Glemt Passord?

Databehandlers ansvar for personopplysninger

Den "behandlingsansvarlige" er den som har bestemmelsesrett over personopplysningene, som bestemmer formålet med behandlingen og hvilke hjelpemidler som skal brukes for å oppnå formålet. Det daglige behandlingsansvaret kan i en kommune delegeres til en underliggende etat, skole eller helseinstitusjon, dvs. til en "dataansvarlig", som er den som behandler personopplysninger på vegne av den behandlingsansvarlige.

Lederen i dette underliggende organet får dermed et selvstendig ansvar for at personopplysningslovens regler blir fulgt. Kommunens ledelse kan imidlertid ikke fraskrive seg sitt "rettslige" behandlingsansvar ved delegeringen. Ved eventuelle lovbrudd er det kommunen, representert ved ordføreren, som er rettslig ansvarlig og som kan saksøkes og pådra seg straffeansvar.

Ansvar for informasjonssikkerhet og dokumentasjon

Jfr. personopplysningslovens § 13 skal:

  • Den behandlingsansvarlige og databehandleren skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger.
  • For å oppnå tilfredsstillende informasjonssikkerhet skal den behandlingsansvarlige og databehandleren dokumentere informasjonssystemet og sikkerhetstiltakene. Dokumentasjonen skal være tilgjengelig for medarbeiderne hos den behandlingsansvarlige og hos databehandleren. Dokumentasjonen skal også være tilgjengelig for Datatilsynet og Personvernnemnda.

Ansvar for internkontroll og dokumentasjon

Jfr. personopplysningslovens § 14 skal:

  • Den behandlingsansvarlige skal dokumentere internkontrolltiltakene. Dokumentasjonen for internkontroll skal være tilgjengelig for medarbeiderne hos den behandlingsansvarlige og hos databehandleren.

Databehandlerens rådighet over personopplysninger

Jfr. personopplysningslovens § 15 skal:

  • En databehandler kan ikke behandle personopplysninger på annen måte enn det som er skriftlig avtalt med den behandlingsansvarlige. Opplysningene kan heller ikke uten slik avtale overlates til noen andre for lagring eller bearbeidelse.
  • I avtalen med den behandlingsansvarlige skal det også gå frem at databehandleren plikter å gjennomføre slike sikringstiltak som følger av personopplysningslovens § 13.