Den 12. april 2018 har Datatilsynet udsendt en ny skabelon til de datakonstruktioner, som indeholder fælles dataansvar. Se skabelonen her.
Hvornår kan fælles dataansvar komme på tale?
Ifølge Datatilsynet er der tale om fælles dataansvar hvis to eller flere dataansvarlige i fællesskab bestemmer:
- Hvorfor der skal behandles personoplysninger (formålet med behandling), og
- Hvordan der skal behandles personoplysninger (hjælpemidlerne til behandling).
Det er vigtigt at have fokus på, at et fælles dataansvar kun kan komme på tale, hvis dataansvarlig 1 og dataansvarlig 2 sammen har ansvaret for en behandling, og hvis de begge har ret til at bruge oplysningerne til egne formål. Der er ikke tale om et fælles dataansvar, hvis en behandling kun foretages til den ene parts formål.
Hvis der er fælles dataansvar skal parternes respektive ansvar reguleres i en aftale
Når der foreligger fælles dataansvar, skal de fælles dataansvarlige sikre sig, at de fastlægger deres respektive ansvar for overholdelse af forpligtigelserne og dennes gøres via en aftale, som er gennemsigtig. Det er særligt i forbindelse med deres oplysningspligt over for de registrerede – artikel 13 og 14 – at de skal have fokus på, at få fastslagt deres respektive ansvar.
Aftalen skal afspejle de fælles dataansvarliges roller og forhold til de registrerede. Det væsentligste indhold af aftalen skal ligeledes gøres tilgængeligt for de registrerede.
Når parterne får disse vigtige forhold på plads, vil det reducere risikoen for, at nogle forpligtelser ”falder mellem to stole”, og at de registrerede derved får en dårligere beskyttelse af deres personoplysninger.
Man skal dog hele tiden være opmærksom på, at de to parters ”interne” ansvarsfordeling i aftalen om fælles dataansvar ikke forhindrer, at tilsynsmyndigheden kan udøve sine beføjelser overfor såvel dataansvarlig 1 som dataansvarlig 2, som er fælles dataansvarlige for behandlingen.
LÆS MERE OM, HVORDAN VI KAN HJÆLPE
