Behandlingsgrunnlag
Det første prinsippet for behandling av personopplysninger er at behandlingen skal være lovlig (EUs Personvernforordning, artikkel 5). Det betyr at vi må ha et behandlingsgrunnlag (EUs Personvernforordning, artikkel 6). Behandling av personopplysninger i forskning er bare lovlig dersom og i den grad minst ett av følgende villkår er oppfylt:
a) den registrerte har samtykket til behandlingen av sine personopplysninger for ett eller flere spesifikke formål
e) behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt
Roller og ansvar
Behandlingsansvarlig
Den behandlingsansvarlige er den som bestemmer den som bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes (EUs Personvernforordning, artikkel 24).
Databehandler
Databehandler er den som behandler personopplysningene på vegne av den behandlingsansvarlige (EUs Personvernforordning, artikkel 28).
Databehandleravtale
Dersom man skal benyttes seg av en databehandler må man ha en databehandleravtale (EUs Personvernforordning, artikkel 28) som beskriver selve behandlingen, den behandlingsansvarliges plikter og rettigheter, samt databehandlerens forpliktelser.
HiØs mal for databehandleravtale: databehandleravtalemal_hiof.docx