Virksomheten har behandlingsansvaret

Når det gjelder behandling av personopplysninger og behandlingsansvar gjelder de samme reglene for leverandører av elektroniske tjenester på internett som for mer tradisjonelle virksomheter.

Det er den behandlingsansvarlige som velger å ta i bruk skytjenesten. Hvis tjenesten gjennomfører en behandling på vegne av den behandlingsansvarlige, er leverandøren å anse som en databehandler. Datatilsynet anser derfor en leverandør av skytjenester som en databehandler, uavhengig av hvilken tjeneste som leveres.

En databehandler kan ikke behandle personopplysninger på annen måte enn det som er avtalt med den behandlingsansvarlige, jf. personopplysningsloven § 15. Databehandleren plikter i tillegg å gjennomføre sikringstiltak som følger av personopplysningsloven § 13 og forskriftens kapittel 2. En databehandleravtale fritar ikke behandlingsansvarlig for lovfestet juridisk ansvar.

Datatilsynet har laget en veileder om databehandleravtaler. Den inneholder blant annet eksempler på avtaleskisser. I avtaleskissen og veilederen finnes oversikt over minimumskravene som Datatilsynet forventer at en slik avtale inneholder.

Det kan være andre punkter som tilkommer selve avtalen, men det er avhengig av internkontrollen til den behandlingssansvarlige som kjøper tjenesten. Noen slike punkter kan være sikkerhetskopiering, sletting, tilgangsstyring og segmentering av databaser.