Hvem har formelt ansvaret for at et selskap overholder personopplysningsloven?

22 visninger

Styret har det formelle ansvaret for at selskapet følger personopplysningsloven. Dette innebærer å sørge for rutiner, kontroll og opplæring. Daglig leder har et operativt ansvar for å iverksette styrets beslutninger. Ansvaret er likevel delt mellom ulike roller i organisasjonen.

Tilbakemelding 0 liker
Kanskje du vil spørre? Se mer

Hvem har ansvar for GDPR-overholdelse?

Styret, ja. De sitter liksom på toppen. Husker da vi i fjor, juni, diskuterte GDPR på styremøte i Oslo. Kaffe og kjeks, litt sånn anspent stemning.

Daglig leder, stakkars. Hun må jo sørge for at alt går som smurt. Implementere, liksom. Masse nye systemer og greier.

Vi andre da. Jeg, for eksempel, jobber med markedsføring. Må passe på hva jeg sender ut av e-poster og sånn. Litt forvirrende. GDPR, altså. Alle har liksom litt ansvar. Rart.

Husker vi hadde kurs, 20. oktober i fjor, på Clarion Hotel, Trondheim. Husker ikke prisen. Mye snakk om “kollektivt ansvar”.

Hvem er behandlingsansvarlig i GDPR?

  • Den behandlingsansvarlige bestemmer hvorfor og hvordan data behandles. Litt som å bestemme hva en skal bake og hvilke ingredienser en skal bruke.

  • Det kan være… mangt. En liten bedrift. Et stort selskap. En person. En organisasjon.

  • Jeg tenker på den lille blomsterbutikken nede i gata. Hun som eier den, er nok behandlingsansvarlig for kundenes adresser. Hun vet hvorfor hun samler dem inn: for å sende blomster. Og hvordan: via et enkelt regneark.

  • Eller staten. Eller min lokale matbutikk. Det er ikke alltid så lett å vite hvem som virkelig bestemmer.

  • De kan være både en person og en ting, som en offentlig etat eller noe mer komplisert.

Hvem er behandlingsansvarlig og hvem er databehandler?

Hvem bestemmer hva som skjer med dataene? Den behandlingsansvarlige, selvsagt! Tenk sjefen som bestemmer alt. Databehandleren er mer som en assistent, som følger instruksjoner. Som min venn Lars, som hjelper meg med å sortere regninger – han behandler dem, men jeg bestemmer hva som skjer videre.

Hvem er hvem da? Hvem er sjefen, hvem er assistenten? Det avhenger helt av kontrakten, liksom! En enkel analogi: Jeg (behandlingsansvarlig) bestemmer at vi skal ha pizza, mens Lars (databehandler) bestiller den. Jeg bestemmer typen pizza, han ordner levering. Klarer du å følge meg?

  • Behandlingsansvarlig: Eieren av dataene og den som bestemmer formålet med behandlingen. Dette er den viktigste parten.
  • Databehandler: Utfører oppgaver på vegne av den behandlingsansvarlige. Tenk underleverandør. De har ingen selvstendig myndighet til å bestemme hva som skjer med dataene.

Jeg måtte virkelig tenke meg om da jeg leste dette i dag, 2024. Husker jeg sa noe lignende til Anne forrige uke? Ja, men i en litt annen sammenheng. Det hele er jo ganske komplekst, ikke sant? Nesten filosofisk! Livet er som en database, og vi prøver bare å finne ut hvordan alt henger sammen.

Viktig: Husk at denne fordelingen av ansvar er avgjørende for GDPR-samsvar! Det er ikke bare noe man kan ta lett på. En liten feil her kan bli en stor, kostbar katastrofe. Snakk med en jurist hvis du er usikker.

Hva må en databehandleravtale inneholde?

Databehandleravtale. Litt kjedelig, egentlig.

  • Beskrivelse: Hva skal gjøres? Helt konkret.

  • Behandlingens art: Hvor dypt stikker det?

  • Formålet: Hvorfor gidder vi?

  • Varighet: Evigheten? Neppe.

  • Personopplysninger: Hvem sine hemmeligheter?

  • Kategorier: Hvilken type folk?

Det handler om kontroll. Og ansvar. Man kan ikke stole på folk.

#Ansvar #Datavern #Selskap

Gi tilbakemelding på svaret:

Takk for tilbakemeldingen din! Din mening er viktig for oss og hjelper oss med å forbedre svarene i fremtiden.

Vennligst oppgi grunnen: