Etter innføring av ny personvernforordning i 2018, er det klart at domeneforhandlerne vurderes individuelt som selvstendige behandlingsansvarlige. Det er viktig at du som forhandler setter deg inn i hva dette innebærer for din virksomhet.
Forordningen definerer “behandlingsansvarlig” som den som bestemmer formålet med behandlingen og de midlene som tas i bruk for å gjennomføre behandlingen. Definisjonen av behandlingsansvarlig og databehandler fremgår av GDPR art 4 (7) og 4 (8).
Fra Norids side gjennomførte vi en grundig prosess forut for at ny personvernforordning ble innført i 2018. Vi gjennomgikk og analyserte reglene, blant annet i et nært samarbeid med våre søsterorganisasjoner IIS, som er ansvarlig for .se, og DK Hostmaster, som er ansvarlig for .dk.
Vi involverte også forhandlerne i prosessen, blant annet med et eget personvernseminar høsten 2017. Ett tema her var om forhandleren bare skulle vurderes som en databehandler for Norid og ikke som en selvstendig behandlingsansvarlig. Under den nåværende personopplysningsloven opptrer Norid og forhandlerne som selvstendige behandlingsansvarlige for sin respektive behandling av personopplysninger, og det foreligger derfor ingen databehandleravtale mellom Norid og forhandleren.
Et viktig utgangspunkt er derfor om behandlingen hovedsakelig har databehandling som formål eller om selve databehandlingen er aksessorisk, dvs. kommer som et tillegg, i forhold til andre tjenester, ytelser eller formål med behandlingen.
Både forhandleren og Norid inngår egne separate avtaler med abonnenten. Det følger av domeneforskriften § 5 at Norid plikter å overlate deler av registreringsprosessen
til forhandlerne. Selv om det foreligger en viss form for bestemmelse fra Norids side om hvilke opplysninger som må samles inn, overføres og behandles hos forhandleren, så er hovedformålet med behandlingen hos forhandleren ikke å utføre databehandling på vegne av Norid, men at forhandleren selv kan selge abonnementer på norske domenenavn, som sådan eller sammen med sine øvrige tjenester.
Forhandleravtalen inneholder vilkår og krav som berører behandling av personopplysninger, men Norid har ikke verken instruksjonsmyndighet i forskriften eller gjennom forhandleravtalen til å bestemme detaljer om en forhandlers interne behandling av personopplysninger som blir innhentet og behandlet etter at disse er registrert i Norids registreringssystem. Norid bestemmer kun at forhandleren må innhente og legge inn (behandle) visse opplysninger, mens forhandleren bestemmer hvordan og med hvilke midler han behandler opplysninger om sine kunder.