Tjenesteleverandører som tilbyr tjenester til sluttbrukere direkte (privat bruk), er pålagt å overholde visse plikter. Tjenesteleverandører omtales i personvernlovgivningen (GDPR) som databehandlere.
Når det ikke er vertsorganisasjoner som er tjenesteleverandørenes kunder, men individuelle sluttbrukere (privat bruk), er leverandørene pålagt å overholde følgende plikter:
- Ivareta grunnkravene som gjelder ved elektronisk behandling av opplysninger om sluttbrukere
- Innhente samtykke dersom opplysninger om sluttbrukerne skal overføres til tredjeparter
- Sørge for at informasjonssikkerheten i tjenesten er tilfredsstillende
- Melde alvorlige brudd på informasjonssikkerheten til vertsorganisasjonen
- Inngå avtaler med eventuelle underleverandører som behandler sluttbrukeropplysninger som en del av tjenesten
- Kontrollere at eventuelle underleverandører overholder inngåtte avtaler
- Forvalte sluttbrukernes personvernrettigheter
Når den enkelte bruker er kunden får tjenesteleverandøren litt andre plikter enn det som er beskrevet ovenfor. Den viktigste forskjellen er at det er tjenesteleverandøren som er ansvarlig for all behandling av brukerens personopplysninger (behandlingsansvarlig). Det innebærer at tjenesteleverandøren ikke lenger behandler opplysningene på vegne av vertsorganisasjonen (tjenesteutsetting). Tjenesteleverandørens ansvar vil nå følge direkte av reglene i personvernlovgivningen (GDPR) istedenfor at dette primært bestemmes av vertsorganisasjonen gjennom en databehandleravtale.
Det er derfor spesielt viktig at tjenesteleverandøren setter seg inn i følgende regler i loven og forskriften:
- Grunnkravene som gjelder ved elektronisk behandling av personopplysninger, blant annet innhenting av samtykke fra brukerne til behandling av deres personopplysninger
- Brukernes rettigheter, blant annet hvordan retten til informasjon, innsyn, retting og sletting ivaretas av tjenesteleverandøren
- Kravene som stilles til tilfredsstillende sikring av personopplysninger mot uautorisert innsyn, eksponering, endring, sletting, tap eller ødeleggelse, blant annet gjennomføring av risikovurderinger og inngåelse av avtaler med eventuelle underleverandører
Tjenesteleverandøren bør offentliggjøre informasjon om hvordan leverandørens plikter og brukernes rettigheter ivaretas. Dette kan for eksempel skje gjennom publisering av en personvernerklæring eller brukervilkår på leverandørens hjemmeside.
I tillegg bør tjenesteleverandører være oppmerksom på følgende forhold:
- Brukere skal informeres om og samtykke til eventuell overføring av opplysninger om dem, for eksempel via API, til tredjeparter
- Leverandører som tilbyr datatjenester til brukere under 16 år, vil trenge samtykke fra sluttbrukerens foreldre/foresatte for bruk av tjenesten
- Gjennomføring av personvernkonsekvensvurdering dersom det er pålagt for den aktuelle tjenesten (Datatilsynet vil offentliggjøre en liste over teknologier og tekniske løsninger hvor slike vurderinger er pålagt).
- Sørge for at funksjonaliteten i tjenesten tilrettelegges slik at personvernet til sluttbrukerne og reglene i personvernlovgivningen (GDPR) blir enklere å ivareta (innebygd personvern).
- Vurdere om man har plikt til å utnevne personvernombud (plikten gjelder for offentlige virksomheter, men bare for visse typer private virksomheter).