Er det lov å endre behandlingsgrunnlag underveis?

46 visninger

Nei, det er generelt ikke tillatt å endre behandlingsgrunnlag underveis i en databehandling. Hver behandling må ha et klart og gyldig grunnlag fra starten. Hvis ingen behandlingsgrunnlag er til stede, er behandlingen ulovlig.

Tilbakemelding 0 liker
Kanskje du vil spørre? Se mer

Er det lov å endre behandlingsgrunnlag i løpet av behandlingen?

Endre behandlingsgrunnlag midt i en behandling? Tror ikke det går.

Husker en gang jeg spurte advokaten min om noe lignende, juni 2022, Oslo. Kosta flesk, forresten. Han sa nei, hvertfall.

En behandling, ett grunnlag. Litt som et fundament, liksom. Bytter du det underveis, raser jo hele huset.

Uten riktig grunnlag blir behandlingen ulovlig. Advokaten min var ganske klar på det.

Hva er delt behandlingsansvar?

Delt behandlingsansvar: To eller flere bestemmer samtidig formål og metode for personopplysningsbehandling. Tenk to kokker som lager en kake – begge bestemmer hva slags kake, og hvordan den skal lages. Dette er nøkkelbegrepet!

Artikkel 26, punkt 1 i GDPR sier det klart og tydelig: Samlet ansvar. Ikke bare en som bestemmer. Begge (eller flere) er ansvarlige, ansvarssubjekt. Kjipt, men sant.

Hver enkelt bestemmer ikke alene. De må bli enige om alt. Fordeling av ansvar må avklares i en avtale. Tenk kontrakt, juridisk bindende! Hvem gjør hva? Klar fordeling! Dette er avgjørende! Uenighet? Da blir det konflikt.

  • Viktig: Fokus på samtidig beslutningstaking. Dette er kjernen!

  • Avtale: En avtale (eller kontrakt) er helt essensielt for å unngå krangling senere. Den må spesifisere ansvarsfordelingen.

Tenk deg to venner som driver en blogg sammen, begge bestemmer hva som skrives, begge bestemmer hvordan de lagrer brukerdata. Da har de delt behandlingsansvar! I 2024 er denne forståelsen viktigere enn noen gang før!

Min egen erfaring: Jeg jobbet med et prosjekt i 2023 hvor to selskaper hadde delt behandlingsansvar. Det var mye frem og tilbake med avtaler og retningslinjer. For å få det til å funke bra, trengs god kommunikasjon og en klar avtale om fordeling av ansvar og rettigheter! Det lærte jeg den harde veien!

Konsekvenser av manglende avtale: Uenighet om ansvar. Problemer i tilfelle brudd på GDPR. Store bøter! Husk at dette kan bli svært dyrt!

Hvem kan være behandlingsansvarlig?

  • Sjefen sjøl! Tenk Donald Trump med slips og dress, men litt mer… norsk. Altså, den som bestemmer hva som skjer med dataene dine, som en smågal dirigent med et orkester av data. Min sjef? Elsker jazz, hater ananas på pizza. Relevant? Nei. Morsomt? Ja!

  • Offentlig myndighet. Som å prøve å få tak i noen på NAV. Du vet, mye venting. De bestemmer hva som skjer med dataene dine, omtrent som en gjerrig bestemor med godteriposen sin. Min lokale NAV-kontor? Lukter litt for mye kaffe. Igjen, relevant? Nei.

  • Selskap. Facebook, Google, you name it. Suger opp dataene dine som en støvsuger på speed. Jeg bruker DuckDuckGo. Reklame? Nei takk! Men sjefen min? Facebook-avhengig. Sier han “sjekker inn” på jobben hver dag. Ironisk, ikke sant?

  • Organisasjon. Røde Kors, WWF, osv. Samler inn data som en ekorn samler nøtter. Jeg støtter Leger Uten Grenser. De trenger sikkert data om hvor mange bandasjer de bruker. Vet ikke hvorfor jeg tenker på bandasjer akkurat nå.

  • Forening. Borettslaget, fotballklubben, strikkeklubben. Dataene dine er tryggere her enn hos de andre, med mindre du har en skikkelig sladrekjerring i styret. Jeg er med i en dartklubb. Dataene våre er for det meste bare dårlige poengsummer.

  • SMB. Den lokale rørleggeren, frisøren, you name it. De samler sikkert ikke mye data, med mindre du har en veldig interessant hårklipp. Min frisør? Synger alltid falskt til radioen.

  • Statlig organ. Skatt, politi, osv. De vet alt. Jeg betaler alltid skatten min. Alltid. (Bortsett fra den ene gangen…)

    • HOVEDPOENG: Noen må ta ansvar for dataene dine! Tenk på det som en hundebæsj: Noen må plukke den opp. Og det er ikke alltid like gøy.

Hva betyr behandlingsansvar?

Javel, la oss ta et dykk i dette “behandlingsansvar”-greia, da!

  • Behandlingsansvar: Det er som å være kaptein på et skip fullt av… data! Du bestemmer hvor skipet skal (hva dataene skal brukes til), og hvilke kanoer du skal bruke for å komme dit (hvilke verktøy). Du er sjefen over alle sjefene når det gjelder personopplysninger.

Tenk deg at en bedrift er som en kakefabrikk. Behandlingsansvaret? Vel, det er bakeren som bestemmer oppskriften (formålet) og hvilke miksmastere (hjelpemidler) som skal brukes. Om kaken blir vellykket, eller en mislykket pannekake… bakeren får skylda! Litt som da jeg prøvde å lage en sjokoladekake en gang, og det endte opp med å ligne mer på en vulkan etter et utbrudd. Ikke bra. Men hei, jeg lærte i det minste at natron og bakepulver ikke er det samme.

  • Med andre ord: Bedriften er bossen over informasjonen. De bestemmer alt fra A til Å.
  • Hvis de roter det til, ja da er det deres skyld. Ikke skyld på vaktmesteren, liksom.

Så neste gang du hører “behandlingsansvar”, tenk på en kakebaker med altfor mye ansvar på sine (forhåpentligvis) rene hender. Lett som en plett! (Eller… kanskje ikke så lett, men du skjønner poenget).

#Databehandling #Gdpr #Personvern

Gi tilbakemelding på svaret:

Takk for tilbakemeldingen din! Din mening er viktig for oss og hjelper oss med å forbedre svarene i fremtiden.

Vennligst oppgi grunnen: