Databehandleravtale. Charlotte Lindberg Difi

Transkript

1 Databehandleravtale Charlotte Lindberg Difi

2 Hvorfor er denne avtalen så viktig? En databehandleravtale skal sikre at personopplysninger blir behandlet i samsvar med regelverket og setter en klar ramme for hvordan databehandleren kan behandle opplysninger. GDPR Personopplysninger

3 Når må du en databehandleravtale? En databehandleravtale eller lignende er et krav jf. GDPR ved behandling av personopplysninger som utføres av databehandler på vegne av behandlingsansvarlige Plikten til å regulere databehandlerens behandling av opplysninger påhviler både BA og DB Handler DB uten instruks blir denne selv behandlingsansvarlig Derfor i alles interesse å sørge for tilfredsstillende regulering

4 Hvorfor er dette så viktig for skytjenester? Skytjenester er en samlebetegnelse for alt fra dataprosessering og datalagring til programvare på servere som er tilgjengelig fra eksterne serverparker tilknyttet internett. Mange eksterne serverparker står utenfor Norges grenser. Målet er å få på plass en databehandleravtale som er i samsvar med norsk lovgivning Du må også vite hvilke land data kan aksesseres fra.

5 BA og DB!!!!!!!!! Det er viktig at du kjenner din rolle i forbindelse med en behandling!!!!!!!! Behandlingsansvarlig eller databehandler???? Behandlingsansvarlig Behandlingsansvarlig er en fysisk eller juridisk person, en offentlig myndighet, en institusjon eller ethvert annet organ som alene eller sammen med andre bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes; når formålet med og midlene for behandlingen er fastsatt i unionsretten eller i medlemsstatenes nasjonale rett, kan den behandlingsansvarlige, eller de særlige kriteriene for utpeking av vedkommende, fastsettes i unionsretten eller i medlemsstatenes nasjonale rett. - Personvernforordningen artikkel 4 nr. 7 Databehandler En databehandler er en fysisk eller juridisk person, offentlig myndighet, institusjon eller ethvert annet organ som behandler personopplysninger på vegne av den behandlingsansvarlige. - Personvernforordningen artikkel 4. nr. 8

6 Roller til BA og DB Den behandlingsansvarlige er det primære pliktsubjektet etter forordningen, og er overordnet ansvarlig for å overholde personvernprinsippene og regelverket. Den behandlingsansvarlige er ansvarlig for å behandle personopplysninger på en lovlig, rettferdig og gjennomsiktig måte, ha et behandlingsgrunnlag, behandle personopplysningene på en sikker måte og sikre at de registrerte får utøvd sine rettigheter Den behandlingsansvarlige må derfor sørge for å etablere alle nødvendige organisatoriske og tekniske tiltak for å sikre at regelverket etterleves til enhver tid. Den behandlingsansvarlige må kunne vise at den opptrer i samsvar med reglene. Databehandler behandler personopplysninger på vegne av andre Databehandleren behandler alltid personopplysningene etter instruks fra en annen virksomhet og kan derfor ikke bestemme formål og andre avgjørende elementer ved behandlingen En databehandler har med andre ord fått delegert en oppgave om å behandle personopplysninger fra en behandlingsansvarlig. Man kan være databehandler selv om man ikke kan se personopplysningene som behandles, eller gjør noe aktivt med dem. Det kan være nok at personopplysningene lagres på et system for at det er en databehandlerrelasjon.

7 Roller til BA og DB BA DB forhold databehandleravtale BA BA forhold behandlingsgrunnlag for utlevering av opplysningene

8 Når behandler vi personopplysninger? Når foreligger det et databehandleroppdrag og hvem er databehandler og behandlingsansvarlig? 1. Noen må faktisk behandle personopplysninger på andres vegne 2. Oppdraget må gå ut på rent faktisk å behandle personopplysninger Altså: En virksomhet må f.eks. lagre, samle inn, utlevere eller slette personopplysninger på vegne av en annen virksomhet og at formålet går ut på å behandle disse opplysninger.

