Felles behandlingsansvar: Når gjelder det i GDPR?

Felles behandlingsansvar er et av de mest omdiskuterte og vanskeligste begrepene i GDPR. Mange organisasjoner samarbeider med andre aktører og deler systemer, data eller tjenester – men hvor går egentlig grensen mellom å være databehandler og å være felles behandlingsansvarlige?

Spørsmålet er avgjørende. En feilaktig vurdering kan føre til uklar ansvarsfordeling, vanskeligheter med å håndtere de registrertes rettigheter og i verste fall sanksjonsgebyrer.

Her går vi gjennom hva felles behandlingsansvar innebærer, når det gjelder og hvordan du kan avgjøre hva som gjelder i din organisasjon.

Hva er felles behandlingsansvar i GDPR?

I henhold til artikkel 26 i GDPR oppstår et felles behandlingsansvar når to eller flere aktører sammen bestemmer formålet og midlene for en behandling av personopplysninger.

Det sentrale er altså:

• Formålet – hvorfor behandlingen skjer.
• Midlene – hvordan behandlingen skal gjennomføres.

Hvis begge parter har en reell innflytelse over disse beslutningene, er de felles behandlingsansvarlige.

Det er viktig å understreke at ansvarsfordelingen ikke alltid er helt jevn. En part kan ha mer praktisk ansvar i en viss del, men begge har det overordnede ansvaret overfor tilsynsmyndigheten og de registrerte.

Er dere sikre på hvilken rolle dere faktisk har i samarbeid med andre aktører? Mange feil starter med en feil vurdering av ansvar. Kontakt oss dersom dere er usikre. 

Felles behandlingsansvar vs databehandler – hva er forskjellen?

Det er viktig å skille rollene:

• Behandlingsansvarlig bestemmer selvstendig formål og midler.
  
  
• Databehandler behandler personopplysninger på vegne av den behandlingsansvarlige og etter instruksjoner.
  
  
• Felles behandlingsansvarlige har sammen besluttet formål og/eller midler for behandlingen.

En vanlig feil er at parter kaller et samarbeid for et databehandlerforhold når det i virkeligheten er et felles ansvar. Det kan føre til at man inngår feil type avtale, noe som igjen kan medføre manglende etterlevelse av GDPR.

Eksempler på situasjoner der felles ansvar kan oppstå

• Offentlig sektor: En kommune og en region utvikler en felles e-tjeneste for helsesaker. Begge parter bestemmer sammen hvilke pasientopplysninger som skal samles inn og hvordan systemet skal fungere, noe som gjør dem felles behandlingsansvarlige.
  
  
• Konserninterne systemer: Flere selskaper i samme konsern deler et HR-system. Siden de sammen bestemmer formålet (f.eks. medarbeideradministrasjon) og hvordan opplysningene skal behandles, anses de å ha et felles ansvar.
  
  
• Sosiale medier: Et selskap har en Facebook-side og bruker sidestatistikk. EU-domstolen har slått fast at selskapet og plattformen er felles behandlingsansvarlige for innsamlingen av visse opplysninger.
  
  
• Forskningsprosjekter: Universiteter og forskningsinstitutter som sammen bestemmer formål og metode for innsamling av sensitive opplysninger. 

Hvordan håndtere felles behandlingsansvar (GDPR artikkel 26)

Felles behandlingsansvar reguleres i artikkel 26 GDPR. Den regulerer blant annet de behandlingsansvarlige organisasjonenes innbyrdes avtaler, de registrertes rettigheter og sikkerhetsaspekter for personopplysninger.

Når det foreligger et felles behandlingsansvar, må partene:

• Inngå en skriftlig avtale som regulerer ansvarsfordelingen.
  
  
• Tydeliggjøre hvem som gjør hva – særlig hvem som har ansvar for å informere de registrerte og håndtere deres rettigheter.
  
  
• Gjøre avtalen tilgjengelig for de registrerte, slik at transparensen sikres.
  
  
• Dokumentere og følge opp at avtalen etterleves over tid.

Merk at avtalen ikke kan brukes til å avtale bort ansvar. Begge parter er ytterst ansvarlige overfor tilsynsmyndigheten.

Hva skjer hvis man vurderer ansvaret feil?

Å behandle et felles ansvar som et databehandlerforhold (eller motsatt) kan få store konsekvenser:

• Manglende transparens overfor de registrerte.
  
  
• Feil håndtering av forespørsler om sletting, retting eller innsyn.
  
  
• Risiko for sanksjonsgebyrer fra Datatilsynet eller andre tilsynsmyndigheter.
  
  
• Tillitsskader i samarbeidet mellom aktørene.

Et kjent eksempel er EU-domstolens dom i Wirtschaftsakademie-saken (Facebook Insights, C-210/16). Der ble det understreket at begge parter var ansvarlige for innsamlingen av data – selv om deres innflytelse var ulik.

