Hvem er ansvarlig for databehandleravtale?

Ansvaret for databehandleravtalen: En klargjøring

Databehandleravtaler er hjørnesteinen i moderne databehandling, spesielt når personopplysninger er involvert. Men hvem bærer egentlig ansvaret for å sikre at disse avtalene er på plass og i samsvar med loven? Svaret er enkelt, men likevel ofte misforstått: Den behandlingsansvarlige har det overordnede ansvaret.

Dette er ikke bare en anbefaling, men et lovkrav i henhold til personopplysningsloven (GDPR artikkel 28). Den behandlingsansvarlige bestemmer hva som skal gjøres med personopplysningene, hvorfor de skal behandles og hvordan de skal beskyttes. Databehandleren, på sin side, behandler opplysningene på vegne av den behandlingsansvarlige. De utfører en teknisk oppgave, i henhold til instrukser fra den behandlingsansvarlige.

Tenk deg en bedrift som bruker en skytjeneste til å lagre kundeopplysninger. Bedriften er den behandlingsansvarlige, da de bestemmer hvorfor opplysningene samles inn og hvordan de skal brukes. Skytjenesteleverandøren er databehandleren, og utfører bare oppgavene bedriften har gitt dem. I dette tilfellet er det bedriften som har det fulle ansvaret for å inngå en gyldig databehandleravtale med skytjenesteleverandøren.

Ansvaret strekker seg videre: Den behandlingsansvarlige har ikke bare ansvar for avtalen med sin direkte databehandler. Ansvaret omfatter også underleverandører som databehandleren eventuelt benytter. Det betyr at bedriften i eksemplet ovenfor må forsikre seg om at skytjenesteleverandøren har en gyldig avtale med sine underleverandører, og at disse avtalene ivaretar kravene i personopplysningsloven. Den behandlingsansvarlige må ha oversikt over hele kjeden. Dette kan kreve en grundig gjennomgang av databehandlerens prosesser og underleverandørkjeder.

Konsekvenser av manglende avtale eller ufullstendig avtale: Å unnlate å inngå en databehandleravtale, eller å inngå en avtale som ikke oppfyller lovens krav, kan føre til alvorlige konsekvenser. Dette inkluderer bøter fra Datatilsynet, tap av tillit hos kunder og forretningspartnere, og risiko for datainnbrudd med påfølgende skader.

I praksis: For å sikre samsvar, bør den behandlingsansvarlige:

• Velge databehandlere med omhu: Undersøk referanser og sørg for at de har nødvendige sikkerhetstiltak på plass.
• Utforme en grundig databehandleravtale: Avtalen bør klart definere partenes roller, ansvar og plikter.
• Regelmessig gjennomgang av avtalen: Lovgivningen og teknologien endrer seg, så avtalen bør gjennomgås regelmessig for å sikre at den fortsatt er relevant og oppfyller lovens krav.
• Dokumentasjon: Det er viktig å dokumentere alle aspekter av databehandlingen, inkludert valg av databehandlere og innhold i avtalene.

Kort sagt: Ansvaret for en korrekt og lovmessig databehandleravtale, inkludert for eventuelle underleverandører, hviler utelukkende på den behandlingsansvarlige. Dette er et kritisk punkt for å sikre personvernet og unngå juridiske problemer.