Når foreligger det et databehandleroppdrag?
Noen ganger er det vanskelig å avgjøre om det foreligger et databehandleroppdrag, og hvem som eventuelt er behandlingsansvarlig og databehandler i dette oppdraget. Vi skal se nærmere på ulike momenter som kan legges vekt på i vurderingen av om det foreligger et databehandleroppdrag.
For at det skal foreligge en databehandlerrelasjon er det en forutsetning at noen faktisk behandler personopplysninger på andres vegne. Det er også en forutsetning at oppdraget faktisk går ut på å behandle personopplysninger og i realiteten ikke er et annet type oppdrag, eksempelvis en reparasjon.
Hva slags ytelse eller oppdrag skal leveres/utføres?
Det foreligger kun en databehandlerrelasjon hvis oppdraget du gir den andre virksomheten går ut på å behandle personopplysninger på vegne av deg. For at det skal foreligge en databehandlerrelasjon er det altså en forutsetning at den andre parten faktisk behandler personopplysninger, og at formålet helt eller delvis går ut på å behandle personopplysninger.
Å behandle personopplysninger er for eksempel å lagre, samle inn, utlevere eller slette personopplysninger.
Hvis oppdraget i realiteten går ut på noe annet enn å behandle personopplysninger, for eksempel en håndverkertjeneste, er det ikke sikkert at det foreligger noen databehandlerrelasjon. Ved å bruke en håndverkertjeneste er formålet for eksempel å utføre en reparasjon, ikke å behandle personopplysninger. Dette gjelder normalt også selv om håndverkeren får tilgang til visse personopplysninger under oppdraget fordi dette er nødvendig for å kunne gjennomføre reparasjonen. Med andre ord foreligger det ikke alltid en databehandlerrelasjon selv om du er nødt til å utlevere personopplysninger for å motta en tjeneste.
Dersom du gir en ekstern virksomhet eller person omfattende tilgang til personopplysninger kan det likevel oppstå et databehandleroppdrag. Dette gjelder selv om oppdraget ved første øyesyn ikke fremstår som et klassisk databehandleroppdrag. Gir du andre tilgang til personopplysninger, i stor eller systematisk grad, består oppdraget i det minste delvis i å behandle personopplysninger, selv om dette ikke nødvendigvis er hovedoppdraget.
Eksempler
Reparasjon av PC
Du leier inn en reparatør til å reparere datamaskiner. På datamaskinene kan det ligge personopplysninger. Reparatørens oppdrag går hverken helt eller delvis ut på å behandle personopplysninger. Det foreligger derfor ikke et databehandleroppdrag selv om reparatøren potensielt får tilgang til personopplysninger. Du kan derfor be reparatøren signere en taushetserklæring, men en databehandleravtale er som regel ikke nødvendig.
It-tjenester
Du leier inn en tjeneste som har fjerntilgang til dine systemer. Tjenesten består i å drive support for dine ansatte gjennom systemene. Hovedoppdraget er altså ikke å behandle personopplysninger. Men tjenesten har kontinuerlig fjerntilgang til systemet og personopplysningene som ligger der. I dette tilfellet kan man si at oppdraget delvis går ut på å behandle personopplysninger, selv om hovedoppdraget er å yte support. Det foreligger derfor trolig et databehandleroppdrag og man må ha databehandleravtale.
Varelevering
Du driver en nettbutikk, og bestiller en tjeneste som leverer varene på døra til kundene dine. For at varene skal bli levert til korrekt kunde er det en forutsetning at du må utlevere kundens navn og adresse til leverandøren. Selv om leverandøren mottar personopplysninger er oppdraget å levere varer. Oppdraget er hverken helt eller delvis å behandle personopplysninger. Det foreligger derfor ikke et databehandleroppdrag selv om leverandøren mottar kundens navn og adresse. Leverandøren vil nok her være en selvstendig behandlingsansvarlig for opplysningene han mottar.
Bedriftshelsetjeneste
Du er arbeidsgiver og tilbyr dine ansatte å bruke en bedriftshelsetjeneste. De ansatte som ønsker å benytte seg av tilbudet kan melde seg på en liste som virksomheten utleverer til bedriftshelsetjenesten. Oppdraget til bedriftshelsetjenesten er hverken helt eller delvis å behandle personopplysninger på virksomhetens vegne. Oppdraget er å tilby helsetjenester og for å oppnå dette må bedriftshelsetjenesten motta opplysninger om dine ansatte. Det foreligger derfor trolig ikke et databehandleroppdrag. Bedriftshelsetjenesten vil nok her være en selvstendig behandlingsansvarlig for opplysningene de mottar.
Hvem bestemmer formålet med å behandle personopplysninger?
I vurderingen av hvem som er behandlingsansvarlig og databehandler er det avgjørende hvem som bestemmer formålet med behandlingen av personopplysninger.
Den behandlingsansvarlige bestemmer formålet med å behandle personopplysningene, og skal fastsette klare og spesifikke formål med å behandle personopplysninger.
Eksempler på ulike formål
- Kameraovervåking ved inngang for å forebygge ran på en bensinstasjon
- Behandle fødselsnummer for å foreta kredittvurdering
- Registrere når ansatte kommer og går fra jobb for å føre timelister
- Samle inn visse personopplysninger om mulige kandidater for å gjennomføre en ansettelsesprosess.
Det er kun den behandlingsansvarlige som kan bestemme formålet, aldri databehandler.
I vurderingen av om du er behandlingsansvarlig kan du spørre:
- Hvorfor skjer denne behandlingen?
- Hvem tok initiativet til å behandle disse personopplysningene?
