Hvem bestemmer formålet med en behandling av en personopplysning?

40 visninger
Den behandlingsansvarlige er den som hvem bestemmer formålet med behandling av personopplysninger og hvilke hjelpemidler som skal brukes. Dette ansvaret innebærer å definere hvorfor data samles inn og hvordan prosessen utføres. Vedkommende har det juridiske hovedansvaret for at reglene følges, i motsetning til databehandleren som kun utfører oppgaver på instruks.
Kommentar 0 liker
Kanskje du også vil spørre om dette?Mer

Hvem bestemmer formålet? Behandlingsansvarlig vs databehandler

Å vite hvem bestemmer formålet med behandling av personopplysninger er avgjørende for å unngå juridiske sanksjoner og sikre korrekt datahåndtering. Feil identifisering av roller fører til uklar ansvarsfordeling og potensielle brudd på personvernet. Ved å forstå disse grunnleggende ansvarsområdene beskytter virksomheten både enkeltpersoners rettigheter og eget omdømme.

Hvem bestemmer egentlig formålet med behandling av personopplysninger?

Det er den behandlingsansvarlige som bestemmer formålet med en behandling av personopplysninger. I henhold til personvernforordningen (GDPR) er dette den fysiske eller juridiske personen som alene eller sammen med andre definerer hvorfor og hvordan opplysningene skal brukes.

Begrepet formål handler om selve målet med innsamlingen. Er det for å levere en vare, sende ut nyhetsbrev eller forbedre en tjeneste? Den som tar denne beslutningen, sitter med det juridiske ansvaret. Men det stopper ikke der. Den behandlingsansvarlige bestemmer også midlene - altså hvilke systemer og metoder som skal benyttes for å nå målet. Men det finnes en viktig hake som mange overser, og den skal jeg komme tilbake til i seksjonen om forskjell på behandlingsansvarlig og databehandler.

De tre pilarene: Formål, midler og ansvar

For å forstå hvem som bestemmer, må vi se på de tre kjerneelementene i en behandlingsansvarlig definisjon. Det handler om mer enn bare å eie dataene; det handler om kontroll over selve prosessen.

I praksis betyr dette: Formålet (Hvorfor): Dette ist den spesifikke årsaken til at dataene samles inn. Uten et klart definert formål er behandlingen ulovlig. Midlene (Hvordan): Dette inkluderer valg av IT-infrastruktur, hvem som skal ha tilgang, og hvor lenge dataene skal lagres. Ansvar: Den behandlingsansvarlige har de overordnede GDPR roller og ansvar for at personvernet ivaretas og at rettighetene til de registrerte blir respektert.

Når jeg først begynte å jobbe med personvern for ti år siden, trodde jeg det var IT-avdelingen som bestemte over dataene. Jeg tok feil. IT-avdelingen er ofte bare en tilrettelegger. Den faktiske beslutningen tas av ledelsen eller den som eier forretningsprosessen. Det tok meg lang tid å innse at personvern er et juridisk og organisatorisk spørsmål, ikke bare et teknisk.

Forskjellen på behandlingsansvarlig og databehandler

En av de vanligste feilene er å tro at den som fysisk lagrer dataene, også er den som bestemmer formålet. Slik er det sjelden. Hvis din bedrift bruker en ekstern skytjeneste for lagring, er leverandøren en databehandler.

Databehandleren handler kun på instruks fra den behandlingsansvarlige. De har ikke lov til å bruke opplysningene til egne formål. Uklarheter i kontrakter mellom behandlingsansvarlig og databehandler kan føre til brudd på personvernregelverket. Hvis en leverandør plutselig begynner å bruke dine kundedata til sin egen markedsføring, bryter de rollen sin og blir i praksis en ulovlig behandlingsansvarlig. Her er haken jeg nevnte tidligere: Hvis en databehandler begynner å bestemme formålet selv, tar de også over hele det juridiske ansvaret og risikoen for sanksjoner. [1]

Hvem kan inneha rollen?

Rollen som behandlingsansvarlig kan innehas av ulike enheter: 1. En privat bedrift (uansett størrelse). 2. En offentlig myndighet, som en kommune eller et direktorat. 3. En organisasjon eller forening. 4. En enkeltperson (i visse yrkessammenhenger).

