Behandlingsansvarlig og databehandler

Behandlingsansvarlig og databehandler

Personvernforordningen skiller mellom begrepene behandlingsansvarlig og databehandler. Den behandlingsansvarlige bestemmer over personopplysningene, mens databehandleren opptrer på vegne av den behandlingsansvarlige. Databehandleren kan derfor bare behandle personopplysninger etter instruks fra den behandlingsansvarlige.

Innledning

Før du skal behandle personopplysninger er det viktig å avklare hvilken rolle du har. Er du behandlingsansvarlig, behandlingsansvarlig sammen med en annen virksomhet eller databehandler?

Denne veiledningen inneholder retningslinjer og eksempler som er nyttige i vurderingen, men det er du som må gjøre den endelige vurderingen av om du er behandlingsansvarlig eller databehandler. Det er viktig at ansvarsplasseringen er klar og dokumentert.

Det stilles forskjellige krav til behandlingsansvarlige og databehandlere. Det er den behandlingsansvarlige som har det overordnede ansvaret for å behandle personopplysninger i tråd med regelverket. Databehandleren skal kun behandle personopplysninger på vegne av den behandlingsansvarlige. Databehandleren har likevel selvstendige plikter, se personvernforordningen artikkel 28 (lovdata.no)

Rett ansvarsplassering er viktig for at registrerte enkeltpersoner skal kunne utøve sine rettigheter og for at tilsynsmyndighetene effektivt kan utføre sine oppgaver. Ved uklarheter rundt ansvaret kan enkeltpersoner få en dårligere beskyttelse enn personvernforordningen er ment å gi.

Rolleavklaring har også stor betydning når en behandlingsansvarlig skal utlevere personopplysninger til en annen virksomhet. Er den andre virksomheten en databehandler eller en selvstendig behandlingsansvarlig? Dersom virksomheten er en databehandler, trenger man en databehandleravtale, mens hvis virksomheten er en selvstendig behandlingsansvarlig, trenger man et behandlingsgrunnlag for å utlevere opplysningene.

Hva er en behandlingsansvarlig?

For å vurdere om du er behandlingsansvarlig må du vite hva slags rolle en behandlingsansvarlig har.

Den behandlingsansvarlige er ansvarlig

Den behandlingsansvarlige har det overordnede ansvaret for å overholde personvernprinsippene og regelverket. Dette kommer av ansvarlighetsprinsippet i forordningens artikkel 5 og artikkel 24.

Den behandlingsansvarlige er ansvarlig for å behandle personopplysninger på en lovlig, rettferdig og gjennomsiktig måte, ha et behandlingsgrunnlag, behandle personopplysningene på en sikker måte, sikre at de registrerte får utøvd sine rettigheter og en rekke andre plikter. Les mer om virksomhetens plikter.

Den behandlingsansvarlige må derfor sørge for å etablere alle nødvendige organisatoriske og tekniske tiltak for å sikre at regelverket etterleves til enhver tid. Den behandlingsansvarlige må kunne vise at den opptrer i samsvar med reglene. Dette gjelder også med hensyn til forsvarlig valg av databehandler. En behandlingsansvarlig kan med andre ord ikke frasi seg ansvaret for å etterleve regelverket fordi selve behandlingen av personopplysningene skjer hos en annen virksomhet.

Datatilsynet kan ilegge den behandlingsansvarlige sanksjoner, for eksempel overtredelsesgebyr, dersom den ikke overholder regelverket. Enkeltpersoner kan også kreve erstatning fra den behandlingsansvarlige.

Behandlingsansvarlig uavhengig av hva slags virksomhet du er, tjenester du tilbyr og hvordan du er organisert

Det har vanligvis ingen betydning hvordan du er organisert. En behandlingsansvarlig kan både være et enkeltpersonsforetak, et stort konsern, offentlig eller privat virksomhet. Du kan derfor ikke fraskrive deg et behandlingsansvar grunnet organisasjonsform.

Videre kan både juridiske personer og fysiske personer være behandlingsansvarlige. Det vanligste er likevel at den behandlingsansvarlige er en juridisk person.

Det har ingen betydning hva slags virksomhet du er og hva slags tjeneste du eventuelt leverer:

  • en arbeidsgiver er behandlingsansvarlig for opplysningene om sine ansatte
  • en forening er behandlingsansvarlig for opplysningene om sine medlemmer
  • et offentlig organ er ansvarlig for opplysningene de behandler om befolkningen

Virksomheten er ansvarlig

Dersom den behandlingsansvarlige er en juridisk person (en virksomhet) er den juridiske personen behandlingsansvarlig, og ikke enkeltpersoner internt i virksomheten. Dette gjelder selv om ledelsen delegerer oppgaver som gjelder behandling av personopplysninger til enkeltpersoner i virksomheten.

