En del nye digitale tjenester kan dessuten innebære svært attraktive muligheter for utnyttelse av data som samles inn fra sluttbrukerne.

Roller og ansvar etter GDPR i endring

| Innsikt

Personvernregelverket (GDPR) opererer med to ansvarssubjekter - «behandlingsansvarlig» og «databehandler». Rollefordelingen har stor betydning for ansvar og risiko etter GDPR og fører ofte til harde forhandlinger mellom kunde og leverandør.

Denne artikkelen ble først publisert i Finansavisen mandag 8. april.

Tradisjonelt har det vært slik at leverandøren har opptrådt i rollen som databehandler mens kunden har hatt rollen som behandlingsansvarlig. De siste årene har vi imidlertid vært vitne til en endring i markedsaktørenes oppfatninger om egne roller og ansvar under personvernregelverket. Dette reflekteres i kontraktene som inngås og i kommunikasjonen til sluttbrukere av digitale tjenester. Hva er bakgrunnen for dette skiftet? Før GDPR var det først og fremst den behandlingsansvarlige virksomheten som hadde lovpålagte forpliktelser. Dette endret seg med GDPR, som i større grad enn tidligere pålegger databehandlere selvstendige forpliktelser. Økt ansvar og risiko også for databehandler, kan innebære at enkelte virksomheter er mer tilbøyelige til å vurdere å innta rollen som behandlingsansvarlig.

En del nye digitale tjenester kan dessuten innebære svært attraktive muligheter for utnyttelse av data som samles inn fra sluttbrukerne. Leverandører av denne typen tjenester kan ha et ønske om ikke å være underlagt kundens instruksjoner, men selv bestemme hvordan data benyttes.

Enkelte leverandører innenfor for eksempel bank, finans og revisjon er dessuten underlagt regulatoriske krav, som gjør de har selvstendige plikter knyttet til behandling av personopplysninger.

I slike tilfeller vil det kunne være mest riktig og hensiktsmessig å la leverandøren opptre som behandlingsansvarlig. At leverandøren er behandlingsansvarlig betyr at leverandøren i utgangspunktet har risikoen for at datahåndteringen i tjenesten foregår på lovlig vis. Leverandøren vil også ha ansvaret for å informere sluttbrukere og ellers håndtere henvendelser fra dem for de aktivitetene hvor leverandøren er behandlingsansvarlig.

Dersom kunden aksepterer at leverandøren opptrer som behandlingsansvarlig for hele eller deler av behandlingen, er den primære risikoen for kunden knyttet til det å ha et lovlig grunnlag for å overlate håndtering av opplysninger om kunder, ansatte eller andre sluttbrukere til leverandøren. I et tilfelle hvor leverandøren opptrer som en databehandler, løses dette ved inngåelse av en databehandleravtale.

Ved utlevering til en leverandør som opptrer som behandlingsansvarlig kan det også være behov for en avtale. En slik utleveringsavtale er ikke en databehandleravtale, men regulerer ofte mye av det samme som en databehandleravtale. Sentralt i slike avtaler er ofte å regulere hva leverandøren skal få lov til å gjøre med data fra sluttbrukere (bruksformål), slik at kunden har mulighet til å kontrollere lovligheten.

Bruken av utvekslingsavtaler bærer bud om at det tradisjonelle skillet mellom behandlingsansvarlig og databehandler utfordres. I lys av nyere praksis fra EU-domstolen kan det også være slik at samarbeidende aktører oftere vil anses som felles behandlingsansvarlige. Dette innebærer at partene blant annet vil være solidarisk ansvarlig for erstatningskrav fra berørte personer.

Siden rollefordelingen har så stor betydning for aktørenes ansvar og risiko, bør dette vurderes nøye ved avtaleinngåelse. For enkelte kan det også være nødvendig å revurdere de rollene som allerede er inntatt i lys av endret praksis knyttet til behandlingsansvar.