AFTALE
Datadelingsaftale (DSA) mellem autonome dataansvarlige
Der bør indgås datadelingsaftaler mellem autonome dataansvarlige, når mindst to aktører er selvstændige dataansvarlige og udveksler personoplysninger med hinanden. Datadeling kan være ensidig eller gensidig.
Hvad er forskellen mellem en datadelingsaftale (DSA) og en databehandleraftale (DPA)?
En datadelings- og databehandleraftale er hensigtsmæssig i forskellige situationer. Hvis to eller flere autonome dataansvarlige samarbejder og deler personoplysninger med hinanden, er en datadelingsaftale mellem autonome dataansvarlige særlig hensigtsmæssig. Hver part fastlægger formålet med sin egen behandling af personoplysninger, retsgrundlaget for behandlingen heraf og er eneansvarlig for behandlingen heraf. I stedet er en databehandleraftale hensigtsmæssig, når en virksomhed behandler personoplysninger på vegne af en anden virksomhed.
Formålet med at indgå en aftale om dataudveksling
Selv om GDPR ikke udtrykkeligt fastsætter, at virksomheder skal indgå en datadelingsaftale, er der flere regler i GDPR, som en datadelingsaftale hjælper virksomheder med at overholde. Fordele ved at etablere og indgå en datadelingsaftale (DSA) mellem autonome dataansvarlige:
Parterne regulerer de oplysninger, der skal gives til de registrerede, så de ved, hvilken part der er ansvarlig for hvad.
Begrundelsen for at dele de registreredes personoplysninger mellem parterne formaliseres skriftligt og præciseres.
Det retsgrundlag, som behandlingen støttes på, præciseres og formidles på en gennemsigtig måde mellem parterne.
De registreredes rettigheder præciseres, og parterne beslutter, hvordan de skal behandle registreredes anmodninger om at udøve deres rettigheder indbyrdes.
Aftalen om datadeling hjælper virksomhederne med at påvise, at de overholder GDPR i overensstemmelse med ansvarlighedsprincippet.
Hvornår bør parterne indgå en aftale om dataudveksling?
Begge parter er uafhængige dataansvarlige
Hvis begge parter (eller flere) er selvstændige dataansvarlige og deler personoplysninger med hinanden, skal de indgå en aftale om dataudveksling med hinanden. Det betyder, at hver part er den eneste dataansvarlige for sin egen behandling af de personoplysninger, der deles eller modtages. Selv om der er tale om de samme personoplysninger, har de forskellige parter deres egne selvstændige formål og retsgrundlag for den behandling, de foretager. Datadeling kan være ensidig eller gensidig. Det vil sige, at kun den ene eller begge parter kan dele personoplysninger med hinanden.
Parterne er ikke fælles dataansvarlige
Formålene med behandlingen af de personoplysninger, som en part modtager, fastlægges ikke i fællesskab af parterne. Parterne er derfor ikke fælles dataansvarlige i henhold til artikel 26 i GDPR. Hvis de var fælles dataansvarlige, ville parterne i stedet indgå en "aftale om fælles dataansvar".
Ingen af parterne behandler personoplysninger på vegne af den anden part
Der er med andre ord ikke tale om bistand mellem parterne.
Eksempel på indholdet af en datadelingsaftale mellem autonome dataansvarlige
Roller og status
Det skal være klart, at parterne er uafhængige dataansvarlige. De fastlægger således deres eget formål med behandlingen. Det bør også præciseres, at der ikke er noget fælles dataansvar eller forhold mellem parterne med bistand fra en dataansvarlig.
Formål
Formålet med en behandlingsaktivitet skal altid være udtrykkeligt og specifikt. Som hovedregel er det ikke tilladt at behandle personoplysninger til andre formål.
Retlige bemærkninger
Da hver part er en selvstændig dataansvarlig, vælger de deres eget retsgrundlag for deres behandling. Disse bør præciseres i aftalen om dataudveksling.