Eksempel

Virksomheten ønsker å utføre en statistikkundersøkelse der det blir behandlet personopplysninger, og vil benytte en elektronisk løsning. Virksomhetens ledelse ber en ansatt i virksomheten vurdere sikkerhetsmessige aspekter ved løsningen. Selv om virksomheten delegerer arbeidet til en ansatt er det virksomheten som er den behandlingsansvarlige, ikke den ansatte.

Merk at Justisdepartementet har skrevet følgende i proposisjon 56 LS(2017-2018), kapittel 16.5.5:

«Etter departementets vurdering er unntaket fra plikten til vurdering av personvernkonsekvenser i forordningen artikkel 35 nr. 10 så snevert at det ikke synes nødvendig på nåværende tidspunkt å fastsette noen nasjonale unntak fra unntaket. Unntaket kommer bare til anvendelse når det supplerende rettsgrunnlaget for behandlingen inneholder en spesifikk regulering av de ulike behandlingsaktivitetene, noe som sjelden er tilfelle. Hvis behandlingsaktivitetene først er spesifikt regulert i lov eller forskrift, og personvernkonsekvensene allerede er vurdert i den forbindelse, kan departementet ikke se at en vurdering av personvernkonsekvenser vil ha en så stor tilleggsverdi at det er nødvendig å pålegge dette også i disse tilfellene.

At unntaket fører til grensedragningsspørsmål, er etter departementets oppfatning ikke et tilstrekkelig tungtveiende hensyn til at det er nødvendig å pålegge en plikt til vurdering av personvernkonsekvenser. Risikoen for misforståelser av rekkevidden av unntaket kan reduseres med informasjon og veiledning. Departementet foreslår ingen utvidet plikt til forhåndsdrøfting med tilsynsmyndigheten etter artikkel 36 nr. 5. Det foreslås imidlertid en forskriftshjemmel som åpner for slike bestemmelser, se lovforslaget § 14.»

Hva er en databehandler?

For å vurdere om du er databehandler, må du vite hva slags rolle en databehandler har.

Databehandleren behandler personopplysninger på vegne av andre

Det avgjørende er at en databehandler behandler personopplysninger på vegne av andre. Databehandleren behandler alltid personopplysningene etter instruks fra en annen virksomhet og kan derfor ikke bestemme formål og andre avgjørende elementer ved behandlingen. En databehandler har med andre ord fått delegert en oppgave om å behandle personopplysninger fra en behandlingsansvarlig.

En databehandler vil som regel være en ekstern virksomhet eller enhet, men også fysiske personer kan være databehandlere. Hvordan man er organisert, eksempelvis om man er et enkeltpersonforetak eller et stort konsern, har ikke betydning for spørsmålet om man er databehandler eller ikke.

Man kan være databehandler selv om man ikke kan se personopplysningene som behandles, eller gjør noe aktivt med dem. Det kan være nok at personopplysningene lagres på et system for at det er en databehandlerrelasjon.

Eksempel

En skytjeneste tilbyr andre virksomheter å lagre opplysninger i denne. Ansatte hos skytjenesten har i utgangspunktet ikke tilgang til opplysningene i selve skytjenesten, men drifter den og passer på at den er godt nok sikret. Skytjenesten er likevel databehandler da lagringen i skytjenesten i seg selv er behandling av personopplysninger som skytjenesten gjør på vegne av den behandlingsansvarlige.

Databehandlere er behandlingsansvarlig for "egne" opplysninger

En virksomhet A som opererer som databehandler for et annet behandlingsansvarlig selskap B, kan samtidig være behandlingsansvarlig for opplysninger som den behandler til egne formål. For eksempel har A egne ansatte, og A vil da være behandlingsansvarlig for opplysninger om disse.

En IT-leverandør kan for eksempel være behandlingsansvarlig for noen opplysninger (for eksempel om egne ansatte), samtidig som de er databehandler for andre opplysninger som behandles på vegne av sine kunder.

Det er imidlertid viktig å huske at du ikke kan være behandlingsansvarlig og databehandler for den samme behandlingen av personopplysninger.

Bruk av standardavtale fra databehandler

Mange databehandlere tilbyr spesifikke tjenester som innebærer behandling av personopplysninger og har derfor «standard databehandleravtaler». Ved bruk av slike standardavtaler kan man kanskje få inntrykk av at det er databehandleren som bestemmer fordi avtalen inneholder vilkår for hvordan databehandleren behandler personopplysninger. Ansvaret for at vilkårene etterlever personvernregelverket ligger likevel hos den behandlingsansvarlige. Den behandlingsansvarlige har derfor ansvar for å undersøke at standardavtalen etterlever regelverket.

