandlingsansvarlige for opplysninger de behandler om bedriftskunders ansatte, eiere og tillitsvalgte i forbindelse med kundeforh
Gå til medietDersom en fysisk eller juridisk person, en offentlig myndighet, en institusjon eller ethvert annet organ behandler personopplysninger, og denne behandlingen omfattes av personopplysningsloven sitt saklige virkeområde, vil denne inneha rollen som enten behandlingsansvarlig eller databehandler. Når ny personopplysningslov i Norge trer i kraft, vil det bli innført et krav om at alle behandlingsansvarlige skal inngå databehandleravtaler med sine databehandlere som oppfyller krav i GDPR til databehandleravtaler.
Alle databehandleravtaler fra før GDPR og ny personopplysningslov trer i kraft, må da som et minimum oppfylle GDPR sine krav til innhold i databehandleravtalen. Videre må behandlingsansvarlige som ikke har inngått databehandleravtale med sine databehandlere, inngå slike avtaler før den nye loven trer i kraft. Databehandleravtalen kan være en selvstendig kontrakt eller en del av en hovedavtale.
De obligatoriske minimumskravene til hva en databehandleravtale skal inneholde, fremgår av GDPR artikkel 28. Når en behandlingsansvarlig bruker en databehandler, inngår man et samarbeid, og i likhet med andre avtaleinngåelser er det da viktig at avtalen forebygger fremtidige konflikter og gir partene forutberegnelighet i deres ansvar og plikter. Partene bør derfor ved utarbeidelsen av kontraktene sikre at databehandleravtalene ikke blir for generelle. Ved utarbeidelse av databehandleravtalen bør virksomheter derfor vurdere om det er behov for å spesifisere ytterligere de minimumsvilkårene som GDPR oppstiller, samt om det også bør inkluderes andre vilkår.
Kort oppsummert kan man si at konstruksjonen av en databehandleravtale bør oppfylle tre vesentlige kriterier:
- Databehandleravtalen må oppfylle det minimumsinnhold som fremgår av krav i GDPR. Om nødvendig bør den spesifisere vilkårene ytterligere.
- Avhengig av reguleringene i en eventuell hovedavtale bør det vurderes om avtalen skal inneholde ytterligere vilkår enn bare de minimumsvilkår som fremgår av GDPR.
- Behandlingsansvarlig må gi alle nødvendige instrukser for at databehandler skal kunne behandle personopplysninger i fullt samsvar med den behandlingsansvarliges formål og ønsker.
BEHANDLINGSANSVARLIG ELLER DATABEHANDLER?
Behandlingsansvarlig er definert som den «som alene eller sammen med andre bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes».
Det betyr at den som bestemmer hva personopplysningene skal brukes til, og derfor også hvorfor opplysningene samles inn, er behandlingsansvarlig. I praksis vil det være den øverste ledelsen som er behandlingsansvarlig.
Databehandler er definert som den «som behandler personopplysninger på vegne av den behandlingsansvarlige». En databehandler har ingen egen bestemmelsesrett over hvordan personopplysningene skal behandles, men opptrer bare på instruks fra behandlingsansvarlig.
I utgangspunktet er det behandlingsansvarlig som har ansvaret for at behandling av personopplysninger oppfyller kravene til behandling av personopplysninger i GDPR og personopplysningsloven. GDPR gir imidlertid databehandleren noen selvstendige, nye forpliktelser som ikke tilfalt denne rollen i henhold til tidligere lovgivning. Disse forpliktelsene vil eksistere parallelt med de forpliktelsene som fremgår av databehandleravtalen.
I noen tilfeller vil rollefordelingen mellom partene være lett å avklare. Dette vil typisk være tilfellet i en klassisk databehandlerkonstruksjon hvor for eksempel en IT-leverandør utelukkende behandler personopplysninger etter instruks fra en annen virksomhet. En databehandler vil også eksempelvis kunne være en leverandør av lønns- og personalsystemer hvor dataserveren er plassert hos leverandøren, som drifter løsningen for andre virksomheter.
I andre tilfeller kan det være vanskelig å avgjøre hvilken rolle man innehar. Alle virksomheter, organer, organisasjoner osv. som behandler personopplysninger, må foreta en konkret vurdering i hvert enkelt tilfelle der de behandler personopplysninger, og ta stilling til hvilken rolle de har. Det er flere momenter som vil være relevante i en slik vurdering. Ett vesentlig moment en må vurdere, er hvilken ytelser som skal leveres. Forutsetningen for at en kan være en databehandler, er nemlig at databehandleren kun opererer etter instruks fra behandlingsansvarlig. Dersom en avtale innebærer at en virksomhet skal levere en ytelse, og denne leverandøren ikke utelukkende kan operere etter instruks fra kjøperen ved oppfyllelse av avtalen, vil ikke leverandøren være en databehandler. Dersom denne leverandøren selv må kunne bestemme hvordan man vil behandle noen av eller alle personopplysninger, vil leverandøren faktisk være en behandlingsansvarlig for denne aktuelle behandlingen.
For eksempel behøver normalt ikke kunder, herunder bedriftskunder, å inngå databehandleravtaler med sin bank eller sitt forsikringsselskap. Banker og forsikringsselskaper er selv behandlingsansvarlige for opplysninger de behandler om bedriftskunders ansatte, eiere og tillitsvalgte i forbindelse med kundeforh
