Veileder om behandlingsansvarlig og databehandler fra Datatilsynet

Hvem som skal anses som behandlingsansvarlig og hvem som er databehandler, og om det overhodet foreligger et databehandlerforhold, er ikke enkle spørsmål å besvare.

Jeg har tidligere skrevet om problemstillingen her.

Nå har Datatilsynet kommet med en veileder på spørsmålet som gir en god oversikt og veiledning i spørsmålet. Denne bør de fleste lese (den er kort og oversiktlig, så det går raskt).

Noen sentrale punkter fra veilederen:

  • Er en virksomhet (selskap, organisasjon mv.) behandlingsansvarlig, så er det ingen fysisk person som kan anses å være “behandlingsansvarlig” i virksomheten (mange bruker begrepet feil).
  • Databehandleren behandler kun opplysninger *på vegne av andre* (behandler man opplysninger på vegne av seg selv, er man behandlingsansvarlig). Er det ingen behandling på vegne av andre, foreligger det ikke noe databehandlerforhold. Ved omfattende tilgang til personopplysninger kan det allikevel foreligge et databehandlerforhold.
  • Ansvaret for at databehandleravtalen oppfyller kravene i GDPR er den behandlingsansvarliges.

Vi kan kanskje håpe på det blir færre unødvendige databehandleravtaler nå som denne veilederen er kommet?

Veilederen finnes her.

Legg inn en kommentar