Eksempel

En butikk ønsker å bruke et analyseverktøy som behandler personopplysninger og finner en databehandler som har en standard databehandleravtale. Butikken ser at lagringstiden i vilkårene er lengre enn hva butikken har lov til. Databehandleren henviser til at det kun er standardavtalen som gjelder, og sier «take it or leave it». Butikken (som er behandlingsansvarlig) må derfor bruke en annen databehandler fordi databehandleren ikke kan behandle personopplysninger på en annen måte enn det den behandlingsansvarlige selv har lov til.

Når foreligger det et databehandleroppdrag?

Noen ganger er det vanskelig å avgjøre om det foreligger et databehandleroppdrag, og hvem som eventuelt er behandlingsansvarlig og databehandler i dette oppdraget. Vi skal se nærmere på ulike momenter som kan legges vekt på i vurderingen av om det foreligger et databehandleroppdrag.

For at det skal foreligge en databehandlerrelasjon er det en forutsetning at noen faktisk behandler personopplysninger på andres vegne. Det er også en forutsetning at oppdraget faktisk går ut på å behandle personopplysninger og i realiteten ikke er et annet type oppdrag, eksempelvis en reparasjon.

Hva slags ytelse eller oppdrag skal leveres/utføres?

Det foreligger kun en databehandlerrelasjon hvis oppdraget du gir den andre virksomheten går ut på å behandle personopplysninger på vegne av deg. For at det skal foreligge en databehandlerrelasjon er det altså en forutsetning at den andre parten faktisk behandler personopplysninger, og at formålet helt eller delvis går ut på å behandle personopplysninger.

Å behandle personopplysninger er for eksempel å lagre, samle inn, utlevere eller slette personopplysninger.

Hvis oppdraget i realiteten går ut på noe annet enn å behandle personopplysninger, for eksempel en håndverkertjeneste, er det ikke sikkert at det foreligger noen databehandlerrelasjon. Ved å bruke en håndverkertjeneste er formålet for eksempel å utføre en reparasjon, ikke å behandle personopplysninger. Dette gjelder normalt også selv om håndverkeren får tilgang til visse personopplysninger under oppdraget fordi dette er nødvendig for å kunne gjennomføre reparasjonen. Med andre ord foreligger det ikke alltid en databehandlerrelasjon selv om du er nødt til å utlevere personopplysninger for å motta en tjeneste.

Dersom du gir en ekstern virksomhet eller person omfattende tilgang til personopplysninger kan det likevel oppstå et databehandleroppdrag. Dette gjelder selv om oppdraget ved første øyesyn ikke fremstår som et klassisk databehandleroppdrag. Gir du andre tilgang til personopplysninger, i stor eller systematisk grad, består oppdraget i det minste delvis i å behandle personopplysninger, selv om dette ikke nødvendigvis er hovedoppdraget.

Eksempler

Reparasjon av PC

Du leier inn en reparatør til å reparere datamaskiner. På datamaskinene kan det ligge personopplysninger. Reparatørens oppdrag går hverken helt eller delvis ut på å behandle personopplysninger. Det foreligger derfor ikke et databehandleroppdrag selv om reparatøren potensielt får tilgang til personopplysninger. Du kan derfor be reparatøren signere en taushetserklæring, men en databehandleravtale er som regel ikke nødvendig.

It-tjenester

Du leier inn en tjeneste som har fjerntilgang til dine systemer. Tjenesten består i å drive support for dine ansatte gjennom systemene. Hovedoppdraget er altså ikke å behandle personopplysninger. Men tjenesten har kontinuerlig fjerntilgang til systemet og personopplysningene som ligger der. I dette tilfellet kan man si at oppdraget delvis går ut på å behandle personopplysninger, selv om hovedoppdraget er å yte support. Det foreligger derfor trolig et databehandleroppdrag og man må ha databehandleravtale.


Varelevering

Du driver en nettbutikk, og bestiller en tjeneste som leverer varene på døra til kundene dine. For at varene skal bli levert til korrekt kunde er det en forutsetning at du må utlevere kundens navn og adresse til leverandøren. Selv om leverandøren mottar personopplysninger er oppdraget å levere varer. Oppdraget er hverken helt eller delvis å behandle personopplysninger. Det foreligger derfor ikke et databehandleroppdrag selv om leverandøren mottar kundens navn og adresse. Leverandøren vil nok her være en selvstendig behandlingsansvarlig for opplysningene han mottar. 

