Din virksomhed er (næsten) altid dataansvarlig, men kan også være databehandler. Desuden kan virksomheden også have et fælles dataansvar.
Du kan have et fælles dataansvar når 2 eller flere dataansvarlige fastlægger formålet eller hjælpemidlerne til en behandling af personoplysninger.
Denne artikel omhandler fælles dataansvar, samt hvad du skal være opmærksom på vedrørerende dette.
Fælles dataansvarlige
Du deler dataansvaret med en eller flere virksomheder, hvis I sammen bestemmer formålet for behandlingen af personoplysninger eller hjælpemidlerne til behandlingen af personoplysningerne.
Fælles formål
Når du sammen med din samarbejdspartner bestemmer formålet med jeres behandling af personoplysninger, så har I et fælles dataansvar. Det kan fx være, at I arrangerer en konference sammen, hvor I begge har behov for at behandle personoplysninger til brug for markedsføring og administration.
I kan også være fælles dataansvarlige uden at have identiske formål, men blot tæt forbundne eller komplementære formål, hvor begge parter opnår en gensidig fordel i at forfølge dette formål.
Fælles hjælpemidler
Til brug for behandlingen af personoplysninger kan bruges hjælpemidler, hvilket typisk er et it-system. Hvis I sammen har indlfydelse på hvordan behandlingen skal foretages via brugen af hjælpemidlet, så er dette også et tegn på, at I er fælles dataansvarlige.
Et klassisk eksempel er en koncern, hvor hovedvirksomheden stiller krav til, at datterselskabet anvender et særligt HR-system, som hovedvirksomheden stiller tilrådighed for datterselskabet. Her har hovedvirksomheden indflydelse på brugen af “hjælpemidlerne” til behandlingen af personoplysninger, og er derfor fælles dataansvarlig sammen med datterselskabet.
Dataansvarlige og databehandlere
En databehandler behandler personoplysninger påvegne af en dataansvarlig.
Denne relation mellem en dataansvarlig og en databehandler er derfor forskellig fra det fælles dataansvar.
Den dataansvarlige har ansvaret for behandlingen af personoplysninger, og kan i denne forbindelse bede en databehandler om hjælp til at udføre dele af behandlingen fx ekstern bogholderivirksomhed, og databehandleren skal følge instrukserne fra den dataansvarlige.
Aftale om fælles dataansvar
Ved fælles dataansvar, så er det et krav, at parternes ansvar for behandlingen beskrives på en gennemsigtig måde, så ingen er i tvivl om hvilket ansvar, der påhviler dem i forhold til efterlevelsen af GDPR-reglerne.
I praksis laver man en aftale for at efterleve denne forpligtelse, og hertil kan man benytte denne skabelon, som er udarbejdet af Datatilsynet.
Det er særligt vigtigt, at man i aftalen beskriver hvordan, at udøvelsen af de registreredes rettigheder efterleves, samt hvordan at de dataansvarlige hver især efterlever oplysningspligten.
Man skal naturligvis også sikre sig, at behandlingen af personoplysningerne foretages sikkert ved at indføre passende sikkerhedsforanstaltninger, som ved al anden behandling af personoplysninger.
Væsentlige forhold i aftalen om det fælles dataansvar skal oplyses til de personer, som der behandles personoplysninger om.
Skabelon fælles dataansvar
Du kan bruge Datatilsynets skabelon (download .docx) til at beskrive det fælles ansvar, og du får herigennem skabt en god aftalestruktur omkring det fælles dataansvar. Aftaleskabelonen kommer bl.a. ind på følgende punkter omkring jeres fælles dataansvar:
- Hvilke behandlingsaktiviteter er omfattet af et fælles dataansvar?
- Hvem har ansvaret for, at der er et gyldigt behandlingsgrundlag?
- Hvem har ansvaret for sikringen af de registreredes rettigheder? Hvordan vil man efterleve dette i praksis?
- Hvilke passende foranstaltninger er implementeret for at sikre behandlingen af personoplysninger?
- Hvem sørger for efterlevelsen af dokumentationskravene i GDPR-reglerne?
- Hvilke databehandlere anvendes, samt sikrer, at disse lever op til kravene i databehandleraftalen?
- Hvem fører fortegnelsen?
- Hvem har ansvaret for at anmelde brud på persondatasikkerheden, samt underrette de registrerede herom?
Bøder
Hvis der sker en kompromittering i den fælles behandling af personoplysninger, som fører til et erstatningsansvar, så hæftes der solidarisk mellem de dataansvarlige.
Eksempler på fælles dataansvar
System
Virksomheder i samme koncern vælger at samarbejde om at udvikle infrastruktur til virksomheden fx cloudløsning.
Konference
Flere virksomheder går sammen om at arrangere en konference, hvor der behandles personoplysninger om fx deltagere og talere.
Dette eksempel kunne også have omhandlet et hvilket som helst andet projekt, hvor en gruppe af virksomheder har behov for at samarbejde om et fælles mål.
Opsummering
Man er fælles dataansvarlig når alle parter har indflydelse på formålet og hjælpemidlerne ved behandlingen af personoplysninger.
Fælles dataansvar er forskelligt fra at være databehandler eller (solo) dataansvarlig, da der er behov for at afklare hvordan, at dette fælles dataansvar fordeles mellem de dataansvarlige.