Til Datatilsynet

Til startsiden til Datatilsynet

Veileder

Behandlingsansvarlig og databehandler

Hva er en databehandler?

For å vurdere om du er databehandler, må du vite hva slags rolle en databehandler har.



En databehandler er en fysisk eller juridisk person, offentlig myndighet, institusjon eller ethvert annet organ som behandler personopplysninger på vegne av den behandlingsansvarlige.

- Personvernforordningen artikkel 4. nr. 8

Databehandleren behandler personopplysninger på vegne av andre

Det avgjørende er at en databehandler behandler personopplysninger på vegne av andre. Databehandleren behandler alltid personopplysningene etter instruks fra en annen virksomhet og kan derfor ikke bestemme formål og andre avgjørende elementer ved behandlingen. En databehandler har med andre ord fått delegert en oppgave om å behandle personopplysninger fra en behandlingsansvarlig.

En databehandler vil som regel være en ekstern virksomhet eller enhet, men også fysiske personer kan være databehandlere. Hvordan man er organisert, eksempelvis om man er et enkeltpersonforetak eller et stort konsern, har ikke betydning for spørsmålet om man er databehandler eller ikke.

Man kan være databehandler selv om man ikke kan se personopplysningene som behandles, eller gjør noe aktivt med dem. Det kan være nok at personopplysningene lagres på et system for at det er en databehandlerrelasjon.

Eksempel skytjeneste

En skytjeneste tilbyr andre virksomheter å lagre opplysninger i denne. Ansatte hos skytjenesten har i utgangspunktet ikke tilgang til opplysningene i selve skytjenesten, men drifter den og passer på at den er godt nok sikret. Skytjenesten er likevel databehandler da lagringen i skytjenesten i seg selv er behandling av personopplysninger som skytjenesten gjør på vegne av den behandlingsansvarlige.

Databehandlere er behandlingsansvarlig for "egne" opplysninger

En virksomhet A som opererer som databehandler for et annet behandlingsansvarlig selskap B, kan samtidig være behandlingsansvarlig for opplysninger som den behandler til egne formål. For eksempel har A egne ansatte, og A vil da være behandlingsansvarlig for opplysninger om disse.

En IT-leverandør kan for eksempel være behandlingsansvarlig for noen opplysninger (for eksempel om egne ansatte), samtidig som de er databehandler for andre opplysninger som behandles på vegne av sine kunder.

Det er imidlertid viktig å huske at du ikke kan være behandlingsansvarlig og databehandler for den samme behandlingen av personopplysninger.

Bruk av standardavtale fra databehandler

Mange databehandlere tilbyr spesifikke tjenester som innebærer behandling av personopplysninger og har derfor «standard databehandleravtaler». Ved bruk av slike standardavtaler kan man kanskje få inntrykk av at det er databehandleren som bestemmer fordi avtalen inneholder vilkår for hvordan databehandleren behandler personopplysninger. Ansvaret for at vilkårene etterlever personvernregelverket ligger likevel hos den behandlingsansvarlige. Den behandlingsansvarlige har derfor ansvar for å undersøke at standardavtalen etterlever regelverket.

Eksempel analyseverktøy

En butikk ønsker å bruke et analyseverktøy som behandler personopplysninger og finner en databehandler som har en standard databehandleravtale. Butikken ser at lagringstiden i vilkårene er lengre enn hva butikken har lov til. Databehandleren henviser til at det kun er standardavtalen som gjelder, og sier «take it or leave it». Butikken (som er behandlingsansvarlig) må derfor bruke en annen databehandler fordi databehandleren ikke kan behandle personopplysninger på en annen måte enn det den behandlingsansvarlige selv har lov til.