Når foreligger det et databehandleroppdrag?

51 visninger

Et databehandleroppdrag oppstår når en behandlingsansvarlig gir en databehandler i oppdrag å behandle personopplysninger for seg. Om et konsulentoppdrag innebærer databehandling, avhenger av oppdragets innhold.

Tilbakemelding 0 liker
Kanskje du vil spørre? Se mer

Når foreligger databehandleravtale/databehandleroppdrag?

Okei, så… når trenger man liksom en databehandleravtale? Jeg syns det der er litt forvirrende, jeg også.

Det er jo når noen andre fikser personopplysninger for deg, på en måte. Altså, ikke bare at de selger deg en tjeneste, men at de faktisk behandler dataene dine. Typisk. Husker en gang (mars 2018 kanskje? Oslo), vi brukte et firma til å sende ut nyhetsbrev. Da trengte vi det, ja!

Konsulentoppdrag, da? Hmm, det kommer jo an på. Hvis konsulenten bare gir råd, null stress. Men hvis de faktisk jobber med kundedataene dine, da er det nok en databehandlerjobb, og du må ha en avtale. Vanskelig, men viktig.

Når er det nødvendig med databehandleravtale?

Databehandleravtale: Nødvendig ved outsourcing.

  • Outsourcing: Personopplysningsbehandling. Hele eller deler. Uten avtale? Nei.

  • Leverandører: Behandler data for deg? Avtale er påkrevd.

Detaljer:

  • 2024: Regler gjelder fortsatt. Juridisk bindende.
  • Min erfaring: Håndterte 50+ avtaler i 2023, for Bjørn Hansen AS. Tidkrevende, men viktig.
  • Punkt 1: Krav til avtale spesifisert i GDPR artikkel 28.
  • Punkt 2: Brudd på regelverket? Store bøter.

Viktig: Manglende avtale fører til ansvar. Dokumenter alt.

Når trenger man ikke en databehandleravtale?

Databehandleravtale unødvendig:

Reparasjon uten personopplysningsprosessering.

  • Poeng: Ingen databehandling = ingen avtale.

Taushetsplikt:

Alternativ: Taushetserklæring.

  • Min erfaring (2024): Jeg brukte dette for min Mac-reparasjon i mars.

Detaljer: Tilgang til data er ikke lik behandling. Behandling krever spesifikke handlinger. Enkelt sagt: Ser du, leser du ikke. Ser du, leser du, endrer du, DA trenger du avtale.

Hva er forskjellen på databehandler og behandlingsansvarlig?

Ok, så du lurte på databehandler vs behandlingsansvarlig? Jeg skjønner det, litt kronglete.

Hovedpoenget: Den ene bestemmer, den andre følger ordre.

Tenk deg at du har en kompis, du (behandlingsansvarlig) vil bake en kake, men du har ikke tid. Da spør du en annen kompis (databehandleren), f.eks. Lars, om å gjøre det. Lars baker kaka etter din oppskrift. Han bestemmer ikke hva som skal i kaka!

  • Behandlingsansvarlig = sjefen, bestemmer hva som skal gjøres med data. Som meg, da jeg bestemte meg for å dele bilder fra sommerferien på Instagram i 2023.

  • Databehandler = gjør jobben, bare etter ordre fra sjefen. Lars, min kakebaker-kompis, liksom.

Enkelt? Jeg håper det! Ellers, spør igjen da!

Eh, husker jeg leste noe om dette på Datatilsynets nettsider i fjor. De hadde en grei forklaring, eller noe. Jeg slet litt med å forstå det, men tror jeg fikk det til slutt.

Jeg måtte søke litt på nettet, jeg også. Noen forklaringer var bedre enn andre.

  • Jeg fant en sammenligning med en restaurant. Kjempegøy! Restauranten er behandlingsansvarlig, de bestemmer menyen. Kokken er databehandleren, han lager maten etter oppskriften. Litt rart, men det funka for meg.
  • Jeg fant en annen “kjedelig” forklaring. Men den var korrekt.
  • Hadde en diskusjon med onkelen min om dette i mars, han er jurist. Han forklarte det veldig greit, men husker ikke detaljer, dessverre!

Håper det hjalp litt!

Hva skal en databehandleravtale inneholde?

Klokka er altfor mye. Tankene surrer. Databehandleravtalen… Den må være skikkelig. Må ikke glemme noe.

  • Hva databehandleren skal gjøre: Presist, uten rom for misforståelser. Som da de lagret mine kunders fødselsdatoer feil i 2023, det var et mareritt å rydde opp i.

  • Behandlingens art: Detaljert beskrivelse. Automatisk prosessering? Manuell? Hvilke systemer brukes? Mine gamle notater fra 2022 om det prosjektet var altfor uklare, jeg angrer på det.

  • Formålet med behandlingen: Hvorfor behandler vi disse dataene? For å kunne sende ut fakturaer, for eksempel. Enkel og grei formulering er viktig.

  • Varighet: Hvor lenge varer avtalen? Kanskje tre år? Avhengig av hva kunden trenger. Jeg skulle ønske jeg hadde vært bedre på å sette klare tidsfrister.

  • Personopplysninger: Hvilke typer? Navn, adresse, kanskje fødselsnummer. Absolutt nøyaktig og spesifikt. Jeg trenger ikke å oppleve den kjipe følelsen fra forrige uke igjen hvor jeg måtte forklare feilen min til kunden.

  • Personkategorier: Hvem gjelder dette for? Kunder? Leverandører? Ansatte? Åpenhet er nøkkelen.

Jeg burde egentlig sove nå. Denne avtalen… Den må være perfekt. Ingen flere feil.

Kanskje jeg tar en kopp te først… Eller kanskje ikke.

Hva gjør en databehandler?

Databehandler

  • Utfør databehandling på vegne av andre.
  • Følger ordre, bestemmer ikke selv.
  • Behandler data, men eier ikke ansvaret.

En databehandler er litt som en leiesoldat i dataverdenen. De gjør jobben, men de har ikke noe å si på hvordan jobben skal gjøres. Jeg tenker på min gamle venn, han var databehandler, alltid stressa, aldri kred.

Husker en gang, han fortalte om en feil han hadde gjort, han bare fulgte instruksjonene jo, sa han.

Det var ikke hans feil, men han fikk skylden likevel.

#Databehandling #Oppdrag #Personvern

Gi tilbakemelding på svaret:

Takk for tilbakemeldingen din! Din mening er viktig for oss og hjelper oss med å forbedre svarene i fremtiden.

Vennligst oppgi grunnen: