Veileder om behandlingsansvarlig og databehandler fra Datatilsynet

Hvem som skal anses som behandlingsansvarlig og hvem som er databehandler, og om det overhodet foreligger et databehandlerforhold, er ikke enkle spørsmål å besvare.

Jeg har tidligere skrevet om problemstillingen her.

Nå har Datatilsynet kommet med en veileder på spørsmålet som gir en god oversikt og veiledning i spørsmålet. Denne bør de fleste lese (den er kort og oversiktlig, så det går raskt).

Noen sentrale punkter fra veilederen:

    • Er en virksomhet (selskap, organisasjon mv.) behandlingsansvarlig, så er det ingen fysisk person som kan anses å være “behandlingsansvarlig” i virksomheten (mange bruker begrepet feil).
    • Databehandleren behandler kun opplysninger *på vegne av andre* (behandler man opplysninger på vegne av seg selv, er man behandlingsansvarlig). Er det ingen behandling på vegne av andre, foreligger det ikke noe databehandlerforhold. Ved omfattende tilgang til personopplysninger kan det allikevel foreligge et databehandlerforhold.
  • Ansvaret for at databehandleravtalen oppfyller kravene i GDPR er den behandlingsansvarliges.

Vi kan kanskje håpe på det blir færre unødvendige databehandleravtaler nå som denne veilederen er kommet?

Veilederen finnes her.

Om forfatteren

Jan Sandtrø er advokat som bistår klienter i forholdet mellom juss og teknologi. Han har lang erfaring med teknologirett, herunder it-kontrakter og personvern. Jan Sandtrø kan kontaktes på jan@sandtro.no eller +4799731934.

Bruk gjerne artikkelen eller innhold i denne videre, men kun med henvisning til artikkelforfatteren (gjerne link til sandtro.no).

For å få oppdateringer abonner på varsler i menyen til venstre eller på LinkedIn ved å klikke her, og velg “Følg”.

Publisert Kategorier Personvern / GDPRStikkord , , , , ,

Legg inn en kommentar