Personopplysningsloven gjør forordningen, med enkelte tilpasninger, til norsk lov. Forordningen stiller nye og spesifikke krav til at det skal inngås en skriftlig databehandleravtale mellom behandlingsansvarlig, altså bedrifter som har personopplysninger gjennom driften av sin virksomhet, samt databehandleren, som håndterer persondataene for behandlingsansvarlig. Regelverket har betydning for svært mange bedrifter, herunder alle som ikke har egne servere, eller samler inn data via nettsider, som andre håndterer for dem.
20. juli 2018 trådte loven i kraft
Personopplysningsloven er en henvisningslov, som med noen få og små unntak, gjør forordningen til gjeldende norsk rett – fra 20. juli 2018. Har du sjekket at du har en lovpålagt databehandleravtale? Hvis du har det, har du fulgt opp at den er oppdatert på alle de rettigheter og plikter som skal reguleres? Å sikre at en har en oppdatert databehandleravtale er nødvendig for å oppfylle kravene i den nye personopplysningsloven. Hvis dine avtaler ikke er i samsvar med loven risikerer du høye bøter, i tillegg til omdømmetap. Bøtenivået er vesentlig forhøyet sammenlignet med nivået før forordningen.
Behandlingsansvarlige
Forordningen stiller som nevnt krav om at det er inngått en skriftlig, forpliktende avtale mellom behandlingsansvarlige, som bestemmer at dataene skal innhentes og hvordan de skal brukes, og databehandler.
Avtalen skal regulere databehandlers håndtering av personopplysninger på vegne av den behandlingsansvarlige.
Databehandler skal blant annet gi tilstrekkelige garantier for at de vil gjennomføre egnede tekniske og organisatoriske tiltak som sikrer at behandlingen oppfyller kravene i forordningen og vern av den registrertes rettigheter.
Avtalen skal også beskrive hensikten med, og varigheten av behandlingen, behandlingens formål og art, typen personopplysninger og kategorier av registrerte.
Plikter
Databehandleren plikter blant annet, jf. forordningens artikkel 28 nr. 4:
- å bare behandle personopplysningene på dokumenterte instrukser fra den behandlingsansvarlige, herunder også når det gjelder overføring av personopplysninger til en tredjestat eller en internasjonal organisasjon.
- å sikre at personer som er autorisert til å behandle personopplysningene, har forpliktet seg til å behandle opplysningene fortrolig eller er underlagt en egnet lovfestet taushetsplikt
- å treffe alle tiltak som er nødvendig i henhold til artikkel 32, om sikkerhet
- å bistå den behandlingsansvarlige med å oppfylle vedkommendes plikt til å svare på anmodninger som den registrerte inngir for å utøve sine rettigheter
- å bistå den behandlingsansvarlige med å sikre overholdelse av forpliktelsene i henhold til artikkel 32-36
- å slette eller tilbakelevere alle personopplysninger til den behandlingsansvarlige etter at tjenestene knyttet til behandlingen er levert, og slette eksisterende kopier og gjøre tilgjengelig for den behandlingsansvarlige all informasjon som er nødvendig for å påvise at forpliktelsene i forordningen er oppfylt
Les også vår artikkel om muligheter og fallgruver med big data og vår juridiske huskeliste med hensyn til GDPR.
Underleverandører
Rett til og begrensninger i muligheten for bruk av underleverandør reguleres spesielt i forordningen, noe som også skal reguleres i databehandleravtalen.
Avtalen skal også regulere varighet, og bør omfatte rettigheter og plikter ved opphør, hvordan meldinger skal gis, om lovvalg og verneting.
Codex Advokat bistår med utarbeidelse av databehandleravtaler. Vi yter også rådgivning tilpasset det behov bedriftene har behov for.
