Må vi ha en databehandleravtale med kundene våre?

Image Credit: Pixabay.com / CC0 Public Domain

De nye personvernreglene (GDPR) har generert mange nye oppgaver. Reglene trådte i EU i kraft den 25. mai i år, mens det i Norge ser ut til å tre i kraft i løpet av august. Et av spørsmålene som har dukket opp i vår bransje er behovet for databehandleravtale.

Den sendingsinformasjon vi får fra kundene inneholder som regel navn, adresse, epost, telefonnummer og leveringstid.

Ettersom vi får disse opplysningene fra vår kunde, har mange hittil antatt at vi må ha en databehandleravtale med kunden. Det er i så fall kundens ansvar å få frem en slik avtale.

For en logistikkbedrift med mange kunder vil det være svært krevende å forholde seg til mange ulike krav, f.eks. sikkerhetsanalyser, slettetidspunkter og ansvar. Mange la derfor opp til at logistikkbedriftene selv foreslo sin standard.

Nå har det blitt reist spørsmål om vi som logistikkbedrift egentlig er databehandler for vår kunde eller om vi isteden selv skal opptre som behandler. Det betyr at kunden er behandler og vi er behandler og at det mellom kunde og oss ikke er nødvendig med databehandleravtale.

Det gjør det nok mye enklere og vi må derfor fortelle kundene hvorfor og hva dette betyr.

Hvorfor:

De sendingsdata vi mottar gir oss de data vi trenger for at vi skal få utføre våre egne oppdrag på korrekt måte. Vi opptrer altså selvstendig og vi påser at disse opplysningene behandles på riktig måte i forhold til personvernregelverket. Vi bestemmer da f eks hvor lenge vi skal ha opplysningene før de blir slettet.

Man kan utdype dette med at hoveddelen av tjenesten er forsendelsen og vår bearbeiding er bare en liten del av tjenesten. Vi har kontrollen på de opplysningene vi trenger og vi bestemmer også hvordan behandlingen skjer. Vi opptrer selvstendig.

Derfor har f eks Posten/Bring, Schenker og PostNord med flere funnet det korrekt at vi opptrer som behandler.

Hva det betyr:

Kundene bør da sammen med beskjeden om hvorfor vi er behandler, også bli gjort kjent med speditørens personvererklæring.

Konsekvensen for oss er at dersom det begjæres innsyn i opplysninger som vi har lagret må vi selv besvare henvendelsen og ved avvik må vi selv melde avviket til datatilsynet.

Kontaktperson: tom.rune.nilsen@nholt.no

Daglig leder SKconsult. Redaktør logjobb.no

Vær den første til å kommentere

Skriv en respons

Epostadressen din vil ikke vises.


*


Dette nettstedet bruker Akismet for å redusere spam. Lær om hvordan dine kommentar-data prosesseres.