Din virksomhed er (næsten) altid dataansvarlig, men kan også være databehandler. Desuden kan virksomheden også have et fælles dataansvar.
Du kan have et fælles dataansvar når 2 eller flere dataansvarlige fastlægger formålet eller hjælpemidlerne til en behandling af personoplysninger.
Denne artikel omhandler fælles dataansvar, samt hvad du skal være opmærksom på vedrørerende dette.
Fælles dataansvarlige
Du deler dataansvaret med en eller flere virksomheder, hvis I sammen bestemmer formålet for behandlingen af personoplysninger eller hjælpemidlerne til behandlingen af personoplysningerne.
Fælles formål
Når du sammen med din samarbejdspartner bestemmer formålet med jeres behandling af personoplysninger, så har I et fælles dataansvar. Det kan fx være, at I arrangerer en konference sammen, hvor I begge har behov for at behandle personoplysninger til brug for markedsføring og administration.
I kan også være fælles dataansvarlige uden at have identiske formål, men blot tæt forbundne eller komplementære formål, hvor begge parter opnår en gensidig fordel i at forfølge dette formål.
Fælles hjælpemidler
Til brug for behandlingen af personoplysninger kan bruges hjælpemidler, hvilket typisk er et it-system. Hvis I sammen har indlfydelse på hvordan behandlingen skal foretages via brugen af hjælpemidlet, så er dette også et tegn på, at I er fælles dataansvarlige.
Et klassisk eksempel er en koncern, hvor hovedvirksomheden stiller krav til, at datterselskabet anvender et særligt HR-system, som hovedvirksomheden stiller tilrådighed for datterselskabet. Her har hovedvirksomheden indflydelse på brugen af “hjælpemidlerne” til behandlingen af personoplysninger, og er derfor fælles dataansvarlig sammen med datterselskabet.
Dataansvarlige og databehandlere
En databehandler behandler personoplysninger påvegne af en dataansvarlig.
Denne relation mellem en dataansvarlig og en databehandler er derfor forskellig fra det fælles dataansvar.
Den dataansvarlige har ansvaret for behandlingen af personoplysninger, og kan i denne forbindelse bede en databehandler om hjælp til at udføre dele af behandlingen fx ekstern bogholderivirksomhed, og databehandleren skal følge instrukserne fra den dataansvarlige.
Aftale om fælles dataansvar
Ved fælles dataansvar, så er det et krav, at parternes ansvar for behandlingen beskrives på en gennemsigtig måde, så ingen er i tvivl om hvilket ansvar, der påhviler dem i forhold til efterlevelsen af GDPR-reglerne.
I praksis laver man en aftale for at efterleve denne forpligtelse, og hertil kan man benytte denne skabelon, som er udarbejdet af Datatilsynet.
Det er særligt vigtigt, at man i aftalen beskriver hvordan, at udøvelsen af