fbpx Databehandler | Arkitektur- og designhøgskolen i Oslo

Språk

Databehandler

Databehandler er en virksomhet (eller enkeltperson) som utfører databehandlingsoppdrag på vegne av den behandlingsansvarlige (universitetet eller høyskolen). Databehandlere kan for eksempel være kommersielle virksomheter som leverer nettbaserte tjenester eller universiteter/høyskoler som drifter IT-tjenester (hvor personopplysninger behandles) for andre institusjoner i sektoren. Leverandører av skytjenester, for eksempel systemer som plagiatkontroll eller læringsplattformer, er konkrete eksempler på databehandlere. 

Behandlingsansvarlig (universitetet eller høyskolen) kan bare velge databehandlere (tjenesteleverandører) som er i stand til å oppfylle sine plikter slik de er definert i GDPR. Universitetet eller høyskolen plikter i tillegg å inngå en egen avtale med databehandleren (tjenesteleverandøren) som beskriver hva databehandleren kan gjøre med personopplysningene, og hvordan de skal sikres mot uautorisert tilgang, endring, sletting, tap, ødeleggelse eller utilgjengelighet (informasjonssikkerhet). Slike avtaler (databehandleravtaler) skal inngås uavhengig av om databehandleren (leverandøren) befinner seg i Norge, innenfor EU/EØS-området eller i tredjeland (se drøftelsen av overføring til tredjeland nedenfor). 

Databehandlere skal ha kontroll på hvordan eventuelle underleverandører som benyttes i tjenesteleveransen, for eksempel leverandører av teknisk infrastruktur eller kundestøtte (support), håndterer personopplysninger som universitetet eller høyskolen er behandlingsansvarlig for.  

Dersom databehandleren (tjenesteleverandøren) behandler personopplysninger på en måte som (i) krenker de registrertes personvern og (ii) ikke i samsvar med avtalen eller reglene i GDPR, vil både universitetet/høyskolen og databehandleren (tjenesteleverandøren) stå ansvarlig for dette. Det betyr at begge kan bli ilagt sanksjoner fra tilsynsmyndigheten (Datatilsynet), blant annet overtredelsesgebyr. Institusjonene kan dessuten bli erstatningsansvarlig overfor den eller de som har blitt utsatt for personvernkrenkelser som følge av regelbrudd begått av databehandleren (tjenesteleverandøren).