Et eksempel på et tilfælde, hvor der er tale om fælles dataansvar

Tre organisationer – organisation A, B og C – deltager alle i et fælles projekt, som har til formål at forbedre deres medarbejderes arbejdsvilkår. Hver organisation skal bidrage med egne data, som består af interviews med deres medarbejdere. Medarbejderne vil blive stillet spørgsmål om deres trivsel, deres ønsker til arbejdsvilkår mv. Organisationerne har sammen formuleret og besluttet, hvilke konkrete spørgsmål, medarbejderne skal besvare som et led i projektet. Organisation A har ansvaret for at lave en analyse og rapport ud fra de indsamlede data. Organisation A, B og C er fælles dataansvarlige, idet de i fællesskab bestemmer, hvorfor der skal behandles personoplysninger (formålet: forbedre medarbejderes arbejdsvilkår), og hvordan der skal behandles personoplysninger (hjælpemidlerne: analyse).

Et eksempel, hvor der ikke er tale om et fælles dataansvar

I dette tilfælde er det i stedet tale om, at der sker en videregivelse af oplysninger mellem to selvstændige dataansvarlige. Organisation A indsamler og behandler personoplysninger om organisationens medarbejdere. Formålet med denne behandling er at administrere ansættelsesforholdet, herunder udbetale løn til medarbejderne. Organisationen er i henhold til skattelovgivningen forpligtet til at videregive oplysninger om medarbejdernes lønudbetalinger til SKAT (organisation B). SKAT (organisation B) behandler de indberettede oplysninger for at kontrollere, om medarbejderne har oplyst de korrekte indkomstbeløb mv. og dermed bliver beskattet korrekt. Organisation A og B er hver især dataansvarlige for den behandling af oplysningerne, de foretager. Parterne behandler godt nok de samme personoplysninger (lønoplysningerne) men med hver deres formål og hjælpemidler. For at statuere et fælles dataansvar skal parterne altså være fælles om at beslutte formål og hjælpemidler.

Fælles dataansvar: Deler du ansvaret for behandling af personoplysninger med andre, og ved du, hvad det vil sige?

Indsigt

25.11.2024

En organisation, som behandler personoplysninger, er i langt de fleste tilfælde dataansvarlig for de oplysninger, der behandles. Der kan dog også være tilfælde, hvor din organisation deler dataansvaret med en eller flere parter. I så fald vil der være tale om fælles dataansvar.

Her kan du blive klogere på, hvornår der er tale om fælles dataansvar, og hvad det indebærer, hvis du i din organisation har en samarbejdspartner, der også er dataansvarlig.

Hvornår har I et fælles dataansvar?

Det følger af databeskyttelsesforordningen, at hvis to eller flere dataansvarlige i fællesskab bestemmer et formål – altså hvorfor der skal behandles personoplysninger – og hjælpemidlerne hertil – altså hvordan behandlingen af personoplysningerne skal foregå - er de fælles dataansvarlige for behandlingen.

Der er således tale om et fælles dataansvar i de tilfælde, hvor din organisation har ansvaret for en behandling sammen med en (eller flere) dataansvarlige, og I alle har ret til at bruge personoplysningerne til egne formål. Der er med andre ord ikke tale om et fælles dataansvar, hvis en behandling kun foretages til dine eller en den anden parts formål.

Tre organisationer – organisation A, B og C – deltager alle i et fælles projekt, som har til formål at forbedre deres medarbejderes arbejdsvilkår.

Hver organisation skal bidrage med egne data, som består af interviews med deres medarbejdere. Medarbejderne vil blive stillet spørgsmål om deres trivsel, deres ønsker til arbejdsvilkår mv. Organisationerne har sammen formuleret og besluttet, hvilke konkrete spørgsmål, medarbejderne skal besvare som et led i projektet.

Organisation A har ansvaret for at lave en analyse og rapport ud fra de indsamlede data.

Organisation A, B og C er fælles dataansvarlige, idet de i fællesskab bestemmer, hvorfor der skal behandles personoplysninger (formålet: forbedre medarbejderes arbejdsvilkår), og hvordan der skal behandles personoplysninger (hjælpemidlerne: analyse).

I dette tilfælde er det i stedet tale om, at der sker en videregivelse af oplysninger mellem to selvstændige dataansvarlige.

Organisation A indsamler og behandler personoplysninger om organisationens medarbejdere. Formålet med denne behandling er at administrere ansættelsesforholdet, herunder udbetale løn til medarbejderne. Organisationen er i henhold til skattelovgivningen forpligtet til at videregive oplysninger om medarbejdernes lønudbetalinger til SKAT (organisation B).

SKAT (organisation B) behandler de indberettede oplysninger for at kontrollere, om medarbejderne har oplyst de korrekte indkomstbeløb mv. og dermed bliver beskattet korrekt.

Organisation A og B er hver især dataansvarlige for den behandling af oplysningerne, de foretager. Parterne behandler godt nok de samme personoplysninger (lønoplysningerne) men med hver deres formål og hjælpemidler. For at statuere et fælles dataansvar skal parterne altså være fælles om at beslutte formål og hjælpemidler.

Hvilke krav stilles der, når der er et fælles dataansvar?
Det er vigtigt, at din organisation er opmærksom på de behandlingssituationer, hvor der er et fælles dataansvar, idet der er en række krav i databeskyttelsesforordningen, som skal overholdes.

Det følger af databeskyttelsesforordningen, at fælles dataansvarlige skal fastlægge hver deres respektive ansvar for overholdelse af forpligtelserne i forordningen.

Det vil altså sige, at parterne skal fordele ansvaret.

Parterne i en fælles databehandlerkonstruktion skal blandt andet fastlægge følgende:

Fordeling af den enkelte parts opgave og ansvar i forhold til behandlingen
Hvem af parterne der har ansvaret for opfyldelse af oplysningspligten over for de registrerede
Hvem af parterne der har ansvaret for at udarbejde den/de relevante risikovurderinger for behandlingen og – hvis relevant – udarbejdelse af konsekvensanalyse
Hvem af parterne der har ansvaret for at anmelde sikkerhedsbrud til Datatilsynet samt underrette de registrerede
Hvem af parterne der har ansvaret for at håndtere anmodninger fra de registrerede

Den aftalte interne ansvarsfordeling skal indgå i en fælles aftale. De fælles dataansvarlige skal desuden sørge for at informere den registrerede om det væsentligste indhold af ordningen.

Ansvarsfordelingen mellem de fælles dataansvarlige ændrer dog ikke på, at de registrerede kan henvende sig til alle parter med henblik på at udøve deres rettigheder.

I tilfælde af at en behandling af personoplysninger udløser godtgørelseskrav efter databeskyttelsesforordningen, hæfter du og de øvrige dataansvarlige solidarisk for kravet.

Lad HjulmandKaptains specialister hjælpe dig

Er du i tvivl om din organisation indgår i et fælles dataansvar? Eller har du brug for hjælp til udarbejdelse af en aftale om fælles dataansvar? Så kontakt vores specialister i databeskyttelse. Vi er altid klar til at svare på dine spørgsmål.