Veileder om behandlingsansvarlig og databehandler fra Datatilsynet

Hvem som skal anses som behandlingsansvarlig og hvem som er databehandler, og om det overhodet foreligger et databehandlerforhold, er ikke enkle spørsmål å besvare.

Jeg har tidligere skrevet om problemstillingen her.

Nå har Datatilsynet kommet med en veileder på spørsmålet som gir en god oversikt og veiledning i spørsmålet. Denne bør de fleste lese (den er kort og oversiktlig, så det går raskt).

Noen sentrale punkter fra veilederen:

    • Er en virksomhet (selskap, organisasjon mv.) behandlingsansvarlig, så er det ingen fysisk person som kan anses å være “behandlingsansvarlig” i virksomheten (mange bruker begrepet feil).
    • Databehandleren behandler kun opplysninger *på vegne av andre* (behandler man opplysninger på vegne av seg selv, er man behandlingsansvarlig). Er det ingen behandling på vegne av andre, foreligger det ikke noe databehandlerforhold. Ved omfattende tilgang til personopplysninger kan det allikevel foreligge et databehandlerforhold.
  • Ansvaret for at databehandleravtalen oppfyller kravene i GDPR er den behandlingsansvarliges.

Vi kan kanskje håpe på det blir færre unødvendige databehandleravtaler nå som denne veilederen er kommet?

Veilederen finnes her.

Om forfatteren

Advokat Jan Sandtrø er en uavhengig advokat som bistår klienter innenfor krysningsfeltet mellom juss og teknologi. Han har lang erfaring og omfattende ekspertise innenfor personvern, GDPR, kontrakter for programvare og leveranser, rettigheter for teknologi, digital markedsføring mv. Se mer her.

For oppdateringer, følg på LinkedIn eller Twitter

For bruk av innhold på disse nettsidene, se rettigheter.

Print Friendly, PDF & Email