Avtal
Datadelningsavtal (DSA) mellan självständigt personuppgiftsansvariga
Datadelningsavtal (DSA) mellan självständigt personuppgiftsansvariga bör ingås när minst två aktörer är självständigt personuppgiftsansvariga och delar personuppgifter mellan varandra. Datadelningen kan vara ensidig eller ömsesidig.
Vad är skillnaden mellan ett Datadelningsavtal (DSA) och Personuppgiftsbiträdesavtal (DPA)?
Ett Datadelningsavtal och Personuppgiftsbiträdesavtal är lämpliga vid olika situationer. När två eller flera självständigt personuppgiftsansvariga aktörer samarbetar och delar personuppgifter mellan varandra, är ett Datadelningsavtal (DSA) mellan självständigt personuppgiftsansvariga särskilt lämpligt. Varje part bestämmer själv syftet med sin egen personuppgiftsbehandling, den rättsliga grunden för sin behandling och ansvarar ensamt för sin behandling. Ett personuppgiftsbiträdesavtal istället är lämpligt när ett företag behandlar personuppgifter åt ett annat företags räkning.
Syftet med att upprätta ett Datadelningsavtal
Även fast det inte står uttryckligen i GDPR att företag måste ingå ett Datadelningsavtal, så finns det flera regler i GDPR som ett datadelningsavtal hjälper företag att följa. Fördelar med att upprätta och ingå ett Datadelningsavtal (DSA) mellan självständigt personuppgiftsansvariga:
Parterna reglerar vilken information som ska ges till de registrerade, för att de ska veta vilken part som ansvarar för vad.
Anledningen till att de registrerades personuppgifter delas mellan parterna formaliseras i skrift och tydliggörs.
Den rättsliga grunden som behandlingen stöds av förtydligas och förmedlas med transparens mellan parterna.
De registrerades rättigheter tydliggörs och parterna bestämmer hur de ska hantera registrerades begäranden om utövande av sina rättigheter sinsemellan.
Datadelningsavtalet hjälper företagen att styrka att de följer GDPR i enlighet med principen om ansvarsskyldighet.
När bör parterna ingå ett Datadelningsavtal?
Båda parter är självständigt personuppgiftsansvariga
När båda parter (eller fler) är självständigt personuppgiftsansvariga och delar personuppgifter med varandra, ska de ingå ett Datadelningsavtal med varandra. Detta innebär att respektive parten är ensamt personuppgiftsansvarig för sin egen behandling av personuppgifterna som delas eller mottas. Även fast det avser samma personuppgifter, har de olika parterna sina egna självständiga ändamål och rättsliga grunder för behandlingarna de utför. Datadelningen kan vara ensidig eller ömsesidig. Det vill säga, endast en eller båda parter kan dela personuppgifter till varandra.
Parterna är inte gemensamt personuppgiftsansvariga
Ändamålen med behandlingen av personuppgifterna som mottas av part fastställs inte gemensamt av parterna. Därför är parterna inte gemensamt personuppgiftsansvariga enligt artikel 26 i GDPR. Om de vore gemensamt personuppgiftsansvariga, ska parterna istället ingå ett “Avtal om gemensamt personuppgiftsansvar”.
Ingen part behandlar personuppgifter för den andras räkning
Det föreligger med andra ord inte någon biträderelation mellan parterna.
Exempel på innehåll i ett Datadelningsavtal (DSA) mellan självständigt personuppgiftsansvariga
Roller och status
Det ska framgå tydligt att parterna är självständigt personuppgiftsansvariga. De bestämmer därmed sitt eget syfte med behandlingen. Det bör även förtydligas uttryckligen att det inte råder ett gemensamt personuppgiftsansvar eller en ansvarig-biträde-relation mellan parterna.
Syfte
Syftet med en behandling måste alltid vara uttryckligt och specifikt. Huvudregeln är att det inte är tillåtet att behandla personuppgifter för andra ändamål.
Rättslig grund
Eftersom respektive parten är självständigt personuppgiftsansvarig, ska de välja en egen rättslig grund för sin behandling. Dessa bör anges i datadelningsavtalet.
Typ av personuppgifter
Det är viktigt att specificera vilka typer av personuppgifter som ska delas, från vem och till vem. Till exempel om det gäller känsliga eller andra integritetskänsliga personuppgifter. Observera att detta är viktigt för att kunna göra bra riskbedömningar.
Tekniska och organisatoriska åtgärder
Företag måste vidta tillräckliga tekniska och organisatoriska säkerhetsåtgärder enligt GDPR, för att skydda personuppgifterna. Det är bra att definiera vilka säkerhetsåtgärder företagen ska vidta vid datadelningen. Till exempel användning av kryptering och autentisering.
Delning till tredje part
För att förebygga att personuppgifterna blir föremål för otillåten spridning, är det bra att avtala om förbud och krav för delning av personuppgifterna till en tredje part. Till exempel att det krävs ett skriftligt tillstånd från den andra parten för att få dela personuppgifterna till tredje par, eller att det råder ett total förbud för vidaredelning.
Registrerades rättigheter
Personuppgiftsansvariga måste kunna tillgodose de registrerades rättigheter. Om flera parter behandlar samma personuppgifter och är självständigt personuppgiftsansvariga, är det bra att klargöra vem av dem som ska hantera registreras begäranden. Dessutom är det bra att inkludera hur snabbt hanteringen ska ske och kommunikationsvägarna mellan parterna.
Informationsplikt
I GDPR råder en lagstadgad informationsplikt från de personuppgiftsansvariga gentemot de registrerade. Det innebär bland annat att varje part ska informera de registrerade om behandlingar av deras personuppgifter enligt artikel 13 i GDPR och artikel 14 i GDPR.
Hantering av personuppgiftsincidenter
GDPR ställer krav på hantering av personuppgiftsincidenter. Det är bra att avtala om hur avtalsparterna ska agera vid en eventuell personuppgiftsincident. Såsom ett dataintrång eller felskickade mejl som innehåller personuppgifter. Till exempel bör datadelningsavtalet reglera hur kommunikationen mellan parterna om incidenten ska ske, inom vilken tidsfrist, vilken part som ska kontakta den nationella dataskyddsmyndigheten och de registrerade osv.
Lagringstid
Personuppgifter får inte lagras hur länge som helst. Parterna i ett datadelningsavtal kan ha olika lagringstider, eftersom de är självständiga personuppgiftsansvariga och bestämmer detta själva. Däremot är det bra att inkludera lagringstiderna i avtalet. Dessutom är det bra att inkludera hur gallring av personuppgifter ska ske på ett säkert sätt.
Avtalets upphörande
Datadelningsavtalet ska reglera vad som händer när avtalet mellan parterna upphör. Till exempel om personuppgifterna ska raderas, eller om parterna får behålla dem för fortsatt behandling. Dessutom är det bra att reglera hur eventuella rättighetsbegäranden från registrerade i framtiden ska bli hanterade.
Mer info
Integritetsmeddelande
Företag behöver informera de registrerade om behandlingen av personuppgifter, vilket brukar ske i ett integritetsmeddelande. Där beskriver företaget bland annat syftet med behandlingarna, rättsliga grunder, lagringstid, de registrerades rättigheter m.m. Ett integritetsmeddelande är inte samma sak som en integritetspolicy. Ett integritetsmeddelande är ett externt informativt dokument som riktar sig till de registrerade. Men en integritetspolicy är ett internt dokument som beskriver hur företaget arbetar med dataskydd för medarbetarna.