Databehandlers behandling av personopplysninger og bruk av databehandler – ny artikkel

Bruk av databehandler og databehandlers behandling av personopplysninger er ikke omfattende behandlet i juridisk teori, til tross for at bruk av databehandler er meget praktisk. Dette blir det en endring på nå, med en omfattende artikkel i siste nummer av Tidsskrift for forretningsjus som behandler temaet.

Emnet for artikkelen er rettslige spørsmål knyttet til bruk av databehandler til behandling av personopplysninger. Med utviklingen innenfor informasjonsteknologi har det blitt svært vanlig at et selskap utfører behandling av data på vegne av et annet selskap eller person. De fleste bedrifter, organisasjoner og offentlige myndigheter benytter seg av en eller flere databehandlere til å behandle sine data, herunder personopplysninger.

Det kan være ulike årsaker til at behandling av personopplysninger overlates til andre, men det kan typisk skyldes at andre har bedre kompetanse eller teknologi, og/eller at dette kan utføres mer kostnadseffektivt av andre. Behandling av data kan også være en konsekvens av andre tjenester eller oppgaver som skal utføres, eksempelvis driftstjenester ved it-system eller lønnsoppgaver for medarbeidere.

Mens det gjelder en rekke strenge krav til behandling av personopplysninger, er det få formelle krav til behandling av personopplysninger på vegne av andre. Få formelle krav kan også forklare hvorfor emnet er lite behandlet i juridisk teori, og at det er få rettskilder på området. Ikrafttredelsen av EUs forordning om personvern den 24. mai 2016 og senere implementering av forordningen til norsk lov, vil imidlertid endre rettskildebildet. Forordningen skal gjelde for EU/EØS-medlemslandene fra 25. mai 2018, og den erstatter EUs personverndirektiv av 1995. Ettersom den norske personvernlovgivningen i stor grad er basert på personverndirektivet, vil forordningen også medføre endringer i norsk lovgivning. Det er imidlertid ikke ventet at forordningen vil medføre omfattende endringer i norsk rett, siden forordningen bygger på de samme grunnprinsipper som er kjent fra personverndirektivet. Forordningen vil gjelde direkte som norsk rett, og det å erstatte personverndirektivet med en forordning, vil innebære en større grad av harmonisering av personvernreglene i EU/EØS enn under personverndirektivet. For næringslivet i Europa – ikke minst for selskaper med virksomhet i flere europeiske land – vil det derfor bli enklere å forholde seg til personvernreglene, siden det bare vil bli ett regelsett å forholde seg til. Forordningen åpner imidlertid for at det kan vedtas særskilt nasjonal lovgivning på noen områder. I den grad forordningen ventes å medføre endringer i norsk rett, er dette forsøkt kommentert nedenfor. Forordningen vil, som nevnt, først få virkning fra 2018 i Norge, og innen den tid vil det bli klart hvordan forordningen vil bli gjennomført i norsk rett. Ettersom forordningen vil få direkte virkning i norsk rett, bør de berørte, som behandlingsansvarlige og databehandlere, benytte muligheten til å iverksette tiltak før forordningen, og eventuell ny lovgivning i Norge, trer i kraft.

Fremstillingen i artikkelen er i det vesentlige basert på dagens lovgivning på området, først og fremst personopplysningsloven og personopplysningsforskriften. De særskilte reglene innenfor spesielle sektorer og bransjer, som helse-, finans-, telesektoren mv., blir ikke gjennomgått.

I artikkelen blir personopplysningslovens virkeområde og system behandlet, hvor det redegjøres for sentrale begrep i personopplysningsloven og personverndirektivet og personvernforordningen, det lovmessige grunnlaget for bruk av databehandler, og grensedragningen mellom den behandlingsansvarlige og databehandleren som er avgjørende for oppgaver databehandleren utfører for den behandlingsansvarlige, blir også behandlet. Behandlingen av personopplysninger databehandleren kan forestå både etter lovverk og etter avtale med den behandlingsansvarlige, gjennomgås også. Krav som stilles til databehandleravtalen, og forhold som bør reguleres i avtalen, behandles. Plikter som tilligger databehandleren, som innsyns- og informasjonsplikt, og en rekke av de konkrete problemstillinger som oppstår for databehandleren, vil behandles i et eget punkt, hvor innsyns- og informasjonsplikter, pålegg fra Datatilsynet, forhold knyttet til informasjonssikkerhet og internkontroll, databehandlerens bruk av underdatabehandler, databehandlerens erstatningsansvar og straff ved overtredelse av regelverket behandles.

I side del behandles bruk av databehandler i andre land enn der den behandlingsansvarlige holder til, herunder overføring av personopplysninger over landegrensene.

Innholdsfortegnelsen til artikkelen kan lastes ned her (pdf)

Artikkelen er tilgjengelig her. 

Bli den første til å kommentere på "Databehandlers behandling av personopplysninger og bruk av databehandler – ny artikkel"

Legg inn en kommentar

Ikke gå glipp av noe!

Motta nyhetsbrev fra Teknologirett: