Skriftliga avtal
Intrakoncernavtal om personuppgiftsdelning
Intrakoncernavtal om personuppgiftsdelning är lämpligt att upprätta när det sker datadelning mellan bolag inom en företagsgrupp, såsom en koncern, inklusive delning av personuppgifter.
Datadelning inom en företagsgrupp
Inom en företagsgrupp är det vanligt att bolagen delar uppgifter, såsom personuppgifter, till varandra av olika anledningar. Däremot är det viktigt att tänka på att personuppgiftsdelningen inte får ske hur som helst. I GDPR finns det inget undantag som innebär att delning av personuppgifter mellan koncernbolag får ske fritt. Istället gäller samma regler som för övriga överföringar av personuppgifter som omfattas av GDPR. Därför är det bra för bolagen inom företagskoncernen att ingå ett Intrakoncernavtal om personuppgiftsdelning med varandra, för att säkerställa att den koncerninterna delningen av personuppgifterna sker i enlighet med GDPR.
Innan det sker intern delning av personuppgifter, måste företaget som utför datadelningen:
- Ha en rättslig grund för att genomföra datadelningen.
- Dokumentera den rättsliga grunden och syftet med datadelningen.
- Informera de registrerade om datadelningen. Vanligtvis sker detta via företagets integritetsmeddelande.
- Följa de övriga reglerna i GDPR såsom principerna om ändamålsbegränsning och uppgiftsminimering.
När det kan vara lämpligt att upprätta ett intrakoncernavtal om personuppgiftsdelning
- Om gemensamma IT-system används inom hela koncernen av de olika koncernbolagen.
- Ifall kundregister, inklusive kundernas personuppgifter såsom kontaktuppgifter, delas inom koncernen.
- När marknadsföring som involverar behandling av personuppgifter eller profilering sker på koncernnivå.
Rollfördelning enligt GDPR inom en koncern
Rollfördelningen enligt GDPR mellan parterna i ett Intrakoncernavtal om personuppgiftsdelning kan vara något av följande, eller en kombination av dessa:
Samtliga parter är självständigt personuppgiftsansvariga för en viss datadelning som sker internt mellan koncernbolagen.
Minst en part är personuppgiftsansvarig och minst en annan part är personuppgiftsbiträde för en viss datadelning som sker internt mellan koncernbolagen.
Minst en part är personuppgiftsbiträde och minst en annan part är dennes underbiträde för en viss datadelning som sker internt mellan koncernbolagen.
Minst två parter är gemensamt personuppgiftsansvariga.
Vilket innehåll bör ett intrakoncernavtal om personuppgiftsdelning ha?
Syfte
Vad är anledningen och ändamålet med att personuppgifterna behöver delas internt inom koncernen? Exempelvis för koncerngemensam styrning, uppfylla en rättslig förpliktelse, effektivera arbetet inom koncernen, samordning av system eller liknande. Observera att syftet måste vara specifikt och tydligt.
Personuppgifter
Vilka kategorier av personuppgifter delas inom koncernen? Personuppgifterna kan vara vanliga eller känsliga personuppgifter. Avtalet bör också reglera vilka volymer av personuppgifter som överförs, vem personuppgifterna tillhör (det vill säga, vilka är de registrerade) m.m. Det är viktigt att ha en sådan överblick, för att kunna göra en bra riskbedömning och implementera säkerhetsåtgärder därefter.
Rättslig grund
Vad är den rättsliga grunden för överföringen enligt artikel 6 i GDPR? Företag måste ha en rättslig grund för att kunna överföra och dela personuppgifter. Detta gäller även för datadelning internt inom det egna bolaget, som till andra bolag inom koncernen. Till exempel kan rättslig grund vara rättslig förpliktelse eller berättigat intresse. Samtycke brukar inte vara vanligt att använda för datadelning i koncernsammanhang.
