Til Datatilsynet

Til startsiden til Datatilsynet

Veileder

Behandlingsansvarlig og databehandler

Hva er en behandlingsansvarlig?

For å vurdere om du er behandlingsansvarlig må du vite hva slags rolle en behandlingsansvarlig har.



Behandlingsansvarlig er en fysisk eller juridisk person, en offentlig myndighet, en institusjon eller ethvert annet organ som alene eller sammen med andre bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes; når formålet med og midlene for behandlingen er fastsatt i unionsretten eller i medlemsstatenes nasjonale rett, kan den behandlingsansvarlige, eller de særlige kriteriene for utpeking av vedkommende, fastsettes i unionsretten eller i medlemsstatenes nasjonale rett.

- Personvernforordningen artikkel 4 nr. 7

Den behandlingsansvarlige er ansvarlig

Den behandlingsansvarlige er det primære pliktsubjektet etter forordningen, og er overordnet ansvarlig for å overholde personvernprinsippene og regelverket. Dette er grunnet ansvarlighetsprinsippet i forordningens artikkel 5.

Den behandlingsansvarlige er ansvarlig for å behandle personopplysninger på en lovlig, rettferdig og gjennomsiktig måte, ha et behandlingsgrunnlag, behandle personopplysningene på en sikker måte, sikre at de registrerte får utøvd sine rettigheter og en rekke andre plikter.

Den behandlingsansvarlige må derfor sørge for å etablere alle nødvendige organisatoriske og tekniske tiltak for å sikre at regelverket etterleves til enhver tid. Den behandlingsansvarlige må kunne vise at den opptrer i samsvar med reglene. Dette gjelder også med hensyn til forsvarlig valg av databehandler. En behandlingsansvarlig kan med andre ord ikke frasi seg ansvaret for å etterleve regelverket fordi selve behandlingen av personopplysningene skjer hos en annen virksomhet.

Datatilsynet kan ilegge den behandlingsansvarlige sanksjoner, for eksempel overtredelsesgebyr, dersom den ikke overholder regelverket. Enkeltpersoner kan også kreve erstatning fra den behandlingsansvarlige.

Behandlingsansvarlig uavhengig av hva slags virksomhet du er, tjenester du tilbyr og hvordan du er organisert

Det har vanligvis ingen betydning hvordan du er organisert. En behandlingsansvarlig kan både være et enkeltpersonsforetak, et stort konsern, offentlig eller privat virksomhet. Du kan derfor ikke fraskrive deg et behandlingsansvar grunnet organisasjonsform.

Videre kan både juridiske personer og fysiske personer være behandlingsansvarlige. Det vanligste er likevel at den behandlingsansvarlige er en juridisk person.

Det har ingen betydning hva slags virksomhet du er og hva slags tjeneste du eventuelt leverer:

  • en arbeidsgiver er behandlingsansvarlig for opplysningene om sine ansatte
  • en forening er behandlingsansvarlig for opplysningene om sine medlemmer
  • et offentlig organ er ansvarlig for opplysningene de behandler om befolkningen

Virksomheten er ansvarlig

Dersom den behandlingsansvarlige er en juridisk person (en virksomhet) er den juridiske personen behandlingsansvarlig, og ikke enkeltpersoner internt i virksomheten. Dette gjelder selv om ledelsen delegerer oppgaver som gjelder behandling av personopplysninger til enkeltpersoner i virksomheten.

Eksempel statistikk:

Virksomheten ønsker å utføre en statistikkundersøkelse der det blir behandlet personopplysninger, og vil benytte en elektronisk løsning. Virksomhetens ledelse ber en ansatt i virksomheten vurdere sikkerhetsmessige aspekter ved løsningen. Selv om virksomheten delegerer arbeidet til en ansatt er det virksomheten som er den behandlingsansvarlige, ikke den ansatte.