Hvem har ansvaret for databehandleravtale?

Hvem har ansvaret for databehandleravtalen?

Databehandleravtaler er avgjørende for å sikre at personopplysninger behandles i tråd med GDPR (General Data Protection Regulation). Men hvem bærer egentlig ansvaret for at disse avtalene følges og at personvernreglene overholdes? Svaret er komplisert, og involverer både den behandlingsansvarlige og den databehandleren.

Selv om den behandlingsansvarlige (organisasjonen som bestemmer hvordan personopplysninger behandles) definerer formålet og vilkårene for behandlingen, har databehandleren et betydelig ansvar i å sikre at denne behandlingen skjer korrekt. Databehandleren er den som aktivt utfører behandlingen, og dermed påtar seg en rekke forpliktelser i forhold til GDPR.

Databehandlerens ansvar er avgjørende:

Databehandleren er ansvarlig for å sørge for at behandlingen av personopplysninger skjer i samsvar med de instruksjoner som den behandlingsansvarlige har gitt. Dette inkluderer blant annet:

• Sikkerhetstiltak: Databehandleren må ha og implementere passende sikkerhetstiltak for å beskytte personopplysningene mot uautorisert tilgang, bruk, endring eller avsløring.
• Etterlevelse av GDPR-prinsippene: Databehandleren er forpliktet til å overholde alle GDPR-prinsippene, inkludert prinsippene om rettmessighet, lojalitet og åpenhet.
• Underdatabehandlere: Databehandleren kan benytte seg av andre databehandlere (underdatabehandlere) i prosessen. Databehandleren er likevel ansvarlig for å sikre at disse underdatabehandlerne også overholder GDPR, og at behandlingen skjer korrekt. Dette ansvaret inkluderer å påse at underdatabehandleren har tilstrekkelige sikkerhetstiltak på plass.
• Rapportering av sikkerhetshendelser: Ved brudd eller risiko for brudd må databehandleren umiddelbart rapportere dette til den behandlingsansvarlige og, under visse omstendigheter, til Datatilsynet.

Behandlingsansvarligens ansvar:

Selv om databehandleren bærer det direkte ansvaret for behandlingen, har den behandlingsansvarlige et viktig ansvar i å gi klare instruksjoner og definere behandlingsvilkår som er i tråd med GDPR. Den behandlingsansvarlige må blant annet:

• Gi klare instruksjoner: Den behandlingsansvarlige må sørge for at instruksjonene til databehandleren er klare og tydelige, slik at databehandleren vet hva som skal gjøres.
• Overvåke databehandlerens etterlevelse: Den behandlingsansvarlige har ansvar for å overvåke at databehandleren følger avtalen og GDPR.
• Ta ansvar for avtaler med underdatabehandlere: Den behandlingsansvarlige bør kreve informasjon om underdatabehandlere og bekrefter at databehandleren følger opp for deres GDPR-etterlevelse.

Erstatningsansvar:

Ved brudd på avtalen eller GDPR, kan både den databehandleren og den behandlingsansvarlige bli holdt ansvarlig for erstatning til skadelidte. Databehandleren er i mange tilfeller primært ansvarlig for brudd forårsaket av seg selv eller underdatabehandlere. Men den behandlingsansvarlige kan også bli ansvarlig dersom de ikke har overvåket databehandleren tilstrekkelig eller dersom de ikke har gitt tilstrekkelige og tydelige instruksjoner.

Konklusjon:

Databehandleravtaler har et komplekst ansvarsskjema. Både den behandlingsansvarlige og databehandleren har viktige roller og ansvar for å sikre GDPR-etterlevelse. Databehandleren har det direkte ansvaret for behandlingen, og dermed for å overholde alle de nødvendige forpliktelser, og også for underdatabehandlere. Den behandlingsansvarlige har ansvar for å gi klare instruksjoner og overvåke etterlevelsen. Ved brudd kan begge partene bli holdt ansvarlig for erstatning.

#Avtale #Dataansvarlig #Databehandler