Kort svar
Felles behandlingsansvar oppstår ikke bare fordi to virksomheter samarbeider. Det krever at de i fellesskap bestemmer formål og midler for behandlingen.
Før dere setter behandlingen i drift eller svarer den registrerte, bør dere ha kontroll på om partene faktisk bestemmer formål og midler sammen, hvordan ansvar for informasjon og rettigheter skal deles og hvordan samarbeidet dokumenteres i praksis.
Når dette blir aktuelt
- når to virksomheter gjennomfører felles kampanjer, plattformer eller kundeprogram
- når partene deler styring av databruk og kontaktflater
- når vanlig databehandlerlogikk ikke passer godt på samarbeidet
Det bedriften bør avklare først
| Spørsmål | Hvorfor det betyr noe |
|---|---|
| Om partene faktisk bestemmer formål og midler sammen | avgjør om felles behandlingsansvar er riktig vurdering |
| Hvordan ansvar for informasjon og rettigheter skal deles | er viktig for at registrerte får et fungerende kontaktpunkt |
| Hvordan samarbeidet dokumenteres i praksis | reduserer risikoen for at ansvaret blir liggende i ingenmannsland |
Slik bør dere gå fram
- Beskriv hvilke beslutninger hver part tar om dataene og hvor de overlapper.
- Test om samarbeidets kjerne gjør begge til behandlingsansvarlige for samme behandling.
- Lag en praktisk ordning for hvem som håndterer informasjon, innsyn og andre rettigheter.
- Sørg for at ordningen er kjent internt hos begge parter og ikke bare står i et vedlegg.
Dokumenter og spor som bør være på plass
I personvernspørsmål er det ofte kombinasjonen av formål, tilgangsstyring og dokumentasjon som avgjør om rutinen holder.
- samarbeidsavtale eller ordning om ansvar mellom partene
- beskrivelse av behandlingen og hvem som bestemmer hva
- rutine for håndtering av registrertes rettigheter
- informasjonstekster eller personvernerklæring som speiler modellen
Typiske feil
- partene hopper rett til standard databehandleravtale uten rolleanalyse
- ingen vet hvem som skal svare de registrerte
- ordningen er skrevet juridisk, men fungerer ikke operativt
Når bør dere få konkret hjelp?
Når samarbeidet er tett og begge parter møter den registrerte utad, bør rollefordelingen kvalitetssikres før løsningen settes i drift.
Slik bruker dere guiden i praksis
For en bedrift er ikke målet å lese seg opp på felles behandlingsansvar i seg selv. Målet er å avklare hva som må besluttes, hvem som eier oppfølgingen, og hvilke dokumenter som bør tåle en senere kontroll, tvist eller intern gjennomgang.
Bruk derfor guiden som en arbeidsliste: start med formål, datatyper, tilgang, leverandører og sletterutiner, og fordel deretter oppgavene mellom systemeier, ledelse og den som eier kundereisen eller HR-prosessen. Da blir vurderingen mer konkret enn en generell regelavklaring, og dere reduserer risikoen for for brede datainnsamlinger, uklare leverandørroller og svak håndtering av innsyn eller brudd.
Spørsmål som gir bedre avklaring
- Hvilke personopplysninger behandles, og hvilket konkret formål støtter de?
- Hvem bestemmer bruken av opplysningene, og hvem behandler dem på vegne av bedriften?
- Hvilke systemer, leverandører og tilganger må inngå i vurderingen?
- Hva sier rutinen om informasjon, innsyn, sletting og avvik?
- Hvilke valg bør dokumenteres slik at de kan forklares ved kontroll eller spørsmål?
Et godt beslutningsgrunnlag bør vise
| Del | Hva bør stå klart |
|---|---|
| Formål | hvorfor opplysningene brukes, og om bruken er nødvendig |
| Roller | hvem som bestemmer behandlingen, og hvem som leverer systemer eller tjenester |
| Kontroll | hvordan tilgang, sletting, innsyn og avvik følges opp i praksis |
Denne typen oversikt gjør det enklere å prioritere riktig nivå på arbeidet. Den hjelper også bedriften å skille mellom det som kan løses med bedre intern rutine, det som bør avklares med motpart eller leverandør, og det som bør vurderes før dere tar neste formelle steg.
Relaterte guider
- Privat bruk av arbeidsutstyr og innsyn fra arbeidsgiver: hva gjelder?
- Behandlingsansvarlig eller databehandler: hvordan vurdere rollen?
- Databehandleravtale: hva må være med?