Når må man inngå en databehandleravtale?
Hvis en virksomhet som er behandlingsansvarlig, setter ut hele eller deler av behandlingen av personopplysninger til andre virksomheter, er den eller de som behandler opplysningene på vegne av den behandlingsansvarlige definert som databehandlere.
Eksempel 1
En virksomhet må inngå en databehandleravtale hvis de bruker et markedsføringsfirma til å sende ut markedsføring på vegne av seg.
Eksempel 2
En virksomhet må inngå en databehandleravtale dersom de bruker en annen virksomhets skytjeneste til å lagre kundeopplysninger.
En databehandler kan ikke behandle personopplysninger på en annen måte enn det som er skriftlig avtalt med den behandlingsansvarlige. I slike tilfeller er det derfor et krav om å inngå en databehandleravtale etter norsk lov (personvernforordningen artikkel 28 nr. 3).
En databehandleravtale kan være en frittstående avtale mellom partene eller en integrert del av annet avtaleverk.
Dersom en databehandler bruker en annen databehandler (en underleverandør) til å gjøre hele eller deler av behandlingen, må det også foreligge en databehandleravtale mellom databehandleren og underleverandøren.
Definisjoner
Behandlingsansvarlig er den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes. Behandlingsansvarlig har ansvaret for at opplysninger behandles i tråd med personopplysningslovens krav.
En behandling av personopplysninger er enhver bruk av personopplysninger, som for eksempel innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter.
En databehandler er den som behandler personopplysninger på vegne av den behandlingsansvarlige. Databehandleren har et selvstendig ansvar for å ha tilfredsstillende informasjonssikkerhet, for å verne personopplysningene som behandles på vegne av behandlingsansvarlige. Databehandleren skal bare behandle personopplysninger i tråd med det som er avtalt med den behandlingsansvarlige.
En databehandler vil ha selvstendig ansvar for personopplysninger som behandles på egne vegne, eksempelvis opplysninger om egne ansatte.