9 BA eller DB? Momenter du kan vektlegge: Personopplysningene behandles kun til dine formål. Det er du som er overordnet ansvarlig for å overholde personvernregelverket. Den andre parten behandler opplysninger på vegne av deg og har ikke bestemmelsesrett over opplysningene. Den andre parten er en ekstern virksomhet separat fra deg. Loven eller lignende pålegger deg å behandle visse personopplysninger. En avtale mellom deg og en annen part inneholder en direkte eller indirekte instruks om å behandle personopplysninger (motsatt: avtalen omhandler levering av et annet type oppdrag eller tjeneste). Du kan instruere den andre parten om hvordan personopplysningene skal behandles. Den andre parten kan bare lovlig behandle opplysningene etter instruks fra deg, og kan ikke bruke opplysningene til egne formål. Det er du som bestemmer formål og de avgjørende hjelpemidlene for hvordan opplysningene skal behandles. Du kan kontrollere at den andre parten behandler opplysningene som avtalt. Personene du behandler personopplysninger om har en berettiget forventning om at du er behandlingsansvarlig. Du kan kreve at den andre parten sletter eller tilbakeleverer opplysningene.

10 Bakgrunn for databehandleravtalen(difi) Avtalen er basert på det danske datatilsyn sin databehandleravtale Den er oversatt og gjennomarbeidet i samarbeid med Kjersti Jensen i Oslo Kommune og ressurser fra Difi Den ligger til på høring nå her: Databehandleravtalen er beregnet på bruk, sammen med SSA-ene Målet med databehandleravtalen er at den skal leve opp til personvernforordningens minimum krav i art. 28, være praktisk anvendelig og gjøre partenes roller og ansvar klart.

11 Databehandleravtalen (difi) Databehandleravtalen er oppdelt i 2 deler: 1. Den generelle avtale tekst 2. Bilag 1. Bilag A Nærmere opplysninger om behandlingen 2. Bilag B Betingelser for bruk av underdatabehandlere 3. Bilag C Instruks, sikkerhetstiltak og tilsyn

12 Minimumskrav til en databehandleravtale jf. art. 28: a. Databehandleren behandler på instruks, kapitel 4 og 10 b. Konfidensialitet og taushetsplikt, kapitel 5 c. Sikkerhet i behandlingen i henhold til art. 32, kapitel 3 og 6. a. Databehandlerens ansvar b. Egnet sikkerhetsnivå c. Sikkerhetstiltak d. Tekniske utviklingen e. Kostnader f. Behandlingens art, omfang, formål og sammenheng og hvilke opplysninger g. Særlige konkrete tiltak h. Risikovurdering i. Atferdsnormer

13 Fortsatt Minimumskrav til en databehandleravtale jf. art. 28: d. Stk. 2 og 4. Kapitel 9, Bruk av underdatabehandlere e. Bistand til den behandlingsansvarlige, Kapitel 7 Plikten til å bistå med å svare på henvendelse fra den registrerte (d) Plikt til å bistå med å etterleve krav til informasjonssikkerhet g. Sletting og tilbakelevering av opplysninger, Kapitel 12 h. Revisjon og inspeksjon

14 Databehandleravtalen(difi) Overordnede krav til den behandlingsansvarlige Inngå en databehandleravtale som lever opp til GDPRs minimums krav Foreligger dokumentert instruks Kun benytte databehandlere som kan stille fornødne garantier for de kan gjennomføre passende tekniske og organisatoriske tiltak, slik at behandlingen oppfyller kravene i GDPR og sikre beskyttelse av den registrertes rettigheter Er direkte ansvarlig for overholdelsen av GDPR og for å dokumentere overholdelsen

15 Databehandleravtalen(difi) Overordnede krav til den databehandler Kun behandle opplysninger på dokumentert instruks Avgjør DB formål og eventuelle hjelpemidler i forbindelse med behandlingen, kan denne bli å anse som BA med de forpliktelser som dette medfører DB er direkte forpliktet til: Ikke å benytte underdatabehandler uten forutgående godkjennelse fra BA (art. 28 stk. 2) Samarbeide med relevante tilsynsmyndigheter (art. 31) Sikre nødvendig sikkerhet i behandlingen (art. 32) Å føre protokoll over behandlingsaktiviteter med mindre DB er fritatt for dette (art. 30 stk. 5) Protokoll plikt hvis over 250 ansatte Underrette uten ugrunnet opphold om eventuelle brudd på databehandleravtalen eller personopplysningssikkerheten

16 bilagene Vi ser på bilagene

17 Til syvende og sist er det opp til den behandlingsansvarlige å vurdere om databehandleren gir tilfredsstillende garantier sett i sammenheng med personopplysningene som skal behandles.

18