Behandlingsansvarlig eller databehandler?

Om man er behandlingsansvarlig eller databehandler, eller om det ikke foreligger noe databehandlerforhold overhodet, er ikke alltid enkelt å avgjøre. Jeg har skrevet om dette i en artikkel tidligere, og nå har det britiske datatilsynet, ICO, publiserte retningslinjer/veiledning for forholdet mellom databehandler og behandlingsansvarlig nylig. Her var det tatt inn sjekklister for om man er behandlingsansvarlig eller databehandler som var nyttige. Nedenfor er det tatt inn «fornorskede» versjoner av sjekklistene.

Er vi å anse som behandlingsansvarlig?

☐ Vi bestemmer at personopplysningene skal samles inn og behandles.

☐ Vi bestemmer hva som er formålet med behandlingen av personopplysningene og hva hensikten med behandlingen skal være.

☐ Vi bestemmer hvilke personopplysninger som skal samles inn og behandles.

☐ Vi bestemmer hvilke personer det samles inn personopplysninger om.

☐ Vi har eventuell kommersiell fordel eller andre fordeler med behandlingen, med unntak av eventuelle betalbare tjenester fra andre behandlingsansvarlige.

☐ Vi behandler de personlige opplysningene som en konsekvens av en avtale/kontrakt mellom oss og den registrerte (dvs. den personopplysningene gjelder).

☐ De registrerte (dvs. de personopplysningene gjelder) er våre ansatte.

☐ Vi tar beslutninger om de registrerte som en del av eller som en konsekvens av behandlingen av personopplysningene.

☐ Vi tar vurderingene av konsekvensene ved behandlingen av personopplysningene.

☐ Vi har et direkte forhold til de registrerte (dvs. de personopplysningene gjelder).

☐ Vi har den totale bestemmelsesrett over de personopplysninger som behandles.

☐ Det er en annen (som et annet selskap eller annen juridisk enhet) som behandler personopplysningene på vegne av oss.

Er vi å anse som databehandler?

☐ Vi skal få eller skal følge instruksjoner fra noen andre (som et annet selskap eller en annen juridisk enhet) vedrørende behandling av personopplysningene.

☐ Vi har mottatt personopplysningene fra en kunde eller tilsvarende tredjepart, eller fått beskjed om hvilke personopplysninger som skal samles inn.

☐ Vi bestemmer ikke at det skal samles inn personopplysninger fra personer.

☐ Vi bestemmer ikke hvilke personopplysninger som skal samles inn og behandles.

☐ Vi avgjør ikke hva som er det lovlige behandlingsgrunnlaget (etter GDPR artikkel 6) for behandlingen og bruk av personopplysningene.

☐ Vi bestemmer ikke hva som er formålet med behandlingen av personopplysningene og hva hensikten med behandlingen skal være.

☐ Vi avgjør ikke om og til hvem personopplysningene skal utleveres eller hvem som skal ha tilgang til personopplysningene.

☐ Vi bestemmer ikke hvor lenge personopplysningen skal oppbevares.

☐ Vi kan ta beslutninger om hvordan personopplysningene behandles, men skal gjennomføre disse beslutningene som en følge av en avtale/kontrakt med noen andre.

☐ Vi har ikke noen interesse i sluttresultatet av behandlingen av personopplysningene.

Foreligger det to behandlingsansvarlige / felles behandlingsansvar?

Om man er å anse som behandlingsansvarlig eller databehandler er avhengig av hvor mange av punktene ovenfor som stemmer for behandlingen til den som undersøkes.

Det kan imidlertid være slik at det ikke foreligger et behandlingsansvar, men at man har med to behandlingsansvarlige som overfører personopplysninger mellom hverandre til deres egen behandling. Da foreligger det ikke et databehandlerforhold.

I tilfeller hvor det er to behandlingsansvarlige, så kan det være at det er et felles behandlingsansvar mellom de behandlingsansvarlige. Da må det inngås en avtale om felles behandlingsansvar, se GDPR artikkel 26, eller at forholdet mellom partene avklares på annen åpen måte. Følgende elementer kan vise at det foreligger et felles behandlingsansvar?

☐ Vi har et samme mål med behandlingen av personopplysningene sammen med noen andre.

☐ Vi behandler personopplysningene for det samme formål som en annen behandlingsansvarlig.

☐ Vi benytter de samme personopplysningene eller samme samling personopplysninger (f.eks. en database) for behandlingen som en annen behandlingsansvarlig.

☐ Vi har avgjort at personopplysningene skal behandles og hvilke opplysninger som skal behandles sammen med en annen behandlingsansvarlig.

☐ Vi har avgjort hvordan personopplysningene skal behandles sammen med en annen behandlingsansvarlig.