Å avgjøre om hvem som er behandlingsansvarlig («controller») og hvem som er databehandler («processor») er i mange tilfelle ikke enkelt, og oppleves som en vanskelig vurdering av mange med god grunn. Spesielt når det skal inngås databehandleravtaler, og avgjøre hvem skal inngå databehandleravtale med hvem, og hvem skal ha hvilke roller i avtalene. Da er det viktig å ha det klart for seg hva som har betydning og hva som ikke har betydning i vurderingen av hvem som er behandlingsansvarlig og hvem som er databehandler. Men det foreligger databehandlerforhold i mindre grad enn mange tror, og det inngås i dag alt for mange databehandleravtaler eller databehandleravtaler som dekker mer enn de skal.
Å avgjøre hvem som er behandlingsansvarlig og hvem som er databehandler, og om det foreligger et databehandlerforhold byr på problemer for mange. Og det er ikke så rart, for slike vurderinger vil kunne være vanskelige til tider. Årsaken til at vurderingene blir vanskelige er at organisering og leveransemodeller, spesielt med utstrakt bruk av digitalisering og globalisering, har gjort det komplekst å avgjøre hvem gjør hva med personopplysninger, og hvem som har ansvaret.
Definisjonene av behandlingsansvarlig og databehandler er de samme i personvernforordningen (GDPR) som de var i personopplysningsloven av 2001 (og personverndirektivet av 1995). Det gjør at man kan basere seg på dommer, artikler, veiledninger mv. som også gjaldt før GDPR. Dette gjelder spesielt Artikkel 29-gruppen (EUs veiledningsgruppe for personvern) sin veiledning for behandlingsansvarlig og databehandler (finnes her – pdf).
Etter GDPR artikkel 4 nr. 7 er den behandlingsansvarlige:
den som bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes
En behandlingsansvarlig eller databehandler kan være en fysisk eller juridisk person, offentlig myndighet eller annet. Den behandlingansvarlige kan bestemme ovennevnte enten selv eller sammen med andre (sistnevnte er såkalt «felles behandlingsansvarlig», men det kommer jeg ikke nærmere inn på her).
Etter GDPR artikkel 4 nr. 8 er en databehandler:
den som behandler personopplysninger på vegne av den behandlingsansvarlige
For å avgjøre om det foreligger et databehandlerforhold og hvem som er behandlingsansvarlig må man derfor foreta en vurdering etter kriteriene som følger ovenfor, dvs:
- Hvem bestemmer formålet med behandlingen av personopplysningene?
- Hvem bestemmer hvilke midler som skal brukes til behandlingen?
- Hvem behandles opplysningene på vegne av?
Betydningen av skillet
Konsekvensene av at det foreligger et databehandlerforhold, er i første rekke at det må inngås en databehandleravtale, se GDPR artikkel 28. Å avgjøre hvem som er behandlingsansvarlig og hvem som er databehandler har så betydning for hvem som har ansvaret for behandlingen. Etter GDPR så har også databehandler mye ansvar, men den vesentlige delen av ansvaret har den behandlingsansvarlige. Skillet er spesielt viktig for de registrertes (dvs. de som personopplysningene gjelder) rettigheter, for det er den behandlingsansvarlige som skal sørge for å at de registrerte får ivaretatt sine rettigheter ved informasjon, innsyn, retting, sletting mv.
Skillet mellom behandlingsansvarlig og databehandler har også betydning for hvem som kan instruere den andre, siden den behandlingsansvarlige skal kunne instruere databehandleren, og dette skal reguleres i databehandleravtalen, se GDPR artikkel 28 (3) bokstav a. Hvem som har rett til å instruere (dvs. bestemme) settes spesielt på spissen i de tilfelle hvor personopplysninger skal slettes. Behandlingsansvarlig skal kunne instruere databehandleren, og dersom en av partene i et kontraktsforhold (som kanskje opplever seg som behandlingsansvarlig) instruerer den andre parten om å slettet personopplysninger etter sin egen slettepolicy eller etter anmodning fra registrerte, så kan det være at den andre parten ikke kan slette, fordi denne må som behandlingsansvarlig selv oppbevare opplysningene fortsatt for å sikre seg mot krav eller pga. rettslig forpliktelse. Forholdet settes også på spissen dersom det er personvernbrudd (som at personopplysninger kommer på avveie) hvor hvem som er å anse som behandlingsansvarlig er avgjørende for hvem som skal varsle Datatilsynet og eventuelt de registrerte, samt i andre plikter som den behandlingsansvarlige har etter personvernreglene.
