Personvernforordningen definerer to viktige roller;
- Dataansvarlig er den som bestemmer formålet med behandlingen av helse- og personopplysninger og hvilke midler som skal benyttes.
- En databehandler er en virksomhet som behandler helse- og personopplysninger på vegne av dataansvarlig
En leverandør vil ha en begge rollene; både behandlingsansvarlig for personopplysninger som samles inn om egne ansatte og forretningskontrakter og databehandler når en behandler personopplysninger på vegne av kunder.
Svaret på spørsmålet i tittelen er altså at dersom en leverandør behandler personopplysninger på vegne av kunden så er den også en databehandler.