- Ville den andre virksomheten behandlet de konkrete opplysningene om ikke du hadde bedt om det?
- Skjer behandlingen etter instrukser fra deg?
- Har du en reell innflytelse på hvordan opplysningene skal behandles?
Eksempler
Markedsføring
Du ser et behov for å markedsføre virksomhetens tjenester. Du kontakter et markedsføringsselskap og avtaler at selskapet skal sende ut markedsføring til kundene dine. Det er du som har bestemt å behandle personopplysninger for markedsføring. De konkrete personopplysninger ville ikke blitt behandlet for markedsføring med mindre du ba markedsføringsselskapet dette. Du er derfor behandlingsansvarlig.
Lønnslipp
Som arbeidsgiver ber du en annen virksomhet sende ut lønnslipper på vegne av deg til dine ansatte. Du instruerer den andre virksomheten dette og hvordan utsendelsen skal skje. Den andre virksomheten kan ikke bruke opplysningene til egne formål. Du er derfor behandlingsansvarlig og virksomheten som sender ut lønnslipper er databehandler.
Vakttjenester
Du er plaget med innbrudd i butikken din og setter derfor opp et overvåkingskamera. Du ber et vaktselskap om å lagre opptak, og undersøke opptakene om det skjer noe mistenkelig. Vaktselskapet behandler opptakene på vegne av deg, og er derfor databehandler. Du er på din side behandlingsansvarlig.
Hvem bestemmer hvilke midler man skal bruke i behandlingen?
Den behandlingsansvarlige bestemmer hvilke midler man skal bruke i behandlingen.
Midler er både tekniske løsninger som man bruker i behandlingen og organisatoriske beslutninger. En organisatorisk beslutning er blant annet beslutningen om hvilke personopplysninger man trenger for å oppnå formålet. Et annet eksempel er beslutningen om hvor lenge det er nødvendig å lagre opplysningene.
Når du vurderer hvem som bestemmer midlene kan du spørre:
- Hvem bestemmer hvilke personopplysninger man trenger?
- Hvem bestemmer hvordan opplysningene skal behandles og når de skal slettes?
Dersom du bestemmer dette er du trolig behandlingsansvarlig.
Du kan likevel delegere visse beslutninger om midler til databehandleren. Dette forutsetter at beslutningen om midler ikke har avgjørende eller stor betydning for behandlingen. På den ene siden kan databehandleren vanligvis beslutte hvilken programvare man skal bruke i behandlingen. En slik beslutning har som regel ikke avgjørende betydning eller påvirker selve behandlingen. På den andre siden er det kun den behandlingsansvarlige som kan beslutte hvilke personopplysninger man skal behandle da dette har stor betydning for behandlingen.
Husk: Du er overordnet ansvarlig for å etterleve regelverket selv om du overlater visse beslutninger til databehandleren.
Den som tar de avgjørende beslutningene om hvilke midler man skal benytte i behandlingen er som hovedregel behandlingsansvarlig.
Hva sier loven?
Loven kan iblant bestemme hvem som er behandlingsansvarlig. For eksempel er mange offentlige virksomheter pålagt ved lov å behandle visse type personopplysninger for å utføre en oppgave. Da er det som hovedregel klart at den offentlige myndigheten er behandlingsansvarlig for disse opplysningene.
Loven kan også indirekte bestemme at du er behandlingsansvarlig. For eksempel kan du være nødt til å behandle visse opplysninger for å oppfylle et lovkrav. Da er du som hovedregel behandlingsansvarlig for disse opplysningene.
Eksempel
Mange virksomheter er underlagt bokføringsplikt. Personopplysningene man behandler for å oppfylle bokføringsplikten er man vanligvis selv behandlingsansvarlig for.
Hva sier avtalen?
Hva som er bestemt ved avtale mellom partene kan også ha betydning i vurderingen. Det forutsetter at det ikke er tvil om at avtalen reflekterer de faktiske forholdene, og hvem som faktisk bestemmer. Man kan altså ikke avtale at en virksomhet er behandlingsansvarlig dersom virksomheten reelt sett er en databehandler, og omvendt. Med andre ord kan du ikke avtale deg bort fra ansvaret du har etter personvernregelverket.
Er den andre parten bundet av egne forpliktelser om hvordan man skal behandle personopplysninger?
Virksomheter bruker ofte konsultasjonstjenester og andre type tjenester. Selv om virksomheten initierer bruken av tjenesten foreligger det ikke automatisk et databehandleroppdrag. Som nevnt ovenfor må du vurdere hva oppdraget faktisk omhandler. I vurderingen kan du legge vekt på om tjenesten du vil benytte har selvstendig ansvar og forpliktelser for hvordan tjenesten behandler opplysninger.
Eksempler
Revisortjenester
Virksomheten din benytter revisortjenester. Selv om revisoren behandler opplysninger om dine kunder og ansatte har revisoren selvstendige forpliktelser for hvordan opplysningene skal behandles. Videre kan revisoren trolig ikke ta imot detaljerte instrukser fra deg om hvordan opplysningene skal behandles. Dette taler for at det ikke foreligger et databehandleroppdrag.
Advokattjenester
Virksomheten din benytter en advokat for å få juridisk rådgivning i en nedbemanningsprosess. Advokaten mottar opplysninger om virksomhetens ansatte for å kunne gi råd. Advokaten har selvstendige forpliktelser knyttet til hvordan hun behandler opplysningene, og arbeidsgiver kan derfor ikke alltid instruere advokaten om hvordan hun skal behandle opplysningene. Dette taler for at det ikke foreligger et databehandleroppdrag.