Del 2: En guide till situationer med flera personuppgiftsansvariga - Minska riskerna!
Affärsjuridik
Som nämnts i den första artikeln i denna guide till situationer med flera personuppgiftsansvariga blir databehandling och praxis för datadelning alltmer komplexa, inte minst i vår online-era.
I ljuset av den allmänna dataskyddsförordningen (eller "GDPR") som trädde i kraft förra året, klargjordes de olika parternas roller i databehandlingsaktiviteter.
Eftersom de olika rollerna (och att avgöra vilken roll ett företag har i en viss databehandlingsaktivitet) ofta är en svår fråga för våra klienter, tänkte vi dela med oss av våra insikter i denna tvådelade artikel. Den första delen tar upp de olika aktörerna inom databehandlingsområdet, samt de relaterade rättigheterna och skyldigheterna och varför det är så viktigt att få saker rätt, medan denna andra del förklarar hur man definierar rollen för ditt företag och våra tips om hur risker kan reduceras.
Varför är skillnaden mellan enskilda och flera registeransvariga scenarier viktig?
Som vi angav i Del 1, när du är den enda personuppgiftsansvariga för en behandling, är det du och endast du som ansvarar för efterlevnad. Detsamma kan inte sägas för scenarier med flera registeransvariga.
I situationer med gemensamt ansvar, med målet att stärka registrerades rättigheter och underlätta deras anspråk enligt GDPR, tillåter lagen att de kan utöva sina rättigheter gentemot vilken registeransvarig som helst. Detta innebär att vid en behandling som inte följer lagen, kan vilken som helst av de registeransvariga i ett gemensamt ansvar bli skyldig att individuellt betala hela eventuella påföljder eller böter, eftersom de är solidariskt ansvariga. Att vara gemensamt ansvarig ökar därför avsevärt riskerna för ansvar, eftersom du tekniskt sett kan hållas ansvarig för din partners olagliga behandlingar.
Hur definierar du din roll?
Som nämnts i Del 1 beror vilken ”kategori” av personuppgiftsansvarig du är på två saker. För det första, är du den enda personuppgiftsansvarige i din verksamhet? Om så är fallet är du helt enkelt en personuppgiftsansvarig utan ytterligare skyldigheter.
För det andra, om svaret på den första frågan var nej och det finns andra personuppgiftsansvariga inblandade i din behandlingsaktiviteter, behöver du fråga dig själv om ni tillsammans bestämmer ändamålen och medlen för personuppgiftsbehandlingen.
Om ni gör det, är ni gemensamt personuppgiftsansvariga och behöver upprätta ett gemensamt ansvarsförhållande eller avtal som fastställer överenskomna rutiner. När det gäller juridisk säkerhet rekommenderar vi vanligtvis att ingå ett juridiskt bindande avtal snarare än att enbart förlita sig på riktlinjer eller policyer för gemensam personuppgiftsansvar. Detta kan naturligtvis påverkas av det övergripande förhållandet mellan parterna och eventuell relaterad komplexitet (inklusive antalet gemensamma personuppgiftsansvariga).
Dessutom bör det påpekas att i ett fall som involverade Facebook, en fan-sida, cookies och situationer med flera personuppgiftsansvariga, intog EU-domstolen en mycket liberal hållning när det gäller vad som utgör en gemensam personuppgiftsansvarig. Denna liberala hållning bekräftades i ett beslut från EU-domstolen i juli 2019, där det fastslogs att även ägaren av en onlinebutik för mode som hade bäddat in en Facebook "like" på sin webbplats, ansågs vara gemensam personuppgiftsansvarig tillsammans med Facebook för alla personuppgifter som behandlades via den "like"-knappen (även om webbplatsägaren inte skulle vara gemensam ansvarig med Facebook för efterföljande behandlingar som enbart utfördes av Facebook). Den europeiska domstolen verkar åtminstone inta en ganska vidsträckt syn när det gäller att fastställa förekomsten av ett gemensamt ansvar i sådana situationer.
I senaste besluten, även om det inte sker någon delning av personuppgifter och endast en av parterna är aktiv i behandlingsaktiviteterna, kommer de att anses vara gemensamma personuppgiftsansvariga om den andra parten har ett visst inflytande över databehandlingsaktiviteten eller direkt eller indirekt drar nytta av den.
Å andra sidan, om du arbetar och delar data med andra personuppgiftsansvariga men ni alla bestämde syftena och medlen för behandlingen individuellt, då är ni del av ett ansvarig-till-ansvarig-förhållande. I detta fall har ni alla de extra ansvar som är förknippade med att vara i ett fleransvarig-förhållande utan skyldighet att ingå ett avtal mellan de ansvariga. Men även om det inte finns någon skyldighet att ingå ett sådant avtal, kan det ändå vara klokt att göra det.
Om du är osäker på vilken typ av personuppgiftsansvarig du är, är det alltid bäst att söka professionell rådgivning.
Vad kan du göra för att minska och begränsa risken oavsett din situation?
Det är självklart att relationer med flera personuppgiftsansvariga är mycket komplicerade situationer, och även om det vore meningslöst för de ansvariga att fastställa sitt respektive ansvar gentemot registrerade av de skäl som nämnts ovan, finns det fortfarande många aspekter av dessa relationer som skulle dra nytta av ett avtal. För att minska de organisatoriska och ekonomiska riskerna som är förknippade med att ha flera personuppgiftsansvariga bör vissa processer införas. Därför bör avtal mellan gemensamma personuppgiftsansvariga och frivilliga (men rekommenderade) avtal mellan personuppgiftsansvariga innehålla bestämmelser som rör:
· De respektive rollerna och relationerna mellan personuppgiftsansvariga gentemot de registrerade.
· Syftena med databehandlingsaktiviteterna
· Skyldigheten till samarbete mellan parterna och relevanta myndigheter
· Hur parterna ska utbyta information mellan sig och, i förekommande fall, med tredje parter
· Hur man hanterar dataintrång och hur man underrättar de andra parterna och relevanta myndigheter
· Policys för lagring och radering av data
· Register över behandlingsaktiviteter
· Sekretessavtal
· De registrerades rättigheter och hur deras förfrågningar ska hanteras
· Säkerhetsåtgärder
· Förekomsten av personuppgiftsbiträden eller underbiträden
· Avslutande av behandlingsaktiviteter och avtalet
Som tidigare nämnts i Del 1 har parterna i ett controller-till-controller-förhållande ingen skyldighet att ingå ett obligatoriskt avtal eller arrangemang. Att göra det kan dock minska framtida problem och låta er starta ert förhållande på rätt sätt. Ofta är det mycket lättare att klargöra saker i början när parterna kommer överens än att försöka förena skillnader när en tvist har uppstått eller, faktiskt, när böter eller sanktioner har utfärdats.
Många frågor kring scenarier med flera controlledor kvarstår fortfarande obesvarade – särskilt vad gäller ansvar där lagen fortfarande är ganska vag. GDPR är förstås en relativt ny lagstiftning, och därför inväntar vi fortsatt vägledning från domstolar och tillsynsmyndigheter när de fortsätter att kasta ljus över dessa frågor. Det är därför värt att komma ihåg att efterlevnad är ett pågående projekt, och det är viktigt att sätta upp påminnelser för att regelbundet granska era bästa praxis i enlighet med de senaste uppdateringarna.
Om du har ytterligare frågor angående scenarier med flera kontrollerenheter, tveka inte att kontakta oss!