SKRIFTLIGE AFTALER
Aftale om udveksling af personoplysninger inden for en gruppe
Koncerninterne aftaler om datadeling er egnede til at blive indgået, når datadeling finder sted mellem virksomheder i en koncern, f.eks. en koncern, herunder deling af personoplysninger.
Datadeling inden for en koncern
Inden for en koncern er det almindeligt, at virksomheder deler data, såsom personoplysninger, med hinanden af forskellige årsager. Det er imidlertid vigtigt at huske på, at personoplysninger ikke må deles på nogen måde. Der er ingen undtagelse i databeskyttelsesforordningen, hvorefter deling af personoplysninger mellem koncernselskaber er fri. I stedet gælder de samme regler som for andre overførsler af personoplysninger, der er omfattet af GDPR. Det er derfor nyttigt for virksomhederne i koncernen at indgå en koncernintern aftale om dataudveksling med hinanden for at sikre, at den koncerninterne udveksling af personoplysninger sker i overensstemmelse med GDPR.
Forud for den interne deling af personoplysninger skal den virksomhed, der udfører datadelingen:
- Have et retsgrundlag for gennemførelse af datadeling.
- Dokumentere retsgrundlaget og formålet med datadeling.
- Informere de registrerede om datadeling. Dette sker normalt via virksomhedens meddelelse om beskyttelse af personoplysninger.
- Overholde de øvrige regler i GDPR såsom principperne om formålsbegrænsning og dataminimering.
Hvis det kan være hensigtsmæssigt at indgå en koncernintern aftale om dataudveksling:
- Når de forskellige koncernselskaber anvender fælles IT-systemer i hele koncernen.
- Om kunderegistreringer, herunder kundernes personoplysninger såsom kontaktoplysninger, deles inden for koncernen.
- Hvis markedsføring, der omfatter behandling af personoplysninger eller profilering, finder sted på koncernniveau.
Rollefordeling i henhold til GDPR inden for en koncern
Rollefordelingen i henhold til GDPR mellem parterne i en koncernintern aftale om udveksling af personoplysninger kan være en af følgende eller en kombination heraf:
Alle parter er uafhængige dataansvarlige for en given datadeling, der finder sted internt mellem koncernselskaberne.
Mindst én part er den dataansvarlige, og mindst én anden part er databehandler for en bestemt datadeling, der finder sted internt mellem koncernens virksomheder.
Mindst én part er databehandler, og mindst én anden part er dennes underdatabehandler for en bestemt datadeling, der finder sted internt mellem koncernens virksomheder.
Mindst to parter er fælles dataansvarlige.
Hvad bør indholdet af en koncernintern aftale om dataudveksling være?
Formål
Hvad er årsagen til og formålet med, at personoplysningerne skal deles internt i koncernen? F.eks. for styring på koncernplan, overholdelse af en retlig forpligtelse, strømlining af arbejdet inden for koncernen, systemkoordinering eller lignende. Bemærk, at formålet skal være specifikt og klart.
Personlig
Hvilke kategorier af personoplysninger deles inden for gruppen? Personoplysninger kan være almindelige eller følsomme personoplysninger. Aftalen bør også regulere mængden af overførte personoplysninger, hvem personoplysningerne tilhører (dvs. hvem er de registrerede) osv. Det er vigtigt at have et sådant overblik for at kunne foretage en god risikovurdering og gennemføre sikkerhedsforanstaltninger i overensstemmelse hermed.
Retlige bemærkninger
Hvad er retsgrundlaget for overførslen i henhold til artikel 6 i GDPR? Virksomhederne skal have et retsgrundlag for at overføre og dele personoplysninger. Dette gælder også for datadeling internt i selve virksomheden og for andre virksomheder i koncernen. Retsgrundlaget kan f.eks. være en retlig forpligtelse eller en legitim interesse. Samtykke er ikke almindeligt anvendt til datadeling i en koncernsammenhæng.
Tekniske og organisatoriske sikkerhedsforanstaltninger
Virksomhederne skal gennemføre tilstrækkelige tekniske og organisatoriske sikkerhedsforanstaltninger for at beskytte de behandlede personoplysninger. Dette bør også ske for at overholde de øvrige regler i GDPR, såsom beskyttelse af registreredes rettigheder efter anmodning. Det er nyttigt at beskrive de sikkerhedsforanstaltninger, der er truffet i forbindelse med udveksling af personoplysninger. F.eks. kryptering af personoplysninger, segmentering af følsomme personoplysninger, gennemførte skriftlige procedurer, politikker osv.
Brud på persondatasikkerheden
Jo flere virksomheder, der er involveret i datadeling og datamodtagelse, jo mere komplekse bliver brud på persondatasikkerheden. Det er derfor nyttigt, at parterne regulerer, hvem der er ansvarlig for kontakten med de registrerede, den nationale databeskyttelsesmyndighed, hvordan parterne skal indberette hændelsen mellem dem osv. Bemærk venligst, at indberetningen til den nationale databeskyttelsesmyndighed bør finde sted senest 72 timer efter opdagelsen af hændelsen.
Registreredes rettigheder
Virksomhederne i koncernen skal være klar over, hvilke af dem der modtager anmodninger om rettigheder fra de registrerede, overholder rettighederne efter anmodning, kommunikerer med hinanden efter anmodning, tidsrammer osv. Hvis det ikke er tilfældet, er der risiko for, at de registrerede ender i en "no man's land" og ikke ved, hvem de skal kontakte, bliver hægtet af mellem parterne eller lignende.
Opbevaringstid
De forskellige koncernselskaber kan have forskellige opbevaringsperioder for de personoplysninger, der behandles inden for koncernen. Det er derfor nyttigt for virksomheden at regulere dette mere detaljeret i den koncerninterne aftale om dataudveksling. Med andre ord, hvor længe personoplysningerne kan behandles af virksomhederne, hvordan personoplysningerne skal slettes, og hvilken af parterne der bærer det endelige ansvar for indsamlingen af personoplysningerne.
Forbud
Det skal fremgå af den koncerninterne aftale, om der er forbud eller ej. Personoplysningerne må f.eks. ikke deles med en tredjepart uden for koncernen, medmindre der foreligger en supplerende skriftlig aftale. Et andet forbud, der er godt at regulere, er, at personoplysninger ikke må anvendes til andre formål end det oprindelige.
Overførsler fra tredjelande
Mange koncerner opererer både i og uden for EU/EØS. Hvis der overføres personoplysninger fra et land inden for EU/EØS til et land uden for EU, udgør det en overførsel af oplysninger til et tredjeland. I sådanne tilfælde er reglerne strengere. Det kan f.eks. kræve en konsekvensanalyse af dataoverførsler til tredjelande forud for datadeling.
En databeskyttelsesrådgiver for hele koncernen
Det er muligt for en koncern, der opererer i flere EU-/EØS-lande, kun at have én databeskyttelsesrådgiver i stedet for én databeskyttelsesrådgiver for hver virksomhed i det pågældende land. Det kan dog i nogle tilfælde være problematisk, navnlig for store grupper af virksomheder med millioner af kunder. Databeskyttelsesrådgiveren skal være i stand til at udføre sine opgaver såsom at besvare spørgsmål fra registrerede om behandlingen af deres personoplysninger. Det kan være vanskeligt at gøre dette, hvis der kun er én databeskyttelsesrådgiver.
FLERE OPLYSNINGER
Aftale om datadeling (DSA)
Det er ikke ualmindeligt, at to eller flere virksomheder deler personoplysninger med hinanden, men at de har deres egne formål med behandlingen og dermed er selvstændige dataansvarlige. Hver af disse parter fastlægger også retsgrundlaget for sin egen behandling af personoplysningerne og er ansvarlig for, at behandlingen er i overensstemmelse med GDPR. I sådanne tilfælde er det nyttigt at indgå en datadelingsaftale mellem to uafhængige dataansvarlige for at regulere datadeling og ansvar mellem parterne. Bemærk, at en datadelingsaftale og en databehandleraftale ikke er de samme. De er egnede til forskellige typer relationer og rollefordeling mellem kontrahenterne.