Kort svar
Mange avtaler bruker ordet databehandler automatisk, men rollevalget må bygge på hvem som faktisk bestemmer formål og midler for behandlingen.
Før dere setter behandlingen i drift eller svarer den registrerte, bør dere ha kontroll på hvem som bestemmer formålet med behandlingen, hvem som bestemmer de viktigste midlene i behandlingen og hvordan rollevalget skal speiles i avtaler og praksis.
Når dette blir aktuelt
- når virksomheten kjøper eller leverer tjenester som behandler personopplysninger
- når standardavtalen ikke passer den faktiske rollen
- når ansvarsdeling mellom partene er uklar
Det bedriften bør avklare først
| Spørsmål | Hvorfor det betyr noe |
|---|---|
| Hvem som bestemmer formålet med behandlingen | avgjør om virksomheten er behandlingsansvarlig eller databehandler |
| Hvem som bestemmer de viktigste midlene i behandlingen | er viktig for å forstå hvor ansvaret ligger |
| Hvordan rollevalget skal speiles i avtaler og praksis | reduserer risikoen for at kontrakten sier én ting og virkeligheten en annen |
Slik bør dere gå fram
- Beskriv hva behandlingen går ut på og hvem som faktisk bestemmer hvorfor den skjer.
- Test om leverandøren bare utfører instruks, eller om den bruker opplysningene til egne formål.
- Tilpass avtalen og interne rutiner til den rollen dere faktisk har.
- Revider vurderingen hvis tjenesten eller databruken endrer seg over tid.
Dokumenter og spor som bør være på plass
I personvernspørsmål er det ofte kombinasjonen av formål, tilgangsstyring og dokumentasjon som avgjør om rutinen holder.
- beskrivelse av behandlingen og tjenesteflyten
- avtaler og vedlegg som regulerer instrukser og ansvar
- intern vurdering av rollefordelingen
- oversikt over underleverandører eller andre involverte parter
Typiske feil
- ordet databehandler brukes fordi det høres trygt ut, ikke fordi det er riktig
- rollen i kontrakten stemmer ikke med hvordan tjenesten faktisk leveres
- ingen oppdaterer vurderingen når tjenesten utvikler seg
Når bør dere få konkret hjelp?
Når tjenesten er kompleks eller flere parter bruker opplysningene på ulike måter, bør rollefordelingen kvalitetssikres før kontrakter og rutiner låses.
Slik bruker dere guiden i praksis
For en bedrift er ikke målet å lese seg opp på behandlingsansvarlig eller databehandler i seg selv. Målet er å avklare hva som må besluttes, hvem som eier oppfølgingen, og hvilke dokumenter som bør tåle en senere kontroll, tvist eller intern gjennomgang.
Bruk derfor guiden som en arbeidsliste: start med formål, datatyper, tilgang, leverandører og sletterutiner, og fordel deretter oppgavene mellom systemeier, ledelse og den som eier kundereisen eller HR-prosessen. Da blir vurderingen mer konkret enn en generell regelavklaring, og dere reduserer risikoen for for brede datainnsamlinger, uklare leverandørroller og svak håndtering av innsyn eller brudd.
Spørsmål som gir bedre avklaring
- Hvilke personopplysninger behandles, og hvilket konkret formål støtter de?
- Hvem bestemmer bruken av opplysningene, og hvem behandler dem på vegne av bedriften?
- Hvilke systemer, leverandører og tilganger må inngå i vurderingen?
- Hva sier rutinen om informasjon, innsyn, sletting og avvik?
- Hvilke valg bør dokumenteres slik at de kan forklares ved kontroll eller spørsmål?
Et godt beslutningsgrunnlag bør vise
| Del | Hva bør stå klart |
|---|---|
| Formål | hvorfor opplysningene brukes, og om bruken er nødvendig |
| Roller | hvem som bestemmer behandlingen, og hvem som leverer systemer eller tjenester |
| Kontroll | hvordan tilgang, sletting, innsyn og avvik følges opp i praksis |
Denne typen oversikt gjør det enklere å prioritere riktig nivå på arbeidet. Den hjelper også bedriften å skille mellom det som kan løses med bedre intern rutine, det som bør avklares med motpart eller leverandør, og det som bør vurderes før dere tar neste formelle steg.
Relaterte guider
- Tilgangsstyring ved fratreden: hvordan sikre data når noen slutter?
- Databrudd hos databehandler: hvem gjør hva?
- Backup, logg og arkiv: hvordan passer det med sletterutiner?