Kort svar
Felles behandlingsansvar oppstår ikke bare fordi to virksomheter samarbeider. Det krever at de i fellesskap bestemmer formål og midler for behandlingen.
Før dere setter behandlingen i drift eller svarer den registrerte, bør dere ha kontroll på om partene faktisk bestemmer formål og midler sammen, hvordan ansvar for informasjon og rettigheter skal deles og hvordan samarbeidet dokumenteres i praksis.
Når dette blir aktuelt
- når to virksomheter gjennomfører felles kampanjer, plattformer eller kundeprogram
- når partene deler styring av databruk og kontaktflater
- når vanlig databehandlerlogikk ikke passer godt på samarbeidet
Det bedriften bør avklare først
| Spørsmål | Hvorfor det betyr noe |
|---|---|
| Om partene faktisk bestemmer formål og midler sammen | avgjør om felles behandlingsansvar er riktig vurdering |
| Hvordan ansvar for informasjon og rettigheter skal deles | er viktig for at registrerte får et fungerende kontaktpunkt |
| Hvordan samarbeidet dokumenteres i praksis | reduserer risikoen for at ansvaret blir liggende i ingenmannsland |
Slik bør dere gå fram
- Beskriv hvilke beslutninger hver part tar om dataene og hvor de overlapper.
- Test om samarbeidets kjerne gjør begge til behandlingsansvarlige for samme behandling.
- Lag en praktisk ordning for hvem som håndterer informasjon, innsyn og andre rettigheter.
- Sørg for at ordningen er kjent internt hos begge parter og ikke bare står i et vedlegg.
Dokumenter og spor som bør være på plass
I personvernspørsmål er det ofte kombinasjonen av formål, tilgangsstyring og dokumentasjon som avgjør om rutinen holder.
- samarbeidsavtale eller ordning om ansvar mellom partene
- beskrivelse av behandlingen og hvem som bestemmer hva
- rutine for håndtering av registrertes rettigheter
- informasjonstekster eller personvernerklæring som speiler modellen
Typiske feil
- partene hopper rett til standard databehandleravtale uten rolleanalyse
- ingen vet hvem som skal svare de registrerte
- ordningen er skrevet juridisk, men fungerer ikke operativt
Når bør dere få konkret hjelp?
Når samarbeidet er tett og begge parter møter den registrerte utad, bør rollefordelingen kvalitetssikres før løsningen settes i drift.
Relaterte guider
- Privat bruk av arbeidsutstyr og innsyn fra arbeidsgiver: hva gjelder?
- Behandlingsansvarlig eller databehandler: hvordan vurdere rollen?
- Databehandleravtale: hva må være med?