Innhold

Kan vi outsource alt som har med personvern og GDPR å gjøre?

Nei. Selv om man bruker systemløsninger, konsulenter eller annen ekstern hjelp, har bedriften selv ansvaret for å følge reglene. Bedriften regnes som "behandlingsansvarlig" etter loven. Det vil si at det er bedriften som skal bestemme formålet med behandlingen av personopplysninger, og det er bedriften som bestemmer hvilke hjelpemidler som skal brukes.

Det er ikke noe i veien for at bedriften benytter systemløsninger eller lar andre – såkalte "databehandlere" – stå for behandlingen av opplysninger på vegne av bedriften. Siden poenget med reglene er å verne privatpersoner, må bedriften sørge for at også den eksterne databehandleren følger reglene. Det må være en skriftlig avtale mellom bedriften og databehandleren.