Bedriftshelsetjeneste

Du er arbeidsgiver og tilbyr dine ansatte å bruke en bedriftshelsetjeneste. De ansatte som ønsker å benytte seg av tilbudet kan melde seg på en liste som virksomheten utleverer til bedriftshelsetjenesten. Oppdraget til bedriftshelsetjenesten er hverken helt eller delvis å behandle personopplysninger på virksomhetens vegne. Oppdraget er å tilby helsetjenester og for å oppnå dette må bedriftshelsetjenesten motta opplysninger om dine ansatte. Det foreligger derfor trolig ikke et databehandleroppdrag. Bedriftshelsetjenesten vil nok her være en selvstendig behandlingsansvarlig for opplysningene de mottar.

Hvem bestemmer formålet med å behandle personopplysninger?

I vurderingen av hvem som er behandlingsansvarlig og databehandler er det avgjørende hvem som bestemmer formålet med behandlingen av personopplysninger.

Den behandlingsansvarlige bestemmer formålet med å behandle personopplysningene, og skal fastsette klare og spesifikke formål med å behandle personopplysninger.

Eksempler på ulike formål

  • Kameraovervåking ved inngang for å forebygge ran på en bensinstasjon
  • Behandle fødselsnummer for å foreta kredittvurdering
  • Registrere når ansatte kommer og går fra jobb for å føre timelister
  • Samle inn visse personopplysninger om mulige kandidater for å gjennomføre en ansettelsesprosess.

Det er kun den behandlingsansvarlige som kan bestemme formålet, aldri databehandler.

I vurderingen av om du er behandlingsansvarlig kan du spørre:

  • Hvorfor skjer denne behandlingen?
  • Hvem tok initiativet til å behandle disse personopplysningene?
  • Ville den andre virksomheten behandlet de konkrete opplysningene om ikke du hadde bedt om det?
  • Skjer behandlingen etter instrukser fra deg?
  • Har du en reell innflytelse på hvordan opplysningene skal behandles?

Eksempler

Markedsføring

Du ser et behov for å markedsføre virksomhetens tjenester. Du kontakter et markedsføringsselskap og avtaler at selskapet skal sende ut markedsføring til kundene dine. Det er du som har bestemt å behandle personopplysninger for markedsføring. De konkrete personopplysninger ville ikke blitt behandlet for markedsføring med mindre du ba markedsføringsselskapet dette. Du er derfor behandlingsansvarlig.

Lønnslipp

Som arbeidsgiver ber du en annen virksomhet sende ut lønnslipper på vegne av deg til dine ansatte. Du instruerer den andre virksomheten dette og hvordan utsendelsen skal skje. Den andre virksomheten kan ikke bruke opplysningene til egne formål. Du er derfor behandlingsansvarlig og virksomheten som sender ut lønnslipper er databehandler.

Vakttjenester

Du er plaget med innbrudd i butikken din og setter derfor opp et overvåkingskamera. Du ber et vaktselskap om å lagre opptak, og undersøke opptakene om det skjer noe mistenkelig. Vaktselskapet behandler opptakene på vegne av deg, og er derfor databehandler. Du er på din side behandlingsansvarlig.

Hvem bestemmer hvilke midler man skal bruke i behandlingen?

Den behandlingsansvarlige bestemmer hvilke midler man skal bruke i behandlingen.

Midler er både tekniske løsninger som man bruker i behandlingen og organisatoriske beslutninger. En organisatorisk beslutning er blant annet beslutningen om hvilke personopplysninger man trenger for å oppnå formålet. Et annet eksempel er beslutningen om hvor lenge det er nødvendig å lagre opplysningene.

Når du vurderer hvem som bestemmer midlene kan du spørre:

  • Hvem bestemmer hvilke personopplysninger man trenger?
  • Hvem bestemmer hvordan opplysningene skal behandles og når de skal slettes?

Dersom du bestemmer dette er du trolig behandlingsansvarlig.

Du kan likevel delegere visse beslutninger om midler til databehandleren. Dette forutsetter at beslutningen om midler ikke har avgjørende eller stor betydning for behandlingen. På den ene siden kan databehandleren vanligvis beslutte hvilken programvare man skal bruke i behandlingen. En slik beslutning har som regel ikke avgjørende betydning eller påvirker selve behandlingen. På den andre siden er det kun den behandlingsansvarlige som kan beslutte hvilke personopplysninger man skal behandle da dette har stor betydning for behandlingen.

Husk: Du er overordnet ansvarlig for å etterleve regelverket selv om du overlater visse beslutninger til databehandleren.

Den som tar de avgjørende beslutningene om hvilke midler man skal benytte i behandlingen er som hovedregel behandlingsansvarlig.

Hva sier loven?

Loven kan iblant bestemme hvem som er behandlingsansvarlig. For eksempel er mange offentlige virksomheter pålagt ved lov å behandle visse type personopplysninger for å utføre en oppgave. Da er det som hovedregel klart at den offentlige myndigheten er behandlingsansvarlig for disse opplysningene.

