Konsekvensene av om det foreligger et databehandleroppdrag eller ikke
Det har stor betydning om det foreligger et databehandleroppdrag eller ikke. I det ene tilfellet må du vurdere om databehandleren gir tilstrekkelige garantier for at loven etterleves og du må inngå en databehandleravtale. I det andre tilfellet må du sørge for å ha et behandlingsgrunnlag for utleveringen så det ikke skjer en ulovlig utlevering av personopplysninger.
Du er behandlingsansvarlig og det foreligger et databehandleroppdrag
Dersom det foreligger en databehandlerrelasjon mellom deg og en annen må du inngå en databehandleravtale. Databehandleravtalen skal inngås mellom den behandlingsansvarlige og databehandleren.
Databehandleravtalen må oppfylle visse krav. Det må være en bindende avtale som er skriftlig, og den kan være elektronisk.
Personvernforordningen fastsetter også andre krav til innholdet i en databehandleravtale.
Du er behandlingsansvarlig, skal utlevere personopplysninger og det foreligger ikke et databehandleroppdrag
Dersom du skal utlevere personopplysninger til en annen, og det ikke foreligger et databehandleroppdrag, må du sørge for at du har lov til å utlevere opplysningene til mottakeren. Du må derfor ha et behandlingsgrunnlag for å utlevere opplysningene.
Et behandlingsgrunnlag kan eksempelvis være samtykke fra den registrerte enkeltpersonen.
Mottakeren må også sørge for å ha et behandlingsgrunnlag for å motta de konkrete opplysningene. Når mottakeren har fått personopplysningene er mottakeren behandlingsansvarlig for disse.
Du er databehandler og vil bruke en underleverandør
Dersom du er databehandler og ønsker å bruke en annen databehandler (underleverandør) må du få en spesifikk eller generell godkjennelse fra den behandlingsansvarlige.
Ved generell skriftlig godkjennelse skal du alltid underrette den behandlingsansvarlige ved planer om å endre eller bruke nye underleverandører. Den behandlingsansvarlige skal ha mulighet til å motsette seg slike endringer.
Underleverandører skal pålegges samme forpliktelser som du har overfor den behandlingsansvarlige. En databehandleravtale med en underleverandør skal derfor aldri gi dårligere beskyttelse enn avtalen du har inngått med den behandlingsansvarlige.
Dersom underleverandøren ikke oppfyller sine forpliktelser blir du ansvarlig overfor den behandlingsansvarlige for at underleverandøren oppfyller sine forpliktelser (Personvernforordningen artikkel 28 nr. 4).