Spør advokaten
Hvem er behandlingsansvarlig og hvem er databehandler?
Etter at de nye personvernreglene er trådt i kraft lurer vi på hvem som er behandlingsansvarlig, og hvem som er databehandler, vi er usikre på hvor skillet går?
Svar: Vi opplever at flere er usikre på i hvilke situasjoner det må inngås en databehandleravtale, og at det er usikkerhet rundt forskjellene mellom databehandler og behandlingsansvarlig. Selve problemet dukker som regel opp i forbindelse med inngåelse av databehandleravtaler, og det oppstår usikkerhet rundt hvem som skal ha de ulike rollene i avtalen, og ikke minst om det er behov for å inngå en databehandleravtale.
For å skille behandlingsansvarlig fra databehandler er det naturlig å ta utgangspunkt i forordningens definisjon av begrepene. I henhold til GDPR artikkel 4 nr. 7 er den behandlingsansvarlige:
«den som bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes»
databehandler på side er i GDPR artikkel 4 nr. 8 definert som:
«den som behandler personopplysninger på vegne av den behandlingsansvarlige».
Definisjonen av begrepene medfører at for å kunne avgjøre hvem som er behandlingsansvarlig må det klargjøres hvem som bestemmer formålet med behandlingen og dermed bestemmer hvilke midler som skal benyttestil behandlingen. Den behandlingsansvarlige er kort sagt den som bestemmer hvorfor og hvordan behandlingen av personopplysningene skal gjennomføres. At det skal behandles personopplysninger vil som regel være en konsekvens av at en person eller et selskap skal gjøre/utføre aktiviteter eller handlinger som medfører behandling av personopplysninger. Databehandleren på sin side behandler personopplysninger fordi den behandlingsansvarlige har bestemt at personopplysninger skal behandles og gitt databehandleren i oppgave å behandle opplysningene på vegne av den behandlingsansvarlige. Her er det imidlertid viktig å være oppmerksom på at det er den som gjør de reelle beslutningene om formålet med behandlingen og midlene som skal benyttes til behandlingene som er å anse som behandlingsansvarlig. Det er det reelle forholdet som skal legges til grunn.
Når det gjelder selve formålet med behandlingen av personopplysninger så kan dette for eksempel følge direkte av plikt etter en lovbestemmelse. Tannleger er for eksempel av lovgivning pliktig til å registrere og behandle visse personopplysninger knyttet til pasienter. Formålet kan videre følge indirekte av andre plikter, som eksempel kan nevnes arbeidsgivere som må behandle personopplysninger knyttet til arbeidsforholdet. Hvem som er å anse som behandlingsansvarlig avhenger av hvem som er underlagt loven som pålegger eller forutsetter behandling av personopplysninger. For å avklare hvem som er behandlingsansvarlig må de faktiske omstendigheter og forhold vurderes, og det avgjørende er hvem som initierte de enkelte behandlingsaktiviteter. Et godt utgangspunkt er å spørre og klarlegge "hvorfor skjer denne behandlingen av personopplysninger, og hvem initierte disse behandlingsaktivitetene?».
I de tilfellene behandlingen skjer som en konsekvens av andre aktiviteter, som at det skal utføres andre tjenester, foreligger det ikke et databehandlerforhold. I slike tilfeller skjer behandlingen som følge av at det utføres handlinger/tjenester som medfører behandling av personopplysninger. Skjer derimot behandlingen på grunn av at den ene får i oppgave å behandle personopplysningene i seg selv, så betyr dette at den ene (behandlingsansvarlig) bestemmer at opplysningene skal behandles, og da avgjør hvorfor personopplysninger skal behandles. I slike tilfeller foreligger det et databehandlerforhold, og som en konsekvens en behandlingsansvarlig og en databehandler.
Det er viktig å være klar over at for at det skal foreligge et databehandlerforhold, og dermed en databehandler, må databehandleren være en separat person eller egen juridisk enhet annen enn den behandlingsansvarlige. I tillegg må databehandleren behandle personopplysninger på vegne av den behandlingsansvarlige. Det må således foreligge et oppdragsforhold mellom den behandlingsansvarlige og databehandler. Databehandlerforholdet karakteriseres ved at det foreligger liten grad av bestemmelsesrett for databehandleren, og at denne skal følge den behandlingsansvarliges instruksjoner. Det er dermed en grense for hva som kan anses å være et databehandlerforhold avhengig av hvor mye databehandlerne kan bestemme over behandlingen. Har leverandøren mye selvbestemmelsesrett over behandlingen av personopplysninger, foreligger det ikke et databehandlerforhold.
Når det gjelder om det er nødvendig å inngå en databehandleravtale i det enkelte tilfellet må det først klarlegges om det foreligger et databehandlerforhold. For å klarlegge dette må det som nevnt klarlegges hvem som er behandlingsansvarlig for personopplysningene, herunder hvem som bestemmer formålet med behandlingen, hvilke midler som skal benyttes og videre hvem personopplysningene behandles på vegne av. Kommer du frem til at det foreligger et databehandlerforhold må det inngås en databehandleravtale, jf. GDPR artikkel 28.