Eksterne aktører som behandler personopplysninger på vegne av bedriften, kalles databehandlere. Regnskapsførere og it-operatører er typiske databehandlere.
Bedriften er alltid behandlingsansvarlig for personopplysninger som den selv samler inn og håndterer, selv om noe av arbeidet gjøres av databehandlere. Bedriften har altså et ansvar for at reglene om personopplysninger overholdes. Databehandleren skal bare behandle personopplysningene den måten den behandlingsansvarlige gir beskjed om. Også databehandleren har forpliktelser og ansvar etter reglene.
Bedriftene må sørge for at det foreligger skriftlige avtaler med de databehandlerne de bruker. Avtalen er viktig for at begge parter skal være klar over sine rettigheter, forpliktelser og ansvar både overfor hverandre og når det gjelder lovkravene. Personvernforordningen har minstekrav til hva slike avtaler skal inneholde.
Datatilsynet har laget mal for standard databehandleravtale som du finner her.