Når man som virksomhed, offentlig myndighed eller i anden sammenhæng beskæftiger sig med behandling af personoplysninger, er det vigtigt at afklare, om man er dataansvarlig for oplysningerne, eller om man i stedet fungerer som databehandler for den dataansvarlige.
Det afgørende er, hvem der juridisk og/eller faktisk afgør, hvordan personoplysninger skal behandles. Kort sagt bestemmer den dataansvarlige over oplysningerne, også når oplysningerne befinder sig hos databehandleren.
Den dataansvarlige kan f.eks. være en myndighed, der ved lov er blevet pålagt en given behandling af personoplysninger. Den dataansvarlige kan også være en arbejdsgiver, der behandler personoplysninger om sine ansatte og sine kunder, eller en læge, der behandler patientoplysninger i forbindelse med sin praksis eller et forskningsprojekt.
En databehandler kendetegnes ved kun at behandle personoplysninger på vegne af (efter instruks fra) en dataansvarlig. Databehandleren behandler ikke personoplysningerne til egne formål og må derfor ikke bruge de overladte oplysninger til andet end udførelsen af opgaven for den dataansvarlige. Det samme gælder for ansatte hos den dataansvarlige.
En databehandler kan f.eks. være en virksomhed, som varetager driften af en anden virksomheds eller myndigheds it-systemer. En databehandler kan også være en udbyder af et webhotel, der varetager driften af et websted for andre, eller et inkassobureau, som får overladt oplysninger, fordi bureauet skal inddrive gæld for den dataansvarlige.
Hvis man som dataansvarlig benytter sig af en databehandler, skal der indgås en skriftlig aftale herom med databehandleren (en såkaldt databehandleraftale). Du kan læse mere om kravene til sådanne databehandleraftaler på Datatilsynets hjemmeside.