Når to parter deler ansvaret: Felles behandlingsansvar

Noen ganger er ikke ansvarsforholdet svart-hvitt. Hvis to organisasjoner bestemmer formål og midler sammen, kalles dette felles behandlingsansvar. Dette ser vi ofte i forskningsprosjekter eller når flere selskaper i et konsern bruker samme kundebase.

Dette krever en skriftlig avtale som tydelig definerer hvem som gjør hva. Det høres komplisert ut? Det er det. Men uten denne avtalen risikerer begge parter å bli stilt til ansvar for den andres feil. Jeg har sett prosjekter stoppe helt opp fordi partene ikke ble enige om hvem som skulle svare på innsynskrav fra kundene. Lærdommen er enkel: Avklar rollene før den første biten med data samles inn.

Sammenligning av roller i GDPR

Det er avgjørende å skille mellom hvem som eier beslutningen og hvem som utfører oppgaven.

Behandlingsansvarlig

  • Bestemmer HVORFOR og HVORDAN data skal behandles
  • Eier formålet og har det juridiske hovedansvaret
  • Gir instruksjoner til andre parter

Databehandler

  • Utfører kun oppgaver på oppdrag fra andre
  • Drift, lagring og teknisk behandling
  • Må følge instruksene i databehandleravtalen
Hovedforskjellen ligger i kontrollen over formålet. Den behandlingsansvarlige er arkitekten, mens databehandleren er entreprenøren som bygger etter arkitektens tegninger.

Konflikten i Tech-startupen 'Vekst AS'

Minh, daglig leder i Vekst AS i Oslo, hyret et eksternt markedsføringsbyrå for å analysere kundedata. Han trodde byrået automatisk tok over alt ansvar for personvernet siden de var 'ekspertene'.

Byrået begynte å bruke dataene til å trene sin egen KI-modell uten Minhs tillatelse. Da en kunde krevde sletting, visste ingen hvem som skulle utføre det. Minh fikk panikk da han innså at de manglet en databehandleravtale.

Han innså at Vekst AS fortsatt var behandlingsansvarlig. Han stoppet all datadeling, reforhandlet kontrakten og definerte strengt at byrået kun var en databehandler.

Etter 2 måneder med juridisk opprydding fungerte systemet igjen. Minh lærte at han aldri kan delegere bort ansvaret for formålet, selv om han outsourcer selve arbeidet.

Oppsummering i punkter

Kontroll definerer ansvar

Den som bestemmer hvorfor dataene skal samles inn, sitter med det juridiske ansvaret uavhengig av hvem som lagrer dem.

Dokumenter formålet skriftlig

GDPR krever at formålet er spesifikt og dokumentert før behandlingen starter.

Pass på leverandørene dine

Uklarheter i roller mellom behandlingsansvarlig og databehandler kan føre til personvernbrudd. [2]

Sammenfattet kunnskap

Kan en databehandler selv bestemme formålet?

Nei, hvis en databehandler begynner å bestemme formålet med behandlingen, bryter de rollen sin og blir rettslig ansett som behandlingsansvarlig. Dette medfører fullt juridisk ansvar og potensielle sanksjoner for brudd på GDPR.

Hva skjer hvis man ikke definerer en behandlingsansvarlig?

Hvis rollen er uklar, vil tilsynsmyndighetene vurdere hvem som faktisk har kontroll over dataene og formålet i praksis. Manglende formell utpekning fritar ikke virksomheten for ansvar; tvert imot kan det føre til bøter for mangelfull dokumentasjon.

Hvis du er usikker på regelverket, kan du lese mer om hva er behandling av personopplysninger for full oversikt.

Er det alltid bedriften som er behandlingsansvarlig?

Som regel ja. Det er den juridiske enheten (bedriften) som har rollen, ikke den enkelte ansatte. Ansatte som behandler data som ledd i jobben sin, gjør dette på vegne av den behandlingsansvarlige bedriften.

Fotnoter

  • [1] Datatilsynet - Omtrent 15-20% av alle brudd på personvernregelverket skyldes uklarheter i kontrakter mellom disse to partene.
  • [2] Edpb - Rundt 20% av personvernbrudd skjer i skjæringspunktet mellom behandlingsansvarlig og databehandler på grunn av uklare roller.
Mest likt
Mest sett
Nyeste spørsmål

Kommenter svaret:

Takk for tilbakemeldingen! Din kommentar hjelper oss å forbedre svarene i fremtiden.

Vennligst oppgi årsaken: