Inbördes arrangemang

Om två eller flera organisationer är gemensamt personuppgiftsansvariga föreligger det enligt artikel 26 GDPR en skyldighet att ha ett inbördes arrangemang, vilket är en slags överenskommelse som bl.a. reglerar parternas respektive skyldigheter.

Ett inbördes arrangemang benämns ibland som datadelningsavtal och skiljer sig från ett personuppgiftsbiträdesavtal på så sätt att samtliga parter i datadelningsavtalet är personuppgiftsansvariga. Ett inbördes arrangemang ska innehålla information om parternas respektive roller och åtagande, exempelvis vem som ansvarar för att besvarar förfrågningar från registrerade, såsom rätt till radering och information. Det väsentliga innehållet av inbördes arrangemanget ska dessutom göras tillgängligt för de registrerade.

Det finns, till skillnad från personuppgiftsbiträdesavtal, inget formkrav på inbördes arrangemang.

Bra att tänka på! De registrerade har rätt att utöva sina rättigheter enligt GDPR gentemot var och en av de gemensamt personuppgiftsansvariga.

Undantag till kravet på ett inbördes arrangemang är om de personuppgiftsansvarigas respektive skyldigheter fastställs genom lag.

dog

Relaterade blogginlägg

Personuppgiftsbiträdesavtal – avtal som kan hjälpa eller stjälpa

Personuppgiftsbiträdesavtal – avtal som kan hjälpa eller stjälpa

Om din organisation delar personuppgifter med en annan, det kan exempelvis vara en underleverantör, så måste det upprättas ett avtal som gör att underleverantören blir bunden till att efterleva kraven i GDPR. Eftersom att det är den personuppgiftsansvarige som är ytterst ansvarig för att personuppgifterna hanteras korrekt i alla led är det därför av vikt att ett personuppgiftsbiträdesavtal upprättas som kontrollerar relationen.

Läs här

Sociala medier och GDPR

Sociala medier och GDPR

Sociala medier används ofta till riktad marknadsföring. Detta väcker frågor om vem som är personuppgiftsansvarig för de olika inblandade databehandlingarna, och om det är möjligt att undvika ansvar. Typiskt sett är nämligen flera aktörer involverade. I detta...

Läs här

Vad är egentligen ett datadelningsavtal?

Vad är egentligen ett datadelningsavtal?

I detta blogginlägg kommer vi informera om ett annat GDPR-avtal – ett s.k datadelningsavtal. Vi kommer reda ut när det behövs och hur det ska utformas.

Till skillnad från ett personuppgiftsbiträdesavtal, är alla parter i ett datadelningsavtal personuppgiftsansvariga och bestämmer tillsammans ändamål och medel med personuppgiftsbehandlingen.

Läs här