Behandlingsansvarlig og databehandler

Behandlingsansvarlig og databehandler

Personvernforordningen skiller mellom begrepene behandlingsansvarlig og databehandler. Den behandlingsansvarlige bestemmer over personopplysningene, mens databehandleren opptrer på vegne av den behandlingsansvarlige. Databehandleren kan derfor bare behandle personopplysninger etter instruks fra den behandlingsansvarlige.

Innledning

Før du skal behandle personopplysninger er det viktig å avklare hvilken rolle du har. Er du behandlingsansvarlig, behandlingsansvarlig sammen med en annen virksomhet eller databehandler?

Denne veiledningen inneholder retningslinjer og eksempler som er nyttige i vurderingen, men det er du som må gjøre den endelige vurderingen av om du er behandlingsansvarlig eller databehandler. Det er viktig at ansvarsplasseringen er klar og dokumentert.

Det stilles forskjellige krav til behandlingsansvarlige og databehandlere. Det er den behandlingsansvarlige som har det overordnede ansvaret for å behandle personopplysninger i tråd med regelverket. Databehandleren skal kun behandle personopplysninger på vegne av den behandlingsansvarlige. Databehandleren har likevel selvstendige plikter, se personvernforordningen artikkel 28 (lovdata.no)

Rett ansvarsplassering er viktig for at registrerte enkeltpersoner skal kunne utøve sine rettigheter og for at tilsynsmyndighetene effektivt kan utføre sine oppgaver. Ved uklarheter rundt ansvaret kan enkeltpersoner få en dårligere beskyttelse enn personvernforordningen er ment å gi.

Rolleavklaring har også stor betydning når en behandlingsansvarlig skal utlevere personopplysninger til en annen virksomhet. Er den andre virksomheten en databehandler eller en selvstendig behandlingsansvarlig? Dersom virksomheten er en databehandler, trenger man en databehandleravtale, mens hvis virksomheten er en selvstendig behandlingsansvarlig, trenger man et behandlingsgrunnlag for å utlevere opplysningene.