Tekniska och organisatoriska säkerhetsåtgärder
Företag måste vidta tillräckliga tekniska och organisatoriska säkerhetsåtgärder för att skydda personuppgifterna som behandlas. Det bör även ske för att följa de övriga reglerna i GDPR, såsom att tillgodose de registrerades rättigheter vid begäran. Det är bra att beskriva vilka säkerhetsåtgärder som vidtas i samband med personuppgiftsdelningen. Till exempel kryptering av personuppgifter, segmentering av känsliga personuppgifter, implementerade skriftliga rutiner, policys osv.
Personuppgiftsincidenter
Ju fler företag som är involverade i datadelningen och datamottagningen, desto mer ökar komplexiteten vid personuppgiftsincidenter. Därför är det bra för parterna att reglera vem som ansvarar för kontakt med registrerade, nationell dataskyddsmyndighet, hur parterna ska rapportera incidenten mellan sig m.m. Observera att rapportering till den nationella dataskyddsmyndigheten ska ske inom 72 timmar från och med upptäckten av incidenten.
Registrerades rättigheter
Företagen i koncernen måste vara tydliga med vem av dem som tar emot rättighetsförfrågningar från de registrerade, tillgodoser rättigheterna vid begäran, kommunicerar mellan varandra vid begäranden, tidsramar osv. Om inte, finns det en risk att de registrerade hamnar i ett ”ingenmansland” och inte vet vem de ska kontakta, blir bollade mellan parterna eller liknande.
Lagringstid
De olika koncernbolagen kan ha olika lagringstider för personuppgifterna som behandlas koncerninternt. Det är därför bra att företaget reglerar detta närmare i intrakoncernavtalet om personuppgiftsdelning. Med andra ord, hur länge personuppgifterna får behandlas av bolagen, hur personuppgifterna ska gallras och vem av parterna som bär det yttersta ansvaret för att gallra personuppgifterna.
Förbud
Det ska i intrakoncernavtalet stå reglerat huruvida det råder några förbud eller inte. Till exempel att personuppgifterna inte får delas med någon tredje part utanför koncernen, såvida det inte finns ett skriftligt tilläggsavtal. Ett annat förbud som är bra att reglera är att personuppgifterna inte får användas för några andra syften än de ursprungliga.
Tredjelandsöverföringar
Många koncerner driver verksamhet både inom och utanför EU/EES-området. Om det sker en överföring av personuppgifter från ett land inom EU/EES-området till ett land utanför, utgör det en dataöverföring till tredjeland. Vid sådana fall är reglerna striktare. Till exempel kan det kräva en konsekvensbedömning av dataöverföring till tredje land, innan datadelningen sker.
Ett dataskyddsombud för hela bolagskoncernen
Det är möjligt för en bolagskoncern som är verksam i flera EU/EES-länder att endast ha ett dataskyddsombud, istället för ett enskilt dataskyddsombud för varje företag i respektive land. Däremot kan det vara problematiskt i vissa fall, speciellt för stora företagsgrupper med miljontals kunder. Dataskyddsombudet måste nämligen kunna utföra sina arbetsuppgifter, såsom att besvara frågor från registrerade gällande behandling av deras personuppgifter. Det kan vara svårt att göra, om det enbart finns ett ensamt dataskyddsombud.
Mer info
Datadelningsavtal (DSA)
Det är inte ovanligt att två eller flera företag delar personuppgifter med varandra, men har sina egna syften med behandlingen och därmed är självständigt personuppgiftsansvariga. Respektive sådan part bestämmer också den rättsliga grunden för sin egen behandling av personuppgifterna, och är ansvarig för att behandlingen sker i enlighet med GDPR. Vid sådana fall är det bra att upprätta ett datadelningsavtal (DSA) mellan två självständiga personuppgiftsansvariga, för att reglera datadelningen och ansvaret mellan parterna. Observera att ett datadelningsavtal och personuppgiftsbiträdesavtal inte är samma sak. De är lämpliga vid olika typer av förhållanden och rollfördelningar mellan avtalsparterna.