Overføres det personopplysninger mellom en person eller juridisk enhet og en annen, så er dette en overføring av personopplysninger som krever et behandlingsgrunnlag. Men ved et databehandlerforhold så skjer det ingen overføring av personopplysninger, siden databehandleren kan sies å være den behandlingsansvarliges «forlengede arm». Mellom to behandlingsansvarlige, så vil det derimot skje en overføring, som krever et behandlingsgrunnlag. Dette er også det mest vanlige, men er også noe som mange opplever som forvirrende, siden man legger ofte til grunn at det foreligger et databehandlerforhold, mens det i realiteten er et behandlingsansvarlig til behandlingsansvarlig forhold.
Behandlingsansvarlig
For å avgjøre hvem som er å anse som behandlingsansvarlig, så må man se hvem som bestemmer formålet med behandlingen og bestemmer hvilke midler som skal benyttes til behandlingen. Dette vil være den som bestemmer hvorfor og hvordan behandlingen av personopplysningene skal kunne gjennomføres.
At det skal behandles personopplysninger vil normal være en konsekvens av at en person eller et selskap skal gjøre utføre aktiviteter eller handlinger som medfører behandling av personopplysninger. Dette i motsetning til databehandleren, som behandler personopplysninger ikke fordi den selv har bestemt det, men fordi behandlingsansvarlige har bestemt at personopplysninger skal behandles og gitt databehandleren i oppgave å behandle opplysningene for den behandlingsansvarlige.
Merk at det er den som gjør de reelle beslutningene om formålet med behandlingen, og midlene som skal benyttes til behandlingene, som er å anse som behandlingsansvarlig. At det følger av en avtale hvem som er behandlingsansvarlig (som en databehandleravtale), har ikke betydning når realiteten ikke stemmer overens med avtalens innhold. Dette er klart fastslått i dommer fra EU-domstolen. Så dersom den som er databehandler etter en databehandleravtale bestemmer hvordan personopplysningene skal behandles, så kan denne anses som behandlingsansvarlig, til tross for at denne går utenfor det som er regulert i avtalen. Sistnevnte følger klart av GDPR artikkel 28 nr. 10.
Bestemmer formålet
Formålet med behandlingen kan følge enten direkte av plikt etter lov, som f.eks. for leger som er pliktig til å registrere og behandle visse personopplysninger knyttet til pasienter. Eller indirekte som en følge av andre plikter, som f.eks. for arbeidsgivere, som må behandle personopplysninger knyttet til arbeidsforholdet. Hvem som er å anse som behandlingsansvarlig er da avhengig av hvem som er underlagt loven som pålegger eller forutsetter behandling av personopplysninger.
Men selv om en person eller et selskap har en plikt eller kompetanse etter loven å behandle visse personopplysninger, er ikke det avgjørende for om denne er å anse som behandlingsansvarlig. Behandling av personopplysninger skjer fordi en person eller et selskap har initiert aktiviteter som enten forutsetter behandling av personopplysninger i seg selv eller hvor behandling av personopplysninger er en konsekvens av andre aktiviteter som forutsetter behandling av personopplysninger. For å avklare hvem som er behandlingsansvarlig må de faktiske omstendigheter og forhold vurderes; og det avgjørende er hvem som initierte de enkelte behandlingsaktiviteter. Det må spørres «hvorfor skjer denne behandlingen av personopplysninger, og hvem initierte disse behandlingsaktivitetene».
Skjer behandlingen som en konsekvens av andre aktiviteter, som at det skal utføres andre tjenester, så vil det ikke foreligge et databehandlerforhold, se nedenfor for krav til databehandlere. Da skjer behandlingen som følge av at man utfører handlinger eller tjenester som medfører behandling av personopplysninger. Men skjer behandlingen på grunn av at den ene får i oppgave å behandle personopplysningene i seg selv, så vil det sies at den ene (den behandlingsansvarlige) bestemmer at opplysningene skal behandles, og da avgjør hvorfor personopplysninger skal behandles, og det vil foreligge et databehandlerforhold (og en behandlingsansvarlig og en databehandler som en konsekvens av dette). Dette skillet er ikke enkelt, siden det å f.eks. utføre it-tjenester som omfatter personopplysninger vil i de fleste tilfelle bli ansett for å være et databehandlerforhold, selv om tjenestene er it-tjenester og ikke databehandlertjenester. Men på den andre side vil eksempelvis å yte ulike tjenester ikke være et databehandlerforhold, selv om det kan være personopplysninger omfattet av tjenesten (som navnet og kontaktopplysninger på kunden). Eksempel et godt eksempel på dette kan være reparasjon av kopimaskiner (som er et eksempel det danske datatilsynet benytter).
