Til Datatilsynet

Til startsiden til Datatilsynet

Veileder

Databehandleravtale

Behandlingsansvarlig eller databehandler?

Hvem har behandlingsansvaret, og hvem er databehandleren? Vi har laget noen eksempler.

Eksempel 1

Når en kommune eller bedrift kjøper datalagringstjenester hos noen som tilbyr dette, og det skal lagres blant annet personopplysninger, må en databehandleravtale være på plass. Kommunen eller bedriften er dermed den behandlingsansvarlige part, mens tjenesteleverandøren er databehandler på vegne av kommunen/bedriften. Det kan være en leverandør av lønn- og personalsystemer hvor dataserveren er plassert hos leverandøren, som i tillegg drifter løsningen for kommunen eller bedriften.

Eksempel 2

Folkehelseinstituttet er databehandler for en rekke virksomheter i forbindelse med rustesting: Politi og domstoler, Kriminalomsorgen og landets kommuner (barnevern, LAR), og en rekke ulike arbeidsgivere. Folkehelseinstituttet har med andre ord databehandleravtaler med hver enkelt behandlingsansvarlige virksomhet de behandler data på vegne av.

Eksempel 3

Et helseforetak som for eksempel Oslo Universitetssykehus har en rekke forskjellige databehandleravtaler med ulike tjenesteleverandører. Utformingen av avtalene vil variere. Den vil være avhengig av formålet med behandlingen av personopplysninger (for eksempel forskning), om dataene er sensitive eller ikke-sensitive, og av om data skal behandles innenfor eller utenfor landegrensene.

Veileder navigasjon

3. Behandlingsansvarlig eller databehandler?