Hvordan skiller man felles ansvar fra selvstendig ansvar?

I noen situasjoner er det verken et databehandlerforhold eller et felles ansvar – men to selvstendige behandlingsansvarlige som behandler de samme opplysningene for ulike formål. Det er en avgjørende forskjell fra felles ansvar.

Eksempler:

• To helseaktører som begge lagrer pasientdata, men for sin egen virksomhet.
• To myndigheter som får de samme opplysningene, men for ulike rettslige oppdrag.

Her gjelder at hver aktør selv er ansvarlig for sin behandling. Dette kan være en gråsone, og det er derfor viktig å analysere både formål og metoder nøye.

Slik avgjør du om det er felles ansvar eller ikke

Følgende spørsmål er veiledende i GDPR:

• Bestemmer begge parter formålet med behandlingen?
  
  
• Har begge innflytelse over hvordan behandlingen utføres?
  
  
• Er partene gjensidig avhengige av hverandre for å gjennomføre behandlingen?
  
  
• Har de felles rutiner eller systemer for innsamling og lagring?
  
  
• Har de separate formål (peker heller mot selvstendig ansvar)?

Jo flere "ja" på de første spørsmålene, desto større sannsynlighet for at det er felles ansvar.

Hva er noen vanlige fallgruver å unngå?

• Å anta at alle konsernselskaper automatisk er felles ansvarlige.
  
  
• Å tro at en databehandleravtale løser situasjonen selv om begge parter har innflytelse.
  
  
• Å unnlate å regulere ansvarsfordelingen skriftlig.
  
  
• Å unnlate å informere de registrerte om den felles avtalen.
  
  
• Å ikke oppdatere avtalen når samarbeidet endres.

Strategisk perspektiv: Hvorfor tydelighet er avgjørende

Felles behandlingsansvar handler ikke bare om juridiske formaliteter. En tydelig avtale styrker:

• Transparensen overfor de registrerte.
  
  
• Effektiviteten i håndteringen av rettigheter.
  
  
• Tilliten mellom samarbeidspartnere.
  
  
• Muligheten til å stå sterkt ved en granskning.

Klarhet i ansvarsfordelingen reduserer risiko og skaper trygghet for alle involverte.

Slik bygger du en bedre struktur for felles ansvar

For at felles behandlingsansvar ikke skal bli et svakt ledd i personvernarbeidet kan dere:

• Innføre interne rutiner for å identifisere felles behandlinger tidlig.
  
  
• Involvere personvernombud og jurister i samarbeid allerede ved anskaffelse eller prosjektstart.
  
  
• Bruke maler og standardavtaler som oppfyller artikkel 26.
  
  
• Legge opp til regelmessig oppfølging for å kontrollere at ansvarsfordelingen fortsatt er aktuell.

Med en tydelig struktur blir det enklere å unngå misforståelser og sikre at de registrertes rettigheter alltid ivaretas.

FAQ: Felles behandlingsansvar (GDPR)

1. Hva er felles behandlingsansvar?
Når to eller flere aktører sammen bestemmer formålet og midlene for behandling av personopplysninger.

2. Hva er forskjellen på felles behandlingsansvar og databehandler?
En databehandler handler på vegne av en behandlingsansvarlig, mens felles behandlingsansvarlige bestemmer sammen.

3. Når oppstår felles behandlingsansvar?
Når flere parter har reell innflytelse over hvorfor og hvordan personopplysninger behandles.

4. Må man ha en avtale ved felles ansvar?
Ja. GDPR krever en skriftlig avtale som tydelig fordeler ansvar mellom partene.

5. Kan man avtale seg bort fra ansvar?
Nei. Begge parter er ansvarlige overfor Datatilsynet og de registrerte.

6. Hva er den vanligste feilen?
Å feilaktig klassifisere forholdet som et databehandlerforhold.

7. Hva er risikoen ved feil vurdering?
Uklare roller, feil håndtering av rettigheter og mulig sanksjonsgebyr.

8. Hvordan avgjør man hva som gjelder?
Ved å vurdere hvem som bestemmer formål og midler for behandlingen.

Sikre personvernet deres med struktur, verktøy og eksperthjelp

Å avgjøre når felles ansvar gjelder og hvordan det skal reguleres er ikke alltid enkelt. Mange organisasjoner opplever at de havner i gråsoner og mangler tydelige rutiner for å dokumentere og kommunisere avtalen.

Med en helhetlig løsning for personvern får dere:

• Rådgivning fra jurister og erfarne personvernombud.
  
  
• Støtte i å identifisere når felles ansvar gjelder.
  
  
• Maler og verktøy for å dokumentere ansvarsfordelingen.
  
  
• Metodikk for å håndtere gråsoner og oppdatere avtaler over tid.

Book en uforpliktende gjennomgang og se hvordan vi kan hjelpe dere å håndtere felles behandlingsansvar – trygt, effektivt og i tråd med loven.