Behandlingsansvarlig er vedkommende virksomhet (eller enkeltperson) som bestemmer hva som skal skje med personopplysningene (hva opplysningene skal brukes til og hvilke tekniske hjelpemidler som skal anvendes i behandlingen av dem). Den behandlingsansvarlige skal sørge for at bruken av personopplysninger skjer på en måte som (i) er i samsvar med reglene i GDPR og (ii) ikke krenker de registrertes personvern.
Universiteter og høyskoler er behandlingsansvarlige for alle personopplysninger som benyttes i egen undervisning, administrasjon, forskning og formidling. Dette gjelder også når driften av systemer eller andre tekniske løsninger hvor personopplysninger behandles er satt ut til eksterne aktører (se beskrivelsen av databehandler nedenfor).
Behandlingsansvarlig (universitetet eller høyskolen) pålegges en rekke plikter ved behandling av personopplysninger. Dette inkluderer blant annet plikten til å sørge for at
Behandlingsansvarlig (universitetet eller høyskolen) har i tillegg plikt til å ivareta den registrertes (studenter, ansatte, osv.) rettigheter (se beskrivelsen av disse rettighetene ovenfor).
Brudd på regelverket kan utløse sanksjoner fra tilsynsmyndigheten (Datatilsynet), blant annet overtredelsesgebyr. Behandlingsansvarlig (universitetet eller høyskolen) kan også bli erstatningsansvarlige overfor den eller de som utsettes for personvernkrenkelser som følge av regelbrudd.
Databehandler er en virksomhet (eller enkeltperson) som utfører databehandlingsoppdrag på vegne av den behandlingsansvarlige (universitetet eller høyskolen). Databehandlere kan for eksempel være kommersielle virksomheter som leverer nettbaserte tjenester eller universiteter/høyskoler som drifter IT-tjenester (hvor personopplysninger behandles) for andre institusjoner i sektoren. Leverandører av skytjenester, for eksempel systemer som plagiatkontroll eller læringsplattformer, er konkrete eksempler på databehandlere.
Behandlingsansvarlig (universitetet eller høyskolen) kan bare velge databehandlere (tjenesteleverandører) som er i stand til å oppfylle sine plikter slik de er definert i GDPR. Universitetet eller høyskolen plikter i tillegg å inngå en egen avtale med databehandleren (tjenesteleverandøren) som beskriver hva databehandleren kan gjøre med personopplysningene, og hvordan de skal sikres mot uautorisert tilgang, endring, sletting, tap, ødeleggelse eller utilgjengelighet (informasjonssikkerhet). Slike avtaler (databehandleravtaler) skal inngås uavhengig av om databehandleren (leverandøren) befinner seg i Norge, innenfor EU/EØS-området eller i tredjeland (se drøftelsen av overføring til tredjeland nedenfor).
Databehandlere skal ha kontroll på hvordan eventuelle underleverandører som benyttes i tjenesteleveransen, for eksempel leverandører av teknisk infrastruktur eller kundestøtte (support), håndterer personopplysninger som universitetet eller høyskolen er behandlingsansvarlig for.
Dersom databehandleren (tjenesteleverandøren) behandler personopplysninger på en måte som (i) krenker de registrertes personvern og (ii) ikke i samsvar med avtalen eller reglene i GDPR, vil både universitetet/høyskolen og databehandleren (tjenesteleverandøren) stå ansvarlig for dette. Det betyr at begge kan bli ilagt sanksjoner fra tilsynsmyndigheten (Datatilsynet), blant annet overtredelsesgebyr. Institusjonene kan dessuten bli erstatningsansvarlig overfor den eller de som har blitt utsatt for personvernkrenkelser som følge av regelbrudd begått av databehandleren (tjenesteleverandøren).
Et personvernombud er en ressursperson som skal hjelpe behandlingsansvarlig eller databehandler (tjenesteleverandøren) i spørsmål som omhandler personvern og behandling av personopplysninger. Offentlige virksomheter, inkludert universiteter og høyskoler, har plikt til å utnevne personvernombud.
Personvernombudet kan være en ansatt i institusjonen. Det kan også være en ekstern ressursperson som institusjonen har inngått en tjenesteavtale med.
Ombudet skal rapportere til toppledelsen, men skal være uavhengig i sin rolle (ikke instrueres av toppledelsen i utførelsen av sine arbeidsoppgaver). Det er derfor ikke meningen at personvernombudet skal være ansvarlig for arbeidet med personvern og etterlevelsen av GDPR i institusjonen.
Ombudets arbeidsoppgaver er blant annet å gi institusjonen råd om hvordan reglene i GDPR kan overholdes og å kontrollere at reglene følges. Personvernombudet skal dessuten være et kontaktpunkt for de registrerte (studenter, ansatte, osv.) i personvernspørsmål og for tilsynsmyndigheten (Datatilsynet).