Type personoplysninger
Det er vigtigt at præcisere, hvilke typer personoplysninger der skal deles, fra hvem og til hvem. F.eks. i tilfælde af følsomme eller andre personoplysninger, der er følsomme for privatlivets fred. Bemærk, at dette er vigtigt for at kunne foretage gode risikovurderinger.
Tekniske og organisatoriske foranstaltninger
Virksomhederne skal gennemføre tilstrækkelige tekniske og organisatoriske sikkerhedsforanstaltninger i henhold til GDPR for at beskytte personoplysninger. Det er nyttigt at definere de sikkerhedsforanstaltninger, som virksomhederne skal træffe, når de deler data. F.eks. brug af kryptering og autentificering.
Deling med tredjeparter
For at forhindre uautoriseret videregivelse af personoplysninger er det nyttigt at nå til enighed om forbud og krav vedrørende deling af personoplysninger med en tredjepart. F.eks. at deling af personoplysninger til tredjepar kræver skriftligt samtykke fra den anden part, eller at der er et totalt forbud mod videredeling.
Registreredes rettigheder
De dataansvarlige skal kunne fastsætte bestemmelser om de registreredes rettigheder. Hvis flere parter behandler de samme personoplysninger og er selvstændige dataansvarlige, er det nyttigt at præcisere, hvem af dem der skal behandle anmodninger. Desuden er det nyttigt at medtage behandlingstiden og kommunikationsmidlerne mellem parterne.
Oplysningspligt
GDPR pålægger dataansvarlige en retlig forpligtelse til at give oplysninger til registrerede. Dette betyder bl.a., at hver part skal underrette de registrerede om behandlingen af deres personoplysninger i henhold til databeskyttelsesforordningens artikel 13 og databeskyttelsesforordningens artikel 14.
Håndtering af brud på persondatasikkerheden
GDPR kræver håndtering af brud på persondatasikkerheden. Det er nyttigt at nå til enighed om, hvilke foranstaltninger aftaleparterne skal træffe i tilfælde af brud på persondatasikkerheden. F.eks. et brud på datasikkerheden eller fejlsendte e-mails, der indeholder personoplysninger. Aftalen om dataudveksling bør f.eks. regulere, hvordan kommunikationen mellem parterne om hændelsen skal finde sted, inden for hvilken frist, hvilken part der skal kontakte den nationale databeskyttelsesmyndighed og de registrerede osv.
Opbevaringstid
Personoplysninger må ikke opbevares i nogen periode. Parterne i en datadelingsaftale kan have forskellige opbevaringsperioder, da de er selvstændige dataansvarlige og selv bestemmer dette. På den anden side er det nyttigt at medtage oplagringsperioder i kontrakten. Desuden er det nyttigt at medtage, hvordan personoplysninger bør udtyndes på en sikker måde.
Opsigelse af kontrakten
Aftalen om dataudveksling regulerer, hvad der sker, når aftalen mellem parterne opsiges. F.eks. om personoplysningerne skal slettes, eller om parterne må opbevare dem med henblik på yderligere behandling. Desuden er det nyttigt at regulere, hvordan eventuelle anmodninger om rettigheder fra registrerede vil blive behandlet i fremtiden.
FLERE OPLYSNINGER
Meddelelse om beskyttelse af personlige oplysninger
Virksomhederne skal informere de registrerede om behandlingen af personoplysninger, hvilket normalt sker i en meddelelse om databeskyttelse. Den beskriver bl.a. formålet med behandlingen, retsgrundlaget, opbevaringsperioden, de registreredes rettigheder osv. En meddelelse om beskyttelse af privatlivets fred er ikke det samme som en politik for beskyttelse af privatlivets fred. En meddelelse om databeskyttelse er et eksternt informationsdokument rettet til registrerede. En politik for beskyttelse af privatlivets fred er imidlertid et internt dokument, der beskriver, hvordan virksomheden håndterer beskyttelsen af medarbejdernes personoplysninger.