Roller og ansvar. Hva er behandlingsansvarlig og hva er en databehandler? Thea Rølsåsen, faglig prosjektleder
Temaer: Hvorfor er roller og ansvar viktig? Behandlingsansvarlig Databehandler og forholdet til underleverandører Plikter og regulering Hvorfor er det viktig å vite hvem er som hvem? Problemer med å vite hvem som er hvem
Personopplysninger
Personopplysninger
Oversikt i virksomheten: Roller og ansvar. Hva er vitsen? 1) Hvilke fysiske/juridiske personer som har hvilke roller 2) Hvilket ansvar som ligger til hvilken rolle og sammenhengen mellom dem Tydelig ansvarsfordeling, både juridisk og praktisk. Effektivitet Klare og definerte roller med et klart mandat
Den behandlingsansvarlige er ansvarlig for og skal kunne påvise at nr. 1 overholdes («ansvar»). GDPR art. 5
Lovlig, rettferdig, gjennomsiktig Formålsbegrensning Dataminimering (adekvate, relevante og begrenset) Lagringsbegrensning Riktighet Integritet og fortrolighet (informasjonssikkerhet) Ansvarlighet Alle disse prinsippene omfatter også BA ansvar overfor databehandler
Roller og ansvar(sprinsippet i personvernforordningen) Før du skal behandle personopplysninger er det viktig å avklare hvilken rolle du har! Ansvar for oppfyllelse av kravene i forordningen tillegges behandlingsansvarlig. Hva med databehandler? Ikke ansvar, men allikevel noen plikter det er viktig å være klar over.
Behandlingsansvarlig (art. 4 nr. 7) Behandlingsansvarlig er en fysisk eller juridisk person, en offentlig myndighet, en institusjon eller ethvert annet organ som alene eller sammen med andre bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes
People s personal data is just that personal. When an organisation fails to protect it from loss, damage or theft it is more than an inconvenience. That s why the law is clear when you are entrusted with personal data you must look after it. Those that don t will face scrutiny from my office to check they have taken appropriate steps to protect fundamental privacy rights. Elisabeth Denham, ICO British Airways-saken
Personal data has a real value so organizations have a legal duty to ensure its security, just like they would do with any other asset. If that doesn t happen, we will not hesitate to take strong action when necessary to protect the rights of the public Elisabeth Denham, ICO Marriott-saken
I vurderingen av om du er behandlingsansvarlig kan du spørre: Hvorfor skjer denne behandlingen? Hvem tok initiativet til å behandle disse personopplysningene? Ville den andre virksomheten behandlet de konkrete opplysningene om ikke du hadde bedt om det? Skjer behandlingen etter instrukser fra deg? Har du en reell innflytelse på hvordan opplysningene skal behandles?
Hvilke plikter innebærer dette i realiteten for behandlingsansvarlig?
Protokoll over behandlingsaktiviteter Informasjonssikkerhet og rutiner for å ivareta sikkerheten for personopplysninger Brudd på personopplysningssikkerheten og utbedringstiltak Rutine for varsling ved brudd på personopplysningssikkerheten Egnede tekniske og organisatoriske tiltak for å sikre og påvise at behandlingen utføres i samsvar med regelverket, herunder risikovurdering Vurdering av personvernkonsekvenser Rutiner for hvordan behandlingens lovlighet skal sikres, som lovlig behandlingsgrunnlag(sikring av samtykke, interesseavveining mv) samt for særlige kategorier av personopplysninger, og sikring av at behandlingen kun skjer innenfor og så lenge formålet for innsamlingen av opplysningene foreligger Rutine for oppstart og opphør av behandling av opplysninger, herunder at behandlingen skal inntas i behandlingsoversikten, hvem som beslutter behandling, hvilke plikter som foreligger ved behandlingen osv. Rutiner for hvordan lagringbegrensning, herunder når sletting, psedonymisering og anonymisering skal gjøres og hvordan dette skal gjøres. Rutiner for informering av de registrerte Rutiner for at rettighetene til de registrerte blir fulgt, som retten innsyn, retting og sletting, og hvordan krav om begrensning av behandling, innsigelsesrett og dersom de registrerte motsetter seg automatiserte individuelle avgjørelser, herunder profilering. Rutiner for dataportabilitet Rutiner for overholdelse av adferdsnormer og sertifisering Rutiner for bruk av databehandlere Rutiner for overføring av personopplysninger, herunder til land utenfor EU/EØS Rutine for innsyn i arbeidstakers postkasse
Protokoll over behandlingsaktiviteter Informasjonssikkerhet og rutiner for å ivareta sikkerheten for personopplysninger Brudd på personopplysningssikkerheten og utbedringstiltak Rutine for varsling ved brudd på personopplysningssikkerheten Egnede tekniske og organisatoriske tiltak for å sikre og påvise at behandlingen utføres i samsvar med regelverket, herunder risikovurdering Vurdering av personvernkonsekvenser Rutiner for hvordan behandlingens lovlighet skal sikres, som lovlig behandlingsgrunnlag(sikring av samtykke, interesseavveining mv) samt for særlige kategorier av personopplysninger, og sikring av at behandlingen kun skjer innenfor og så lenge formålet for innsamlingen av opplysningene foreligger Rutine for oppstart og opphør av behandling av opplysninger, herunder at behandlingen skal inntas i behandlingsoversikten, hvem som beslutter behandling, hvilke plikter som foreligger ved behandlingen osv. Rutiner for hvordan lagringsbegrensning, herunder når sletting, psedonymisering og anonymisering skal gjøres og hvordan dette skal gjøres. Rutiner for informering av de registrerte Rutiner for at rettighetene til de registrerte blir fulgt, som retten innsyn, retting og sletting, og hvordan krav om begrensning av behandling, innsigelsesrett og dersom de registrerte motsetter seg automatiserte individuelle avgjørelser, herunder profilering. Rutiner for dataportabilitet Rutiner for overholdelse av adferdsnormer sertifisering Rutiner for bruk av databehandlere Rutiner for overføring av personopplysninger, herunder til land utenfor EU/EØS Rutine for innsyn i arbeidstakers postkasse
Rutiner for: - Ivaretakelse av de grunnleggende prinsippene - Rutiner for behandling av personopplysninger - Rutiner for informasjonssikkerhet - Ivaretakelse av de registerets rettigheter Internkontroll og styring
Den skumle(?) databehandleren
Databehandler (art. 4 nr. 8) En databehandler er en fysisk eller juridisk person, offentlig myndighet, institusjon eller ethvert annet organ som behandler personopplysninger på vegne av den behandlingsansvarlige.
«på vegne av andre.» All behandling skal skje på instruks fra den behandlingsansvarlige Kan ikke bestemme formålet En delegert oppgave Regulert i databehandleravtale
Tvilstilfeller Når trenger man DBA, og når holder det med en taushetserklæring? Formålet er avgjørende Er en innleid konsulent som skal drive med IT-support en databehandler? Hva med revisor/advokattjenester?
Hvordan kontrollerer man Databehandler? Databehandleravtale Revisjon og kontroll
Oppsummert Det viktig å vite hvilken rolle man har, og hvilket ansvar det innebærer.
postmottak@ikamr.no www.ikamr.no thea.helen.rolsaasen@ikamr.no 412 65 037