Databehandlere og databehandleravtaler
Databehandlere behandler persondata på vegne av dere som organisasjon. Eksempler på databehandlere er regnskapssystemet dere bruker, medlemsregisteret og leverandør av løsning på nyhetsbrev.
Databehandlere er pliktige til å sørge for informasjonssikkerhet i måten de jobber på. De plikter også å varsle dere som oppdragsgivere (behandlingsansvarlige) om avvik. De må også opprette personvernombud om dere som organisasjon er pålagt det.
Selv om databehandlerne får nye plikter gjennom den nye forordningen, er det fortsatt dere som behandlingsansvarlige som har hovedansvaret for behandlingen av personopplysninger.
En avtale med databehandlerne er viktig å få på plass. Mange av de store databehandlerne (leverandørene) har laget standard databehandleravtaler som dere kan bruke som et utgangspunkt. Det kan dere etterspørre nå. Her er en sjekkliste over hva som må med i databehandleravtalen:
- Databehandler skal kun behandle personopplysninger etter dokumenterte instruksjoner fra den behandlingsansvarlige (organisasjonen).
- Databehandler skal kun overføre personopplysninger til et land utenfor EU/EØS-området eller til internasjonale organisasjoner slik det er beskrevet i dokumenterte instruksjoner fra den behandlingsansvarlige.
- De som har tilgang til personopplysningene som behandles er underlagt taushetsplikt.
- Databehandler skal sørge for informasjonssikkerhet i tråd med artikkel 32.
- Databehandler må respektere reglene for underleverandører i tråd med artikkel 28.
- Avtalen skal spesifisere hvordan databehandler skal bistå den behandlingsansvarlige med å etterkomme krav fra enkeltpersoner.
- Avtalen skal spesifisere hvordan databehandler skal bistå den behandlingsansvarlige med informasjonssikkerhet, avvikshåndtering og konsekvensanalyse.
- Databehandler skal avhengig av hva den behandlingsansvarlige velger, slette eller tilbakeføre alle personopplysninger når databehandlingstjenestene opphører. Kopier skal også slettes. Dette gjelder med mindre en annen lov krever at de skal tas vare på.
Databehandleravtalen skal være skriftlig og elektronisk.
Underleverandører
Ofte har databehandlere underleverandører. En underleverandør er en leverandør av tekniske løsninger som behandler personopplysninger på vegne av databehandlerne.
Forordningen understreker at behandlingsansvarlig (organisasjonen) skal godkjenne alle underleverandører skriftlig. Forholdet mellom databehandleren og underleverandøren skal reguleres i en egen avtale mellom den behandlingsansvarlige og databehandleren, tilsvarende databehandleravtalen.