"Databehandler" er et begrep som "alltid" misforstås. Dette er en person eller en virksomhet som behandler personopplysninger på vegne av den behandlingsansvarlige (se forklaringen til § 2 nr 4). Databehandler er alltid utenfor den behandlingsansvarliges organisasjon, og personer hos den behandlingsansvarlige som arbeider med personopplysningene er aldri databehandler i lovens forstand. Den behandlingsansvarlige kan derfor ikke instruere en databehandler, men må regulere forholdet gjennom avtale. Databehandler har først og fremst betydning for kravet til informasjonssikkerhet i § 13. Loven stiller dessuten krav om skriftlig avtale mellom behandlingsansvarlig og databehandler, se § 15.
Eksempler
En kommune avtaler med Skoledata A/S at de skal drifte og utvikle ulike IKT-systemer ved kommunenes skoler, vedrørende administrasjon, undervisning mv. Skoledata A/S er da databehandler for kommunen. Personer som er ansatt i skoleadministrasjonen og på skolene som faktisk bruker personopplysningene i de aktuelle systemene, er ikke "databehandlere" (fordi de er ansatt i behandlingsansvarliges organisasjon og kan instrueres).En kommune skiller ut en del av administrasjonen sin og etablerer et "driftssenter" som bl.a. skal brukes av skolene for å drifte IKT-systemer som behandler personopplysninger. Senteret etableres ikke som egen selvstendig virksomhet, men man innfører internfakturering mellom skolene og senteret. Så lenge kommunes ledelse kan instruere personer ved driftssenteret er senteret ikke "databehandler" men kun en del av behandlingsansvarliges (kommunens) organisasjon.