Loven kan også indirekte bestemme at du er behandlingsansvarlig. For eksempel kan du være nødt til å behandle visse opplysninger for å oppfylle et lovkrav. Da er du som hovedregel behandlingsansvarlig for disse opplysningene.

Eksempel

Mange virksomheter er underlagt bokføringsplikt. Personopplysningene man behandler for å oppfylle bokføringsplikten er man vanligvis selv behandlingsansvarlig for.

Hva sier avtalen?

Hva som er bestemt ved avtale mellom partene kan også ha betydning i vurderingen. Det forutsetter at det ikke er tvil om at avtalen reflekterer de faktiske forholdene, og hvem som faktisk bestemmer. Man kan altså ikke avtale at en virksomhet er behandlingsansvarlig dersom virksomheten reelt sett er en databehandler, og omvendt. Med andre ord kan du ikke avtale deg bort fra ansvaret du har etter personvernregelverket.

Er den andre parten bundet av egne forpliktelser om hvordan man skal behandle personopplysninger?

Virksomheter bruker ofte konsultasjonstjenester og andre type tjenester. Selv om virksomheten initierer bruken av tjenesten foreligger det ikke automatisk et databehandleroppdrag. Som nevnt ovenfor må du vurdere hva oppdraget faktisk omhandler. I vurderingen kan du legge vekt på om tjenesten du vil benytte har selvstendig ansvar og forpliktelser for hvordan tjenesten behandler opplysninger.

Eksempler

Revisortjenester

Virksomheten din benytter revisortjenester. Selv om revisoren behandler opplysninger om dine kunder og ansatte har revisoren selvstendige forpliktelser for hvordan opplysningene skal behandles. Videre kan revisoren trolig ikke ta imot detaljerte instrukser fra deg om hvordan opplysningene skal behandles. Dette taler for at det ikke foreligger et databehandleroppdrag.

Advokattjenester

Virksomheten din benytter en advokat for å få juridisk rådgivning i en nedbemanningsprosess. Advokaten mottar opplysninger om virksomhetens ansatte for å kunne gi råd.  Advokaten har selvstendige forpliktelser knyttet til hvordan hun behandler opplysningene, og arbeidsgiver kan derfor ikke alltid instruere advokaten om hvordan hun skal behandle opplysningene. Dette taler for at det ikke foreligger et databehandleroppdrag.

Oppsummering av vurderingsmomentene

Vi har listet opp de viktigste momentene du kan legge vekt på i vurderingen av om det foreligger et databehandleroppdrag, og om du er behandlingsansvarlig eller databehandler.

Er konklusjonen fremdeles uklar må du veie momentene opp mot hverandre. Taler flest momenter for at det foreligger et databehandleroppdrag eller ikke? Du bør videre vurdere hvilke momenter som veier tyngst. Husk likevel at visse momenter er avgjørende for vurderingen. Du kan for eksempel aldri være databehandler dersom du bestemmer formålene.

  1. Personopplysningene behandles kun til dine formål.
  2. Det er du som er overordnet ansvarlig for å overholde personvernregelverket.
  3. Den andre parten behandler opplysninger på vegne av deg og har ikke bestemmelsesrett over opplysningene.
  4. Den andre parten er en ekstern virksomhet separat fra deg.
  5. Loven eller lignende pålegger deg å behandle visse personopplysninger.
  6. En avtale mellom deg og en annen part inneholder en direkte eller indirekte instruks om å behandle personopplysninger (motsatt: avtalen omhandler levering av et annet type oppdrag eller tjeneste).
  7. Du kan instruere den andre parten om hvordan personopplysningene skal behandles.
  8. Den andre parten kan bare lovlig behandle opplysningene etter instruks fra deg, og kan ikke bruke opplysningene til egne formål.
  9. Det er du som bestemmer formål og de avgjørende hjelpemidlene for hvordan opplysningene skal behandles.
  10. Du kan kontrollere at den andre parten behandler opplysningene som avtalt.
  11. Personene du behandler personopplysninger om har en berettiget forventning om at du er behandlingsansvarlig.
  12. Du kan kreve at den andre parten sletter eller tilbakeleverer opplysningene.

Felles behandlingsansvar

Personvernforordningen slår fast at to eller flere behandlingsansvarlige kan ha et felles behandlingsansvar.

En eller flere konkrete behandlinger kan ha flere behandlingsansvarlige

Et felles behandlingsansvar oppstår når to eller flere separate behandlingsansvarlige i felleskap beslutter formål og de avgjørende midlene i behandlingen.

