DFØ har både rollen som behandlingsansvarlig og som databehandler. Her omtaler vi krav til behandlingsansvarlig og databehandler.
Behandlingsansvarlig er definert i personvernforordningen artikkel 4 nr. 7 som «en fysisk eller juridisk person, en offentlig myndighet, en institusjon eller ethvert annet organ som alene eller sammen med andre bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes…». Den behandlingsansvarlige er det primære pliktsubjektet etter personvernforordningen, og er overordnet ansvarlig for å sikre etterlevelse av personvernregelverket, jf. personvernforordningen artikkel 5 nr. 2.
Den behandlingsansvarlige er ansvarlig for at personopplysningene behandles på en lovlig, rettferdig og gjennomsiktig måte. I dette ligger det blant annet å påse at det foreligger et behandlingsgrunnlag for behandling av personopplysninger for det enkelte formål, at personopplysningene behandles på en tilfredsstillende sikker måte, og at de registrerte settes i stand til å utøve sine rettigheter. Som behandlingsansvarlig må en derfor sørge for å etablere alle nødvendige organisatoriske og tekniske tiltak for å sikre at regelverket etterleves til enhver tid. Tilsvarende gjelder også med tanke på forsvarlig valg av databehandler.
Databehandler er definert i personvernforordningen artikkel 4 nr. 8 som «en fysisk eller juridisk person, offentlig myndighet, institusjon eller ethvert annet organ som behandler personopplysninger på vegne av den behandlingsansvarlige». I rollen som databehandler behandles personopplysningene etter instruks fra behandlingsansvarlig, og databehandleren kan derfor ikke beslutte formålet eller andre avgjørende elementer ved behandlingen.
Databehandleravtalen mellom DFØ og våre kunder regulerer DFØs plikter i rollen som databehandler. Databehandleravtalen er en del av avtalen som alle kunder har signert på. Den er i utgangspunktet standard for alle kunder og er tilgjengelig på DFØs nettsider. Avtalen er nylig revidert og nærmere omtalt i punkt 5.4.