Det sentrale spørsmålet er om personopplysningene behandles "på vegne" av den behandlingsansvarlige eller ikke – altså om vedkommende treffer selvstendige beslutninger av stor betydning for behandlingen, eller om dette kun skjer av den behandlingsansvarlige selv.
Databehandleren skal ikke bestemme formål eller andre avgjørende elementer ved behandlingen. Det er den behandlingsansvarlige som bestemmer formålet med en behandling.
Når den behandlingsansvarlige engasjerer en databehandler til å behandle personopplysninger på vegne av seg, må det inngås en databehandleravtale. Et typisk eksempel vil være et legekontor som anskaffer et journalsystem fra en leverandør. Her må legekontor og journalleverandør inngå en databehandleravtale, i tillegg til kjøpsavtalen.
Den behandlingsansvarlige skal bare bruke databehandlere som garanterer at de følger personvernregelverket.
Avtalen skal blant annet fastsette gjenstanden for og varigheten av behandlingen, behandlingens art og formål, typen personopplysninger og kategorier av registrerte samt den behandlingsansvarliges rettigheter og plikter. Hva som særlig skal angis følger av personvernforordningen artikkel 28 nr. 3 bokstav a til h.
Mer informasjon om databehandleravtaler finner du på Datatilsynets nettsider. Her vil du også finne deres mal for databehandleravtaler.