Behandlingsansvarlig eller databehandler?

Om man er behandlingsansvarlig eller databehandler, eller om det ikke foreligger noe databehandlerforhold overhodet, er ikke alltid enkelt å avgjøre. Jeg har skrevet om dette i en artikkel tidligere, og nå har det britiske datatilsynet, ICO, publiserte retningslinjer/veiledning for forholdet mellom databehandler og behandlingsansvarlig nylig. Her var det tatt inn sjekklister for om man er behandlingsansvarlig eller databehandler som var nyttige. Nedenfor er det tatt inn “fornorskede” versjoner av sjekklistene.

Les merBehandlingsansvarlig eller databehandler?

Ganske Dårlig Personvern Rådgivning

Mange gir velvillig råd om personvernforordningen (GDPR) – både mot betaling og ikke. Men alle råd er ikke like gode, og dette kan føre til at data blir slettet unødvendig, det pådras investeringer og kostnader som ikke er nødvendige, og det kan føre til overforsiktig tilnærming til GDPR, som kan føre til redusert omsetning og gale beslutninger. Det som ikke så mange er klar over, er risikoen ved å gi juridiske råd, både straffe- og erstatningsmessig, og at de som får rådene har færre muligheter til å fremme krav om rådene er feil.

Les merGanske Dårlig Personvern Rådgivning

Varsel til Datatilsynet om personvernbrudd

Skjer det et brudd på personopplysningssikkerheten (personvernbrudd), skal dette varsles til Datatilsynet uten ugrunnet opphold og om mulig innen 72 timer. Ved et personvernbrudd tikker altså klokka, og ting må skje rimelig raskt og effektivt. Det må innhentes informasjon, vurderes om det skal sendes varsel til Datatilsynet, vurderes hvem som skal varslet, innholdet i varsel, og ikke minst sende inn varselet. Det vil trolig komme inn nær 1000 varsler til Datatilsynet innen årets utløp. Nedenfor gis det en oversikt over reglene for varsel, slik at man har en oversikt når det må vurderes å sendes et varsel. Det er imidlertid vanskelig å arbeide med varselet i Altinn, og du finner derfor et arbeidsdokument for varsel til slutt i artikkelen.

Les merVarsel til Datatilsynet om personvernbrudd

Dokumentasjon på at behandling av personopplysninger skjer etter reglene i GDPR

Etter GDPR skal det kunne dokumenteres at behandlingen skjer etter reglene i GDPR og at det er gjennomført organisatoriske og tekniske tiltak for å sikre personopplysningene.

Hva som ligger kravet til dokumentasjon er ikke klart etter GDPR, og det er nok mange behandlingsansvarlige som ikke har dokumentasjonen på plass.

Les merDokumentasjon på at behandling av personopplysninger skjer etter reglene i GDPR

Sett eposter for sletting og lag slettepolicy i Outlook for å håndtere ustrukturerte personopplysninger

Ustrukturerte personopplysninger (dvs. personopplysninger som ikke er organisert etter navn eller andre kriterier, som personopplysninger i epost, dokumenter på filområder mv.) er en utfordring for pliktene etter GDPR.

Les merSett eposter for sletting og lag slettepolicy i Outlook for å håndtere ustrukturerte personopplysninger

Veileder om behandlingsansvarlig og databehandler fra Datatilsynet

Hvem som skal anses som behandlingsansvarlig og hvem som er databehandler, og om det overhodet foreligger et databehandlerforhold, er ikke enkle spørsmål å besvare.

Les merVeileder om behandlingsansvarlig og databehandler fra Datatilsynet

Første generelle rapport etter tilsyn under GDPR klar i Sverige med mange brudd

Den svenske Datainspektionen har hatt tilsyn i 412 selskaper og offentlige myndigheter for å undersøke om det er utnevnt og registrert personvernombud etter reglene i GDPR.

Les merFørste generelle rapport etter tilsyn under GDPR klar i Sverige med mange brudd

Hvor går Datatilsynet videre?

I et innlegg på Personvernbloggen går Datatilsynets direktør Bjørn Erik Thon gjennom de viktigste personvernhendelsene det siste året og erfaringer fra Datatilsynet. I innlegget kommer det også frem noen viktige “takeaways”.

Les merHvor går Datatilsynet videre?