Skriftlige avtaler
Intrakonserndatadelingsavtaler
Intrakonserndatadelingsavtaler er egnet til å bli etablert når datadeling finner sted mellom selskaper innenfor en gruppe selskaper, for eksempel en gruppe selskaper, inkludert deling av personopplysninger.
Deling av data innenfor en gruppe selskaper
Innenfor en gruppe selskaper er det vanlig for selskaper å dele data, for eksempel personopplysninger, med hverandre av ulike grunner. Det er imidlertid viktig å huske på at personopplysninger ikke kan deles på noen måte. Det er ikke noe unntak i GDPR med den virkning at deling av personopplysninger mellom konsernselskaper er gratis. I stedet gjelder de samme reglene som for andre overføringer av personopplysninger som omfattes av GDPR. Det er derfor nyttig for selskapene i konsernet å inngå en datadelingsavtale med hverandre, for å sikre at deling av personopplysninger innenfor konsernet utføres i samsvar med GDPR.
Før intern deling av personopplysninger må selskapet som utfører datadelingen:
- Ha et rettslig grunnlag for å gjennomføre datadeling.
- Dokumentere det juridiske grunnlaget og formålet med datadeling.
- Informere de registrerte om datadeling. Vanligvis gjøres dette via selskapets personvernerklæring.
- Overholde de andre reglene i GDPR, for eksempel prinsippene om formålsbegrensning og
Dersom det kan være hensiktsmessig å opprette en datadelingsavtale innenfor konsernet:
- Der felles IT-systemer brukes i hele konsernet av de ulike konsernselskapene.
- Om kunderegistre, herunder kunders personopplysninger som kontaktopplysninger, deles innenfor gruppen.
- Hvor markedsføring som involverer behandling av personopplysninger eller profilering finner sted på gruppenivå.
Rollefordeling under GDPR innenfor en gruppe
Rollefordelingen under GDPR mellom partene i en Intragroup-avtale om deling av personopplysninger kan være en av følgende, eller en kombinasjon av disse:
Alle parter er uavhengige behandlingsansvarlige for en gitt datadeling som foregår internt mellom konsernselskapene.
Minst én part er behandlingsansvarlig og minst én annen part er databehandler for en bestemt datadeling som foregår internt mellom konsernselskapene.
Minst én part er en databehandler, og minst én annen part er underbehandler for en bestemt datadeling som foregår internt mellom konsernselskapene.
Minst to av partene er felles kontrollører.
Hva bør være innholdet i en Intrakonserndatadelingsavtale mellom gruppene?
Formål
Hva er årsaken til og formålet med at personopplysningene må deles internt i gruppen? For eksempel for konsernovergripende styring, overholdelse av en juridisk forpliktelse, effektivisering av arbeidet i gruppen, systemkoordinering eller lignende. Vær oppmerksom på at formålet må være konkret og tydelig.
Personlig
Hvilke kategorier av personopplysninger deles innad i gruppen? Personopplysninger kan være vanlige eller sensitive personopplysninger. Avtalen bør også regulere mengden av personopplysninger som overføres, hvem personopplysningene tilhører (dvs. hvem som er de registrerte), etc. Det er viktig å ha en slik oversikt, for å kunne utføre en god risikovurdering og gjennomføre sikkerhetstiltak tilsvarende.
Rettslig grunnlag
Hva er det juridiske grunnlaget for overføringen i henhold til artikkel 6 GDPR? Selskaper må ha et rettslig grunnlag for å overføre og dele personopplysninger. Dette gjelder også for deling av data internt i selskapet selv, som for andre selskaper i konsernet. For eksempel kan det juridiske grunnlaget være juridisk forpliktelse eller legitim interesse. Samtykke brukes ikke vanligvis til datadeling i en gruppekontekst.
Tekniske og organisatoriske sikkerhetstiltak
Bedrifter må implementere tilstrekkelige tekniske og organisatoriske sikkerhetstiltak for å beskytte de behandlede personopplysningene. Dette bør også gjøres for å overholde de andre reglene i GDPR, for eksempel å beskytte rettighetene til de registrerte på forespørsel. Det er nyttig å beskrive sikkerhetstiltakene som er tatt i forbindelse med deling av personopplysninger. For eksempel kryptering av personopplysninger, segmentering av sensitive personopplysninger, implementerte skriftlige prosedyrer, retningslinjer, etc.
Brudd på personopplysninger
Jo flere selskaper som er involvert i datadeling og datamottak, jo mer øker kompleksiteten av brudd på personopplysninger. Det er derfor nyttig for partene å regulere hvem som er ansvarlig for kontakten med de registrerte, den nasjonale personvernmyndigheten, hvordan partene skal rapportere hendelsen mellom dem osv.
Rettigheter for registrerte
Selskapene i konsernet må være tydelige på hvilke av dem som mottar rettighetsforespørsler fra de registrerte, overholder rettighetene på forespørsel, kommuniserer mellom hverandre på forespørsler, tidsrammer, etc. Hvis ikke, er det fare for at de registrerte havner i et «ingenmannsland» og ikke vet hvem de skal kontakte, få ball mellom partene eller lignende.
Lagringstid
De ulike konsernselskapene kan ha ulike oppbevaringsperioder for personopplysningene som behandles i konsernet. Det er derfor nyttig for selskapet å regulere dette nærmere i den konserninterne datadelingsavtalen. Med andre ord, hvor lenge personopplysningene kan behandles av selskapene, hvordan personopplysningene skal slettes og hvilken av partene som har det endelige ansvaret for innsamlingen av personopplysningene.
Forbud mot
I konsernavtalen skal det angis om det finnes forbud eller ikke. For eksempel kan personopplysningene ikke deles med noen tredjepart utenfor gruppen, med mindre det foreligger en supplerende skriftlig avtale. Et annet forbud som er godt å regulere er at personopplysninger ikke kan brukes til noe annet formål enn det opprinnelige.
Overføringer fra tredjestater
Mange grupper opererer både innenfor og utenfor EU/EØS. Hvis det skjer en overføring av personopplysninger fra et land innenfor EU/EØS til et land utenfor, utgjør det en overføring av data til et tredjeland. I slike tilfeller er reglene strengere. Det kan for eksempel kreves en konsekvensanalyse av dataoverføringer til tredjestater før datadeling.
En databeskyttelsesansvarlig for hele gruppen av selskaper
Det er mulig for en gruppe selskaper som opererer i flere EU/EØS-land å ha bare ett personvernombud,i stedet for ett personvernombud for hvert selskap i det respektive landet. Det kan imidlertid være problematisk i noen tilfeller, spesielt for store grupper av selskaper med millioner av kunder. Personvernombudet skal kunne utføre sine oppgaver, f.eks. svare på spørsmål fra de registrerte om behandlingen av deres personopplysninger. Det kan være vanskelig å gjøre det hvis det bare er en DPO.
Mer informasjon
Datadelingsavtale (DSA)
Det er ikke uvanlig at to eller flere selskaper deler personopplysninger med hverandre, men at de har egne formål for behandlingen og dermed er selvstendige behandlingsansvarlige. Hver slik part bestemmer også det juridiske grunnlaget for sin egen behandling av personopplysningene og er ansvarlig for at behandlingen er i samsvar med GDPR. I slike tilfeller er det nyttig å etablere en datadelingsavtale (DSA) mellom to uavhengige behandlingsansvarlige, for å regulere datadeling og ansvar mellom partene. Vær oppmerksom på at en datadelingsavtale og en prosessoravtale ikke er det samme. De er egnet for ulike typer relasjoner og rolledeling mellom entreprenørene.