GDPR Artikkel 24. Den behandlingsansvarliges ansvar

Sammendrag: Den behandlingsansvarlige skal sørge for tilstrekkelige tekniske og organisatoriske sikringstiltak, herunder egnede retningslinjer, for behandlingen. Tiltakene er avhengig av hvilken behandling som gjøres, samt omfang, formål og kontekst, og risikoen som behandlingen medfører for personvernet.

Relevante bestemmelser

Primære fortalepunkter

Behandlingsansvarliges plikt til tiltak og dokumentasjon om etterlevelse*

74. Den behandlingsansvarliges ansvar og erstatningsansvar for enhver behandling av personopplysninger som utføres av eller på vegne av vedkommende, bør fastsettes. Den behandlingsansvarlige bør særlig ha plikt til å gjennomføre egnede og effektive tiltak og påvise at behandlingsaktivitetene oppfyller kravene i denne forordning, herunder at tiltakene er effektive. Nevnte tiltak bør ta høyde for behandlingens art, omfang, formål og sammenhengen den utføres i, samt risikoene for fysiske personers rettigheter og friheter.
_{*ikke offisiell overskrift}

Risiko ved behandling av personopplysninger*

75. Behandling av personopplysninger kan føre til at det oppstår risikoer av varierende sannsynlighet og alvorlighetsgrad for fysiske personers rettigheter og friheter som kan medføre fysisk, materiell eller ikke-materiell skade, særlig når behandlingen kan føre til forskjellsbehandling, identitetstyveri eller -bedrageri, økonomisk tap, skade på omdømme, tap av konfidensialitet for taushetsbelagte personopplysninger, uautorisert oppheving av pseudonymisering eller andre betydelige økonomiske eller sosiale ulemper, når de registrerte kan bli fratatt sine rettigheter og friheter eller bli hindret i å utøve kontroll over egne personopplysninger, når behandlingen gjelder personopplysninger om rasemessig eller etnisk opprinnelse, politisk oppfatning, religion eller filosofisk overbevisning, fagforeningsmedlemskap, og behandling av genetiske opplysninger, helseopplysninger, seksuelle forhold eller straffedommer og lovovertredelser eller tilknyttede sikkerhetstiltak, når personlige aspekter vurderes, særlig for å analysere eller forutsi aspekter som gjelder arbeidsprestasjoner, økonomisk situasjon, helse, personlige preferanser eller interesser, pålitelighet eller atferd, plassering eller bevegelser, for å opprette eller bruke personlige profiler, når sårbare fysiske personers, særlig barns, personopplysninger behandles, eller når behandlingen omfatter en stor mengde personopplysninger og berører et stort antall registrerte.
_{*ikke offisiell overskrift}

Vurdering av risiko*

76. Hvor sannsynlig og alvorlig risikoen for den registrertes rettigheter og friheter er, bør fastslås ut fra behandlingens art, omfang, formål og sammenhengen den utføres i. Risikoen bør vurderes ut fra en objektiv vurdering der det fastslås om behandlingen av personopplysningene innebærer en risiko eller en høy risiko.
_{*ikke offisiell overskrift}

Risikovurdering og sikkerhetstiltak*

83. For å opprettholde sikkerheten og hindre at behandlingen er i strid med denne forordning bør den behandlingsansvarlige eller databehandleren vurdere de iboende risikoene forbundet med behandlingen og gjennomføre tiltak for å begrense disse, f.eks. kryptering. Nevnte tiltak bør sørge for et egnet sikkerhetsnivå, herunder et egnet nivå av konfidensialitet, idet det tas hensyn til den tekniske utviklingen og gjennomføringskostnadene i forbindelse med risikoene samt arten av personopplysningene som skal vernes. Når risikoen for datasikkerheten vurderes, bør det tas hensyn til risikoene forbundet med behandling av personopplysninger, f.eks. utilsiktet eller ulovlig tilintetgjøring, tap, endring, ikke-autorisert utlevering av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet, som særlig kan føre til fysisk, materiell eller ikke-materiell skade.
_{*ikke offisiell overskrift}

Andre aktuelle fortalepunkter

Fordeling av ansvar*

79. Vern av de registrertes rettigheter og friheter samt de behandlingsansvarliges og databehandleres ansvar, herunder i forbindelse med tilsynsmyndighetenes tilsyn og tiltak, krever en tydelig fordeling av ansvar i henhold til denne forordning, herunder når den behandlingsansvarlige fastsetter formålene med og midlene for behandlingen sammen med andre behandlingsansvarlige, eller når en behandlingsaktivitet utføres på vegne av en behandlingsansvarlig.
_{*ikke offisiell overskrift}

Vurdering av personvernkonsekvenser (DPIA)*

84. For å bedre overholdelsen av denne forordning i tilfeller der det er sannsynlig at behandlingsaktiviteter vil medføre en høy risiko for fysiske personers rettigheter og friheter, bør den behandlingsansvarlige ha ansvar for å foreta en vurdering av personvernkonsekvenser for særlig å vurdere risikoens opprinnelse, art, særegenhet og alvorlighetsgrad. Det bør tas hensyn til utfallet av vurderingen ved fastsettelse av egnede tiltak som skal treffes for å påvise at behandlingen av personopplysningene oppfyller kravene i denne forordning. Dersom det framgår av nevnte konsekvensvurdering at behandlingsaktivitetene innebærer en høy risiko som den behandlingsansvarlige ikke kan begrense ved å treffe egnede tiltak, idet det tas hensyn til tilgjengelig teknologi og gjennomføringskostnadene, bør tilsynsmyndigheten rådspørres før behandlingen finner sted.
_{*ikke offisiell overskrift}

Engelsk tekst

Article 24. Responsibility of the controller

1. Taking into account the nature, scope, context and purposes of processing as well as the risks of varying likelihood and severity for the rights and freedoms of natural persons, the controller shall implement appropriate technical and organisational measures to ensure and to be able to demonstrate that processing is performed in accordance with this Regulation. Those measures shall be reviewed and updated where necessary.

2. Where proportionate in relation to processing activities, the measures referred to in paragraph 1 shall include the implementation of appropriate data protection policies by the controller.

3. Adherence to approved codes of conduct as referred to in Article 40 or approved certification mechanisms as referred to in Article 42 may be used as an element by which to demonstrate compliance with the obligations of the controller.

1. Idet det tas hensyn til behandlingens art, omfang, formål og sammenhengen den utføres i, samt risikoene av varierende sannsynlighets- og alvorlighetsgrad for fysiske personers rettigheter og friheter, skal den behandlingsansvarlige gjennomføre egnede tekniske og organisatoriske tiltak for å sikre og påvise at behandlingen utføres i samsvar med denne forordning. Nevnte tiltak skal gjennomgås på nytt og skal oppdateres ved behov.

2. Dersom det står i et rimelig forhold til behandlingsaktivitetene, skal tiltakene nevnt i nr. 1 omfatte den behandlingsansvarliges iverksetting av egnede retningslinjer for vern av personopplysninger.

3. Overholdelse av godkjente atferdsnormer som nevnt i artikkel 40 eller godkjente sertifiseringsmekanismer som nevnt i artikkel 42 kan brukes som en faktor for å påvise at den behandlingsansvarliges forpliktelser overholdes.

< Artikkel 23 | Artikkel 25 >