Personvern: Registrarer er selvstendige behandlingsansvarlige

Norid har gjennomgått og analysert reglene i GDPR og har hatt et nært samarbeid med IIS som er ansvarlig for .se og DK Hostmaster som er ansvarlig for .dk gjennom denne prosessen. Konklusjonen er at Norid anser registrarene som individuelle selvstendige behandlingsansvarlige.

Norid arrangerte høsten 2017 et særskilt personvernseminar for registrarene. Det ble her diskutert om registraren skulle ansees kun som en databehandler for Norid og ikke lenger som en selvstendig behandlingsansvarlig. Under den nåværende personopplysningsloven har Norid og registrarene opptrådt som selvstendige behandlingsansvarlige for sin respektive behandling av personopplysninger, og det foreligger derfor ingen databehandleravtale mellom Norid og registraren.

Definisjonen av behandlingsansvarlig og databehandler fremgår av GDPR art 4 (7) og 4 (8). “Behandlingsansvarlig” er den som bestemmer formålet med behandlingen og de midlene som tas i bruk for å gjennomføre behandlingen.

Et viktig utgangspunkt er derfor om behandlingen hovedsakelig har databehandling som formål eller om selve databehandlingen er aksessorisk, dvs kommer som et tillegg, i forhold til andre tjenester, ytelser eller formål med behandlingen. 

Både registraren og Norid inngår egne separate avtaler med abonnenten / den registrerte. Det følger av domeneforskriften § 5 at Norid plikter å overlate deler av registreringsprosessen til registrarer. Selv om det foreligger en viss form for bestemmelse fra Norids side om hvilke opplysninger som må samles inn, overføres og behandles hos registraren, så er hovedformålet med behandlingen hos registraren er ikke å utføre databehandling på Norids vegne., men at registraren selv kan selge abonnement på .no domenenavn, alene eller sammen med sine øvrige tjenester.

Registraravtalen inneholder vilkår og krav som berører behandling av personopplysninger, men Norid har ikke verken instruksjonsmyndighet i forskriften eller gjennom registraravtalen til å bestemme detaljer om en registrars interne behandling av personopplysninger som blir innhentet og behandlet av en registrar etter at disse er overført i form av registrert i Norids registreringssystem. Norid bestemmer kun at registraren må innhente og legge inn / behandle visse opplysninger / data, mens registraren bestemmer hvordan og med hvilke midler han behandler opplysninger om sine kunder.

Sist endret 25. juni 2018