Avtale
Datadelingsavtaler (DSA) mellom selvstendige behandlingsansvarlige
Datadelingsavtaler (DSA) mellom selvstendige behandlingsansvarlige bør inngås når minst to aktører er selvstendige behandlingsansvarlige og deler personopplysninger mellom hverandre. Deling av data kan være ensidig eller gjensidig.
Hva er forskjellen mellom en datadelingsavtale (DSA) og en prosessoravtale (DPA)?
En datadelings- o prosessoravtale er hensiktsmessig i ulike situasjoner. Når to eller flere selvstendige behandlingsansvarlige samarbeider og deler personopplysninger mellom hverandre, er det særlig hensiktsmessig med en datadelingsavtale (DSA) mellom selvstendige behandlingsansvarlige. Hver part bestemmer formålet med sin egen behandling av personopplysninger, det juridiske grunnlaget for behandlingen og er eneansvarlig for behandlingen. I stedet er en prosessoravtale hensiktsmessig når et selskap behandler personopplysninger på vegne av et annet selskap.
Formålet med å etablere en datadelingsavtale
Selv om GDPR ikke eksplisitt sier at bedrifter må inngå en datadelingsavtale, er det flere regler i GDPR som en datadelingsavtale hjelper bedrifter å overholde. Fordeler med å etablere og inngå en datadelingsavtale (DSA) mellom autonome behandlingsansvarlige:
Partene regulerer informasjonen som skal gis til de registrerte, slik at de vet hvilken part som er ansvarlig for hva.
Begrunnelsen for å dele personopplysningene til de registrerte mellom partene er formalisert skriftlig og avklart.
Det juridiske grunnlaget som behandlingen støttes på, er avklart og kommunisert på en gjennomsiktig måte mellom partene.
De registrertes rettigheter klargjøres, og partene bestemmer hvordan de skal håndtere de registrertes anmodninger om å utøve sine rettigheter seg imellom.
Datadelingsavtalen hjelper selskaper med å demonstrere sin overholdelse av GDPR i tråd med ansvarlighetsprinsippet.
Når bør partene inngå en datadelingsavtale?
Begge parter er uavhengige kontrollører
Dersom begge parter (eller flere) er selvstendige behandlingsansvarlige og deler personopplysninger med hverandre, skal de inngå en datadelingsavtale med hverandre. Dette betyr at hver part er den eneste behandlingsansvarlige for sin egen behandling av personopplysningene som deles eller mottas. Selv om det gjelder de samme personopplysningene, har de ulike partene sine egne autonome formål og juridiske grunnlag for behandlingen de utfører. Deling av data kan være ensidig eller gjensidig. Det vil si at bare en eller begge parter kan dele personopplysninger med hverandre.
Partene er ikke felles kontrollører
Formålet med behandlingen av personopplysninger mottatt av en part bestemmes ikke i fellesskap av partene. Partene er derfor ikke felles behandlingsansvarlige i henhold til artikkel 26 GDPR. Dersom de var felles behandlingsansvarlige, ville partene i stedet inngå en «felles behandlingsansvarlig avtale».
Ingen av partene behandler personopplysninger på vegne av den andre parten
Det er med andre ord ingen bistand mellom partene.
Eksempel på innhold i en Datadelingsavtaler (DSA) mellom selvstendige behandlingsansvarlige
Roller og status
Det må være klart at partene er uavhengige kontrollører. De bestemmer dermed sitt eget formål med behandlingen. Det bør også gjøres eksplisitt at det ikke er noe felles behandlingsansvarlig eller behandlingsansvarlig-assistert forhold mellom partene.
Formål
Formålet med en behandlingsoperasjon må alltid være eksplisitt og spesifikk. Som hovedregel er det ikke tillatt å behandle personopplysninger til andre formål.
Rettslig grunnlag
Ettersom hver av partene er en selvstendig behandlingsansvarlig, skal de velge sitt eget rettslige grunnlag for behandlingen. Disse bør spesifiseres i datadelingsavtalen.
Type personopplysninger
Det er viktig å spesifisere hvilke typer personopplysninger som skal deles, fra hvem og til hvem. For eksempel når det gjelder sensitive eller andre personvernsensitive personopplysninger. Vær oppmerksom på at dette er viktig for å kunne gjennomføre gode risikovurderinger.
Tekniske og organisatoriske tiltak
Bedrifter må implementere tilstrekkelige tekniske og organisatoriske sikkerhetstiltak under GDPR for å beskytte personopplysninger. Det er nyttig å definere sikkerhetstiltakene som skal tas av selskaper når de deler data. For eksempel bruk av kryptering og autentisering.
Deling med tredjeparter
For å forhindre uautorisert utlevering av personopplysninger, er det nyttig å bli enige om forbud og krav til deling av personopplysningene med en tredjepart. For eksempel at deling av personopplysninger til tredjeparter krever skriftlig samtykke fra den andre parten, eller at det er et totalt forbud mot videre deling.
Rettigheter for registrerte
Behandlingsansvarlige må være i stand til å sørge for rettighetene til de registrerte. Hvis flere parter behandler de samme personopplysningene og er selvstendige behandlingsansvarlige, er det nyttig å avklare hvilke av dem som vil håndtere forespørsler. I tillegg er det nyttig å inkludere hastigheten på håndtering og kommunikasjonsmidler mellom partene.
Plikt til å gi informasjon
GDPR pålegger behandlingsansvarlige en juridisk forpliktelse til å gi informasjon til registrerte. Dette betyr blant annet at hver part må informere de registrerte om behandlingen av deres personopplysninger i henhold til artikkel 13 i GDPR og artikkel 14 i GDPR.
Håndtering av brudd på personopplysningssikkerheten
GDPR krever håndtering av brudd på personopplysninger. Det er nyttig å bli enige om tiltak som skal iverksettes av partene i kontrakten i tilfelle brudd på personopplysninger. Slik som et datainnbrudd eller feilaktige e-poster som inneholder personopplysninger. For eksempel bør datadelingsavtalen regulere hvordan kommunikasjonen mellom partene om hendelsen skal finne sted, innen hvilken frist, hvilken part som skal kontakte den nasjonale databeskyttelsesmyndigheten og de registrerte osv.
Lagringstid
Personopplysninger vil ikke bli oppbevart i noen periode. Partene i en datadelingsavtale kan ha forskjellige oppbevaringsperioder, da de er selvstendige behandlingsansvarlige og bestemmer dette selv. På den annen side er det nyttig å inkludere lagringsperioder i kontrakten. I tillegg er det nyttig å inkludere hvordan personopplysninger skal tynnes sikkert.
Oppsigelse av kontrakt
Datadelingsavtalen skal styre hva som skjer når avtalen mellom partene avsluttes. For eksempel om personopplysningene skal slettes, eller om partene kan beholde dem for videre behandling. I tillegg er det nyttig å regulere hvordan eventuelle rettighetsforespørsler fra registrerte vil bli behandlet i fremtiden.
Mer informasjon
Personvernerklæring
Bedrifter må informere de registrerte om behandlingen av personopplysninger, noe som vanligvis gjøres i en personvernerklæring. Den beskriver blant annet formålet med behandlingen, det juridiske grunnlaget, oppbevaringsperioden, rettighetene til de registrerte, etc. En personvernerklæring er ikke det samme som en personvernpolicy. En personvernerklæring er et eksternt informativt dokument adressert til registrerte personer. En personvernpolicy er imidlertid et internt dokument som beskriver hvordan selskapet håndterer ansattes databeskyttelse.