I detta blogginlägg kommer vi informera om datadelningsavtal. Vi kommer reda ut när det behövs och hur det ska utformas. Till skillnad från ett personuppgiftsbiträdesavtal, är alla parter i ett datadelningsavtal personuppgiftsansvariga och bestämmer tillsammans ändamål och medel med personuppgiftsbehandlingen.
När ett datadelningsavtal behövs – gemensamt personuppgiftsansvariga
Innan ett avtal upprättas är det viktigt att ni gör en bedömning av relationen mellan parterna samt de personuppgiftsbehandlingar som berörs. Rör det sig om en biträdessituation eller är ni gemensamt personuppgiftsansvariga? För att svara på denna fråga kommer vi först presentera vad de olika begreppen innebär.
Personuppgiftsansvarig är den part som bestämmer ändamålen och medlen med behandlingen. Den personuppgiftsansvarige är i princip alltid en juridisk person, exempelvis ett företag, en förening eller en kommun. Personuppgiftsbiträde är den part som behandlar personuppgifter för den personuppgiftsansvariges räkning.
Om det rör sig om en situation där personuppgifter flödar mellan ett biträde och en personuppgiftsansvarig behövs ett personuppgiftsbiträdesavtal (läs vårt föregående blogginlägg om personuppgiftsbiträdesavtal här). Ett datadelningsavtal behövs istället om ni är gemensamt personuppgiftsansvariga. Gemensamt personuppgiftsansvariga blir ni om det rör sig om överföring av personuppgifter mellan två personuppgiftsansvariga som tillsammans bestämmer ändamål och medel med behandlingen.
Exempel på en sådan situation kan vara om företag X går ihop med företag Y för att lansera en ny produkt. Företag X och Y skapar tillsammans med hemsida för att marknadsföra produkten. Genom hemsidan sparas användarnas data, exempelvis IP-adresser. Företag X och Y har tillsammans bestämt vilken data som ska behandlas och på vilket sätt. Det gemensamma personuppgiftsansvaret uppkommer då eftersom att företag X och Y tillsammans sätter ändamål och medel med behandlingen. Det är dock viktigt att titta på den verkliga situationen för att bestämma vad för typ av relation som föreligger.
Det gemensamma personuppgiftsansvaret uppkommer med andra ord enbart när ni tillsammans sätter ändamål och medel med behandlingen av personuppgifterna.
Hur ett datadelningsavtal bör utformas
Ett datadelningsavtal är alltså ett sätt att uppfylla kravet på ett inbördes arrangemang för det fall att ni är gemensamt personuppgiftsansvariga. Ett datadelningsavtal bör innehålla information kring:
- De gemensamt personuppgiftsansvariges respektive roller. Vad är parternas uppgifter i samarbetet?
- Varför data delas mellan de gemensamt personuppgiftsansvariga, vilket innebär ändamålet med behandlingen, samt vilken data som delas mellan parterna. Det kan till exempel röra sig om information kring anställdas lön eller kunders avtal.
- Former och ansvar för utövande av den registrerades rättigheter. Båda parter har ett ansvar att se till att de registrerade, d.v.s. de enskilda fysiska personerna, har möjlighet att utöva sina rättigheter enligt förordningen. Exempel på rättigheter är rätten till tillgång och rätten till radering. Läs mer om dessa här.
- Skyldigheten att lämna information till den registrerade.
- Laglig grund för datadelning.
- De gemensamt personuppgiftsansvariges förhållande mot registrerade.
Det är en fördel att utöver punkterna ovan ha med uppgifter om gallring av personuppgifterna samt den säkerhet som ställs på behandlingen. Innehållet i avtalet ska med fördel göras tillgängligt för den registrerade.
Har ni några frågor?
Har ni frågor eller behöver ni hjälp att upprätta ett datadelningsavtal? Kontakta oss via info@gpdrhero.se.