Oppsummering av vurderingsmomentene
Vi har listet opp de viktigste momentene du kan legge vekt på i vurderingen av om det foreligger et databehandleroppdrag, og om du er behandlingsansvarlig eller databehandler.
Er konklusjonen fremdeles uklar må du veie momentene opp mot hverandre. Taler flest momenter for at det foreligger et databehandleroppdrag eller ikke? Du bør videre vurdere hvilke momenter som veier tyngst. Husk likevel at visse momenter er avgjørende for vurderingen. Du kan for eksempel aldri være databehandler dersom du bestemmer formålene.
- Personopplysningene behandles kun til dine formål.
- Det er du som er overordnet ansvarlig for å overholde personvernregelverket.
- Den andre parten behandler opplysninger på vegne av deg og har ikke bestemmelsesrett over opplysningene.
- Den andre parten er en ekstern virksomhet separat fra deg.
- Loven eller lignende pålegger deg å behandle visse personopplysninger.
- En avtale mellom deg og en annen part inneholder en direkte eller indirekte instruks om å behandle personopplysninger (motsatt: avtalen omhandler levering av et annet type oppdrag eller tjeneste).
- Du kan instruere den andre parten om hvordan personopplysningene skal behandles.
- Den andre parten kan bare lovlig behandle opplysningene etter instruks fra deg, og kan ikke bruke opplysningene til egne formål.
- Det er du som bestemmer formål og de avgjørende hjelpemidlene for hvordan opplysningene skal behandles.
- Du kan kontrollere at den andre parten behandler opplysningene som avtalt.
- Personene du behandler personopplysninger om har en berettiget forventning om at du er behandlingsansvarlig.
- Du kan kreve at den andre parten sletter eller tilbakeleverer opplysningene.