Felles behandlingsansvar kan oppstå både hos virksomheter som er tett knyttet opp til hverandre, men også hos virksomheter som vanligvis ikke har noe særlig med hverandre å gjøre.

Felles behandlingsansvar kan med andre ord oppstå i mange tilfeller. Dermed er det også vanskelig å gi helt klare retningslinjer for når det foreligger felles behandlingsansvar. En konkret vurdering må gjøres i hvert enkelt tilfelle.

Hver enkelt virksomhet må lovlig kunne behandle personopplysningene

Felles behandlingsansvar kan bare oppstå dersom hver enkelt behandlingsansvarlig på egenhånd har lovlig adgang til å behandle de konkrete personopplysningene. Hver enkelt behandlingsansvarlig må derfor ha et behandlingsgrunnlag.

En virksomhet som ikke har behandlingsgrunnlag for å behandle personopplysningene kan aldri være en del av «felleskapet», og kan ikke være felles behandlingsansvarlig. En virksomhet kan dermed ikke «arve» et gyldig behandlingsgrunnlag ved å inngå en avtale om felles behandlingsansvar.

De behandlingsansvarlige fastsetter i felleskap formålet og midlene

Det foreligger kun felles behandlingsansvar hvis virksomhetene i felleskap fastsetter formål og midler. Det oppstår derimot ikke et felles behandlingsansvar når flere behandlingsansvarlige hver for seg tar beslutninger knyttet til formål og midler. Dette gjelder selv om virksomhetene behandler de samme personopplysningene.

Felles behandlingsansvar kan ha ulike former og ulik ansvarsfordeling. Det er ikke et krav om at ansvaret er likt fordelt. Du kan være felles behandlingsansvarlig selv om du kun er delaktig i en svært liten del av beslutningene som tas.  Du kan også legge vekt på om du har en egeninteresse i å behandle de konkrete personopplysningene, og på en eller annen måte har bidratt til å bestemme om behandlingen skal skje eller hvordan behandlingen skal skje.

Eksempler

Konsern

Flere virksomheter innad i et konsern bestemmer i fellesskap å opprette et felles kunderegister. Virksomhetenes formål er å administrere kundeforholdene effektivt. Virksomhetene bestemmer i felleskap hvem som skal ha tilgang til registeret, når kundeopplysningene skal slettes og hvilke tekniske system som skal brukes. Dette tyder på at alle virksomhetene innad i konsernet er felles behandlingsansvarlige for dette konkrete registeret.

Markedsføring via internettplattform

En virksomhet vil markedsføre egne produkter til potensielle kunder via en internettplattform. Internettplattformen har også en egeninteresse i å behandle disse opplysningene for å forbedre sin markedsføring. I felleskap inngår virksomhetene en avtale som blant annet sier noe om hvordan markedsføringen skal skje, hvem den skal rette seg mot og hvordan personopplysningene skal brukes.

I dette tilfellet behandler begge virksomhetene de samme opplysningene for samme formål, og bestemmer i felleskap hvordan dette skal skje. Dette tyder på at det foreligger et felles behandlingsansvar for opplysningene som behandles ved markedsføringen.

Kameraovervåking i felleskap

To butikker holder til i samme bygg og har felles inngang. Ved gjentatte tilfeller er butikkene blitt plaget med innbrudd og har tapt store verdier. Butikkene bestemmer i felleskap å installere kameraovervåking ved fellesinngangen i en periode, og at opptak skal gjennomgås ved mistenkelige hendelser.

Her har butikkene i felleskap bestemt formålet med kameraovervåkingen og hvordan overvåkingen skal gjennomføres. Dette tyder på at det foreligger et felles behandlingsansvar for kameraovervåkingen.

Rekrutteringsselskap

Et rekrutteringsselskap har en egen database. I databasen plukker selskapet ut egnede kandidater for en stilling som kunden ønsker besatt. Rekrutteringsselskapet står for søk, kartlegging og innhenter CV og referanser. Kunden bestemmer tilslutt hvem som skal ansettes. Her har rekrutteringsselskapet og kunden i felleskap bestemt formål (ansettelse hos kunden) noe som taler for at de er felles behandlingsansvarlige.

Motsatt tilfelle foreligger der rekrutteringsselskapet mottar jobbsøknadene fra kunden. Deretter vurderer rekrutteringsselskapet søknadene på vegne av kunden (for eksempel bakgrunnssjekk), men får ikke bruke informasjonen om kandidatene til egne formål (for eksempel lagre informasjonen i egen database). I så fall er rekrutteringsselskapet databehandler, og kunden behandlingsansvarlig.

