Merk at teksten nedenfor er ikke oppdatert siden 27. oktober 2018, og innholdet kan være endret som følge av endringer i regelverket eller annet. For oppdatert informasjon, les eller abonner på mine nyhetsbrev.
Hvem som skal anses som behandlingsansvarlig og hvem som er databehandler, og om det overhodet foreligger et databehandlerforhold, er ikke enkle spørsmål å besvare.
Jeg har tidligere skrevet om problemstillingen her.
Nå har Datatilsynet kommet med en veileder på spørsmålet som gir en god oversikt og veiledning i spørsmålet. Denne bør de fleste lese (den er kort og oversiktlig, så det går raskt).
Noen sentrale punkter fra veilederen:
- Er en virksomhet (selskap, organisasjon mv.) behandlingsansvarlig, så er det ingen fysisk person som kan anses å være «behandlingsansvarlig» i virksomheten (mange bruker begrepet feil).
- Databehandleren behandler kun opplysninger *på vegne av andre* (behandler man opplysninger på vegne av seg selv, er man behandlingsansvarlig). Er det ingen behandling på vegne av andre, foreligger det ikke noe databehandlerforhold. Ved omfattende tilgang til personopplysninger kan det allikevel foreligge et databehandlerforhold.
Vi kan kanskje håpe på det blir færre unødvendige databehandleravtaler nå som denne veilederen er kommet?
