Skabelonen er tænkt som en hjælp til de virksomheder, offentlige myndigheder mv., som har et fælles dataansvar med en anden part for en given behandling af personoplysninger. Du kan finde skabelonen her.
Hvornår kan fælles dataansvar komme på tale?
Fælles dataansvar mellem to eller flere parter kan komme på tale, hvis parterne i fællesskab bestemmer, hvorfor der skal behandles personoplysninger (formålet), og hvordan der skal behandles personoplysninger (hjælpemidlerne).
Et fælles dataansvar kan dog kun komme på tale, hvis part 1 og part 2 sammen har ansvaret for en behandling, og hvis de begge har ret til at bruge oplysningerne til egne formål. Der er altså ikke tale om et fælles dataansvar, hvis en behandling kun foretages til den ene parts formål.
Hvis der er fælles dataansvar skal parternes respektive ansvar reguleres i en aftale
Hvis to eller flere parter har vurderet, at de må anses for fælles dataansvarlige for en given behandling af personoplysninger, skal de efterfølgende sikre sig, at der udarbejdes en aftale, som på en gennemsigtig måde fastlægger deres respektive ansvar for overholdelse af de forskellige forpligtelser, der pålægges en dataansvarlig efter databeskyttelsesforordningen. Parterne skal i den forbindelse have særligt fokus på at fastlægge deres respektive ansvar i forhold til efterlevelse af databeskyttelsesforordningens artikel 13 og 14 om oplysningspligt over for de registrerede. (databeskyttelsesforordningens artikel 26, stk. 1).
Aftalen skal efter databeskyttelsesforordningens artikel 26, stk. 2, på behørig vis afspejle de fælles dataansvarliges respektive roller og forhold til de registrerede. Det væsentligste indhold af aftalen skal ligeledes gøres tilgængeligt for de registrerede.
Om Datatilsynets skabelon til en aftale om fælles dataansvar
Datatilsynets skabelon lægger derfor op til, at parterne forud for en behandling tager stilling til, hvem der har ansvaret for at overholde konkrete bestemmelser i databeskyttelsesforordningen eller hvordan parterne i fællesskab sikrer efterlevelsen. Klarhed om ansvaret vil mindske risikoen for, at nogle forpligtelser ”falder mellem to stole”, og at de registrerede derved får en dårligere beskyttelse af deres personoplysninger.
Henvendelser fra de registrerede og Datatilsynet
Den registrerede kan, uanset aftalens udformning, udøve sine rettigheder i medfør af databeskyttelses-forordningen med hensyn til og over for den enkelte dataansvarlige.
Den ”interne” ansvarsfordeling i aftalen om fælles dataansvar hindrer ligeledes ikke, at tilsynsmyndigheden kan udøve sine beføjelser overfor samtlige af de parter, som er fælles dataansvarlige for behandlingen.