Felles informasjonssystem

Det kan oppstå et felles behandlingsansvar hvis flere behandlingsansvarlige lager en felles infrastruktur eller informasjonssystem for å behandle personopplysninger. Ved bruk av felles informasjonssystem har ofte flere virksomheter gått sammen og bestemt hva slags opplysninger som skal lagres i systemet, lagringstid og hvem skal ha tilgang. Virksomhetene bestemmer i felleskap formålet med å bruke systemet, og de avgjørende midlene ved behandlingen. Det kan da fort oppstå et felles behandlingsansvar.

Det er likevel ikke slik at det alltid oppstår felles behandlingsansvar ved bruk av felles informasjonssystem. Det oppstår ikke felles behandlingsansvar hvis flere virksomheter i et konsern bruker et felles system, men hver for seg er ansvarlig for opplysningene de legger inn. For eksempel er en virksomhet i rollen som arbeidsgiver selvstendig behandlingsansvarlig for opplysninger om egne ansatte. Dette gjelder selv om virksomheten legger inn ansattopplysningene i et felles informasjonssystem hos et konsern. Her plikter selvfølgelig virksomhetene i konsernet også å sørge for tilfredsstillende tilgangsstyring i systemet.

Skille felles behandlingsansvar fra databehandlerrelasjoner

I vurderingen om det foreligger felles behandlingsansvar må man skille ut andre typer relasjoner mellom virksomheter, eksempelvis databehandlerrelasjoner.

Ved felles behandlingsansvar har de behandlingsansvarlige en lovlig adgang til å behandle opplysningene, og har i fellesskap fastsatt formål og midler. En databehandler har derimot ikke lovlig adgang til å bestemme formålet eller behandle de konkrete opplysningene til egne formål.

En behandlingsansvarlig som for eksempel ønsker å benytte en nettjeneste må derfor lese avtalen godt og vurdere hva slags forhold som oppstår ved å godta avtalen.

  • Blir dere behandlingsansvarlig?
  • Er dere i fellesskap med nettjenesten behandlingsansvarlig?
  • Skjer det egentlig en utlevering og nettjenesten blir behandlingsansvarlig?
  • Eller blir nettjenesten en databehandler?

Eksempler

Skytjeneste

Virksomheten ber en skytjeneste lagre personopplysninger på deres vegne og gir tjenesten er klar instruks om hvordan opplysningene skal behandles. Skytjenesten kan ikke bruke noen av personopplysningene til egne formål. Det foreligger derfor et databehandleroppdrag.

Sosial nettjeneste

En forening oppretter et nettsted for sine medlemmer. For å administrere nettsiden integrerer foreningen en «liker» knapp fra en sosial nettjeneste. Nettjenesten har bestemte vilkår for hvordan personopplysninger behandles hvis brukeren trykker på «liker»-knappen. Når brukeren trykker på «liker»-knappen mottar nettjenesten opplysninger om brukeren for å lagre statistikk for kunden, og for å forbedre egne statistikktjenester. Foreningen får på sin side økt synlighet og mottar statistikk fra nettjenesten.

I dette tilfellet oppsto det trolig et felles behandlingsansvar da foreningen bestemte å godta avtalen, og dermed gi nettjenesten tilgang til å behandle opplysninger om brukerne. Foreningen og nettjenesten bestemte i prinsippet sammen hva opplysningene om brukeren skal benyttes til.

Vær oppmerksom på at felles behandlingsansvar kan oppstå selv om opplysningene du mottar for statistikkformål i et slikt tilfelle er anonyme. Grunnen til dette er at selve behandlingen av personopplysninger skjedde i det øyeblikket brukeren trykket på «liker»-knappen. Det er dermed ikke alltid et krav om at du fysisk kan se de konkrete personopplysningene såfremt du har vært delaktig i å bestemme at selve behandlingen av personopplysninger skal skje.

Skille felles behandlingsansvar fra utlevering

Felles behandlingsansvar oppstår ikke automatisk ved at flere virksomheter er tilknyttet hverandre når de behandler personopplysninger. Ofte skjer det kun en utlevering av personopplysninger fra en behandlingsansvarlig til en annen behandlingsansvarlig.

Eksempel

Et reisebyrå sender kundedata til et flyselskap og et hotell for å reservere en reisepakke for kunden. Flyselskapet og hotellet reserverer tilbudet for kunden. Reiseselskapet videreformidler deretter tilbudet til kunden som godtar dette.

Selv om de tre virksomhetene behandler de samme opplysningene er det klart at de tre virksomhetene er selvstendig behandlingsansvarlig for opplysningene. Grunnen til dette er at virksomhetene har hvert sitt formål og egne selvstendige forpliktelser når de behandler personopplysningene.

Hva er særlig viktig å tenke på ved felles behandlingsansvar?

