Flere kunder har spurgt CPR-kontoret, om CPR-kontoret er dataansvarlig eller databehandler i forhold til sine kunder.
CPR-kontoret er af den opfattelse, at der tale om tale om to selvstændige dataansvar, hvor data videregives fra den ene dataansvarlige til den anden.
Hvis en kunde f.eks. indsender en fil med personnumre til CPR-systemet med henblik på at modtage aktuelle navne- og adresseoplysninger, er kunden dataansvarlig for filen, indtil den er uploadet på CPR-systemets ftp-server. Herefter har CPR-kontoret dataansvaret for den videre behandling. Ansvaret skifter igen, når kunden henter uddatafilen på ftp-serveren.
Kunden skal sikre sig, at den har videregivelseshjemmel, og CPR-kontoret skal som modtager sikre sig, at kontoret har en behandlingshjemmel. Det har CPR-kontoret i medfør af CPR-loven.
Der skal således ikke indgås en databehandleraftale mellem kunden og CPR-kontoret. CPR-kontoret har derimod en databehandleraftale med sin leverandør DXC, som drifter CPR-systemet.