Bestemmer hvilke midler som skal benyttes til behandlingen
I tillegg til at det må være én som bestemmer formålet med behandlingen, så må denne også bestemme hvilke midler som skal benyttes til behandlingen av personopplysningene dersom sistnevnte skal anse som behandlingsansvarlig og det skal foreligge et databehandlerforhold. Dette innebærer at den som avgjør at opplysningene skal registreres (som har en sammenheng med formålet for behandlingen), endres, sammenstilles, slettes osv. er den som er å anse som behandlingsansvarlig. Med andre ord: Den som bestemmer hvordan personopplysningene skal behandles, og som har instruksjonrett (se ovenfor), anses som behandlingsansvarlig.
Det er imidlertid slik at den behandlingsansvarlige kan overlate noe av beslutningene om hvordan behandlingen skal skje til databehandleren, uten at sistnevnte skal anses som behandlingsansvarlig. Dette fordi behandlingsansvarlig benytter databehandleren ut fra dennes kompetanse, og beslutninger om bl.a. tekniske og organisatoriske forhold knyttet til behandlingen, vil databehandleren kunne ta uten at denne blir ansett å være behandlingsansvarlig. Man må derfor ha et pragmatisk syn på hva som er naturlig at en databehandler bestemmer, og hva må behandlingsansvarlig bestemme. Avgjørelser om det foreligger behandlingsgrunnlag for behandlingen, om personopplysningene skal utleveres til de registrerte eller overføres til tredjeparter, om opplysningene skal slettes vil være beslutninger som kun behandlingsansvarlige kan ta, men de nærmere beslutninger om midler som skal benyttes til behandlingen, f.eks. hvilke datasystem, og til en viss grad hvordan opplysningens skal behandles, som om opplysningen skal sammenstilles eller flyttes, kan overlates til databehandleren. Det er heller ikke noe i veien for at dette overlates fullstendig til databehandleren.
Databehandler
For at det skal foreligge et databehandlerforhold, og dermed en databehandler, må databehandleren være en separat person eller egen juridisk enhet annen enn den behandlingsansvarlige. I tillegg må databehandleren behandle personopplysninger på vegne av den behandlingsansvarlige. Det må altså foreligge et oppdragsforhold mellom behandlingsansvarlig og databehandler, slik at databehandleren har fått en oppgave av den behandlingsansvarlige om å behandle personopplysninger.
Det må også være slik at databehandleren utfører behandling for den behandlingsansvarlige, som den behandlingsansvarlige kunne gjort selv, men den behandlingsansvarlige har valgt å benytte en annen til å gjøre dette for seg. For at det skal foreligge et databehandlerforhold, må dermed databehandleren ikke være en del av den behandlingsansvarlige eller dennes organisasjon (siden databehandleren utfører behandling «på vegne av» behandlingsansvarlige). Dette innebærer at et konsernselskap vil være databehandler for et annet konsernselskap, om førstnevnte behandler personopplysninger på vegne av den andre selskapet.
Behandler et selskap personopplysninger på vegne av seg selv i forbindelse med utførelse av andre tjenester, som f.eks. bedriftshelsetjenester, pensjonstjenester, forsikring, banktjenester mv., så vil det ikke foreligge et databehandlerforhold. Leverandøren behandler da personopplysninger for seg selv, og ikke på vegne av kunden. Men det kan være vanskelige grenseganger her, avhengig av hvor knyttet behandlingen av personopplysningene er mot de øvrige tjenestene eller hvor selvstendig behandlingen av personopplysninger er.
Som det følger ovenfor, så vil den behandlingsansvarlige kunne overlate noen beslutninger knyttet til hvordan personopplysningene skal behandles (dvs. midlene for behandling). Men et databehandlerforhold karakteriseres ved at det foreligger liten grad av bestemmelsesrett for databehandleren; denne skal følge den behandlingsansvarliges instruksjoner (se GDPR artikkel 29). Så det er en grense for hva som kan anse så være et databehandlerforhold avhengig av hvor mye databehandlerne kan bestemme over behandlingen. Har leverandøren mye selvbestemmelsesrett (autonomi) over behandlingen av personopplysninger, så vil det ikke foreligge et databehandlerforhold.
Det er «behandling» som databehandleren skal gjøre for den behandlingsansvarlige, og dette betyr at det kun er ved behandling av personopplysninger det foreligger et databehandlerforhold. Dette kan synes selvfølgelig, men mange databehandleravtaler går lenger i å regulere andre forhold enn behandling av personopplysninger uten at dette kreves etter GDPR. Hva som omfatter «behandle» følger av definisjonen av behandling i GDPR artikkel 4 nr. 2, som vil være enhver handling (eller «operasjon» som det kalles i den norske oversettelsen av GDPR) eller rekke av handlinger, enten dette gjøres med digitalt (eller «automatisert» som det kalles i GDPR) eller ikke, som f.eks.:
innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring.