Dersom du deler behandlingsansvaret med andre må du ha et bevisst forhold til rammene for å utøve dette ansvaret. Du må derfor avtale med de andre behandlingsansvarlige hvordan dere skal fordele ansvaret dere imellom.

I utgangspunktet står dere fritt til hvordan ansvaret skal fordeles, formen på avtalen og strukturen. Det er heller ikke et krav om at selve avtalen er skriftlig, men det kan likevel ikke være tvil om hvem som har ansvaret for hva. For å skape klarhet og åpenhet for partene i avtalen, enkeltpersoner og tilsynsmyndigheter er det derfor hensiktsmessig at avtalen er skriftlig. Språket bør være enkelt og tydelig, og man bør unngå at avtalen er for lang og omstendelig slik at den blir vanskelig å lese.

Det er viktig å huske på at den «interne» ansvarsfordelingen ikke endrer på at virksomhetene i fellesskap er overordnet ansvarlig for at regelverket etterleves. Dette betyr også at den registrerte kan henvende seg til alle de ansvarlige virksomhetene for å utøve sine rettigheter. Det mest vesentlig innholdet i avtalen skal dessuten være tilgjengelig for de registrerte enkeltpersonene.

Uavhengig av hvilken konklusjon du kommer til innebærer ansvarlighetsprinsippet at du må kunne demonstrere hvilke vurderinger som er gjort før avgjørelsen ble tatt. Dette gjelder både beslutningen om at det foreligger et felles ansvar, og eventuelt hvilken ansvarsfordeling dere skal ha. Åpenhet om hva du faktisk gjør når du behandler personopplysninger er derfor viktig. Dette gjelder uansett om du behandler personopplysninger i felleskap med andre eller ei. Åpenhet skaper trygghet både innad i virksomheten og for den registrerte.

 

Konsekvensene av om det foreligger et databehandleroppdrag eller ikke

Det har stor betydning om det foreligger et databehandleroppdrag eller ikke. I det ene tilfellet må du vurdere om databehandleren gir tilstrekkelige garantier for at loven etterleves og du må inngå en databehandleravtale. I det andre tilfellet må du sørge for å ha et behandlingsgrunnlag for utleveringen så det ikke skjer en ulovlig utlevering av personopplysninger.

Du er behandlingsansvarlig og det foreligger et databehandleroppdrag

Dersom det foreligger en databehandlerrelasjon mellom deg og en annen må du inngå en databehandleravtale. Databehandleravtalen skal inngås mellom den behandlingsansvarlige og databehandleren.

Databehandleravtalen må oppfylle visse krav. Det må være en bindende avtale som er skriftlig, og den kan være elektronisk.

Personvernforordningen fastsetter også andre krav til innholdet i en databehandleravtale.

Du er behandlingsansvarlig, skal utlevere personopplysninger og det foreligger ikke et databehandleroppdrag

Dersom du skal utlevere personopplysninger til en annen, og det ikke foreligger et databehandleroppdrag, må du sørge for at du har lov til å utlevere opplysningene til mottakeren. Du må derfor ha et behandlingsgrunnlag for å utlevere opplysningene.

Et behandlingsgrunnlag kan eksempelvis være samtykke fra den registrerte enkeltpersonen.

Mottakeren må også sørge for å ha et behandlingsgrunnlag for å motta de konkrete opplysningene. Når mottakeren har fått personopplysningene er mottakeren behandlingsansvarlig for disse.

Du er databehandler og vil bruke en underleverandør

Dersom du er databehandler og ønsker å bruke en annen databehandler (underleverandør) må du få en spesifikk eller generell godkjennelse fra den behandlingsansvarlige.

Ved generell skriftlig godkjennelse skal du alltid underrette den behandlingsansvarlige ved planer om å endre eller bruke nye underleverandører. Den behandlingsansvarlige skal ha mulighet til å motsette seg slike endringer.

Underleverandører skal pålegges samme forpliktelser som du har overfor den behandlingsansvarlige. En databehandleravtale med en underleverandør skal derfor aldri gi dårligere beskyttelse enn avtalen du har inngått med den behandlingsansvarlige.

Dersom underleverandøren ikke oppfyller sine forpliktelser blir du ansvarlig overfor den behandlingsansvarlige for at underleverandøren oppfyller sine forpliktelser (Personvernforordningen artikkel 28 nr. 4).

 

Databehandleravtale

En databehandleravtale skal sikre at personopplysninger blir behandlet i samsvar med regelverket og setter en klar ramme for hvordan databehandleren kan behandle opplysninger.
Vi har laget en veileder som skal gi en praktisk innføring i når man må inngå en databehandleravtale og kravene til innholdet i en slik avtale.

Databehandleravtale