Avgrensning mot behandler til behandler-forhold
I de fleste kontrakter og leveranser hvor det foreligger et databehandlerforhold vil det også foreligge et behandlingsansvarlig-til-behandlingsansvarlig forhold («controller-to-controller relationship») ved at det overføres personopplysninger fra en person/enhet til en annen. Dette er tilfelle for kundeinformasjonen (som kontaktinformasjon om kunden), mens for de data som databehandleren håndterer på vegne av behandlingsansvarlig, vil det foreligge et databehandlerforhold. Det er derfor viktig at databehandleravtalen presiserer hvilke opplysninger som databehandlerforholdet gjelder for, slik at opplysninger som ikke omfattes av databehandlerforholdet holdes utenfor. For hva databehandleravtaler skal inneholde, se denne artikkelen.
For at det skal foreligge et databehandlerforhold, må det være en person eller juridisk enhet som har overlatt behandling av personopplysninger til en annen person eller juridisk enhet. Det må ikke være en overføring av opplysninger mellom to behandlingsansvarlige; da foreligger det ikke et databehandlerforhold.
Det er også viktig å ha klart for seg at databehandlerforholdet gjelder kun de personopplysninger som databehandleren behandler på vegne av den behandlingsansvarlige. I et forhold mellom to selskaper hvor det ene selskapet yter det andre tjenester, vil det normalt foreligge både overføring mellom behandlingsansvarlige og et databehandlerforhold. Databehandlerforholdet gjelder kun de personopplysninger som databehandleren behandler på vegne av behandlingsansvarlig. Behandler det ene selskapet personopplysninger som en følge av at denne yter tjenester til det andre selskapet, vil det ikke nødvendigvis foreligge et databehandlerforhold, se ovenfor. Databehandlerrollen være en konsekvens av konkrete aktiviteter i en spesifikk kontekst, og databehandlerforholdet vil derfor alltid kun gjelde en begrenset del av personopplysningene som går mellom to parter. Dette er også grunnen til at behandlingen og personopplysningene defineres i databehandleravtalen (se GDPR artikkel 28 nr. 3).
Et selskap som yter en tjeneste, og som må behandle personopplysninger som følge av dette, f.eks. et reiseselskap som organiserer reiser for ansatte i selskap (som da bli reiseselskapets kunder), vil måtte behandle personopplysninger om de ansatte hos sine kunde, men de er ikke databehandler av den grunn. Reiseselskapet samler inn personopplysninger og bestemmer hvordan personopplysningene skal behandles for å kunne yte sine egne tjenester. Reiseselskapet bestemmer derfor formålet med behandlingen (for å yte sine tjenester) og hvordan personopplysningene skal behandles (registreres i reiseselskapets it-systemer, overføres til flyselskap og hotell, slettes etter X år osv.). Reiseselskapet er altså behandlingsansvarlig, og det foreligger ikke et databehandlerforhold for disse opplysningene.
I andre forhold kan det være mer sammensatt, som at et selskap som tilbyr å gjøre nettsider tilgjengelig på Internett for selskaper vil være databehandler for behandling av personopplysninger i tilknytning til nettsidene, men vil være behandlingsansvarlig for informasjon om kundene, sikkerhetslogger for de underliggende systemer mv.
Oversikt
Ved vurderingen av om det foreligger et databehandlerforhold og hvem av partene som er behandlingsansvarlig og hvem som er databehandler, vil følgende forhold være retningsgivende:
- Hvilke tjenester skal ytes av den ene parten overfor den andre? Er det behandling av personopplysninger som er det sentrale, eller er behandlingen en konsekvens av andre tjenester?
- Kan en av partene bestemme (instruere) den andre hva gjelder behandlingen av personopplysninger? (Hvem kan f.eks. kreve at opplysningene skal slettes?)
- Hvilken av partene bestemmer formålet og hvilke virkemidler (hvor lagring skjer, sammenstilling av opplysninger, overføring, behandlingsformer mv.) som skal gjelde for personopplysningene?
- Altså: Behandler den ene parten personopplysningene på vegne av den andre parten, dvs. for sitt eget behov eller på vegne av andre parten?
Se også mer omfattende sjekklisten i denne artikkelen: Behandlingsansvarlig eller databehandler.
Mer informasjon
Som nevnt er Artikkel 29-gruppens veiledning om behandlingsansvarlig og databehandler noe av det bedre og mer omfattende som er skrevet om forholdet mellom behandlingsansvarlig og databehandler. Denne finnes her (pdf).
Det danske datatilsynet har også laget en veiledning som er gir god innføring og veiledning. Denne finnes her (pdf).
Jeg har også skrevet en lengre artikkel om bruk av databehandler som kan lastes ned her: