Hva er et felles behandlingsansvar og når gjelder det?

Felles behandlingsansvar er et av de mest omdiskuterte og vanskeligste begrepene i GDPR. Mange organisasjoner samarbeider med andre aktører og deler systemer, data eller tjenester – men hvor går egentlig grensen mellom å være databehandler og å være felles behandlingsansvarlige?

Spørsmålet er avgjørende. En feilaktig vurdering kan føre til uklar ansvarsfordeling, vanskeligheter med å håndtere de registrertes rettigheter og i verste fall sanksjonsgebyrer.

Her går vi gjennom hva felles behandlingsansvar innebærer, når det gjelder og hvordan du kan avgjøre hva som gjelder i din organisasjon.

Hva menes med felles behandlingsansvar etter GDPR?

I henhold til artikkel 26 i GDPR oppstår et felles behandlingsansvar når to eller flere aktører sammen bestemmer formålet og midlene for en behandling av personopplysninger.

Det sentrale er altså:

• Formålet – hvorfor behandlingen skjer.
• Midlene – hvordan behandlingen skal gjennomføres.

Hvis begge parter har en reell innflytelse over disse beslutningene, er de felles behandlingsansvarlige.

Det er viktig å understreke at ansvarsfordelingen ikke alltid er helt jevn. En part kan ha mer praktisk ansvar i en viss del, men begge har det overordnede ansvaret overfor tilsynsmyndigheten og de registrerte.

Felles ansvar er ikke det samme som databehandlerforhold

Det er viktig å skille rollene:

• Behandlingsansvarlig bestemmer selvstendig formål og midler.
  
  
• Databehandler behandler personopplysninger på vegne av den behandlingsansvarlige og etter instruksjoner.
  
  
• Felles behandlingsansvarlige har sammen besluttet formål og/eller midler for behandlingen.

En vanlig feil er at parter kaller et samarbeid for et databehandlerforhold når det i virkeligheten er et felles ansvar. Det kan føre til at man inngår feil type avtale, noe som igjen kan medføre manglende etterlevelse av GDPR.

Eksempler på situasjoner der felles ansvar kan oppstå

• Offentlig sektor: En kommune og en region utvikler en felles e-tjeneste for helsesaker. Begge parter bestemmer sammen hvilke pasientopplysninger som skal samles inn og hvordan systemet skal fungere, noe som gjør dem felles behandlingsansvarlige.
  
  
• Konserninterne systemer: Flere selskaper i samme konsern deler et HR-system. Siden de sammen bestemmer formålet (f.eks. medarbeideradministrasjon) og hvordan opplysningene skal behandles, anses de å ha et felles ansvar.
  
  
• Sosiale medier: Et selskap har en Facebook-side og bruker sidestatistikk. EU-domstolen har slått fast at selskapet og plattformen er felles behandlingsansvarlige for innsamlingen av visse opplysninger.
  
  
• Forskningsprosjekter: Universiteter og forskningsinstitutter som sammen bestemmer formål og metode for innsamling av sensitive opplysninger. 

Hvordan håndterer man felles behandlingsansvar i praksis?

Felles behandlingsansvar reguleres i artikkel 26 GDPR. Den regulerer blant annet de behandlingsansvarlige organisasjonenes innbyrdes avtaler, de registrertes rettigheter og sikkerhetsaspekter for personopplysninger.

Når det foreligger et felles behandlingsansvar, må partene:

• Inngå en skriftlig avtale som regulerer ansvarsfordelingen.
  
  
• Tydeliggjøre hvem som gjør hva – særlig hvem som har ansvar for å informere de registrerte og håndtere deres rettigheter.
  
  
• Gjøre avtalen tilgjengelig for de registrerte, slik at transparensen sikres.
  
  
• Dokumentere og følge opp at avtalen etterleves over tid.

Merk at avtalen ikke kan brukes til å avtale bort ansvar. Begge parter er ytterst ansvarlige overfor tilsynsmyndigheten.

Hva skjer hvis man vurderer ansvaret feil?

Å behandle et felles ansvar som et databehandlerforhold (eller motsatt) kan få store konsekvenser:

• Manglende transparens overfor de registrerte.
  
  
• Feil håndtering av forespørsler om sletting, retting eller innsyn.
  
  
• Risiko for sanksjonsgebyrer fra Datatilsynet eller andre tilsynsmyndigheter.
  
  
• Tillitsskader i samarbeidet mellom aktørene.

Et kjent eksempel er EU-domstolens dom i Wirtschaftsakademie-saken (Facebook Insights, C-210/16). Der ble det understreket at begge parter var ansvarlige for innsamlingen av data – selv om deres innflytelse var ulik.

Hvordan skiller man felles ansvar fra selvstendig ansvar?

I noen situasjoner er det verken et databehandlerforhold eller et felles ansvar – men to selvstendige behandlingsansvarlige som behandler de samme opplysningene for ulike formål. Det er en avgjørende forskjell fra felles ansvar.

Eksempler:

• To helseaktører som begge lagrer pasientdata, men for sin egen virksomhet.
• To myndigheter som får de samme opplysningene, men for ulike rettslige oppdrag.

Her gjelder at hver aktør selv er ansvarlig for sin behandling. Dette kan være en gråsone, og det er derfor viktig å analysere både formål og metoder nøye.

Slik avgjør du om det er felles ansvar eller ikke

Følgende spørsmål er veiledende i GDPR:

• Bestemmer begge parter formålet med behandlingen?
  
  
• Har begge innflytelse over hvordan behandlingen utføres?
  
  
• Er partene gjensidig avhengige av hverandre for å gjennomføre behandlingen?
  
  
• Har de felles rutiner eller systemer for innsamling og lagring?
  
  
• Har de separate formål (peker heller mot selvstendig ansvar)?

Jo flere "ja" på de første spørsmålene, desto større sannsynlighet for at det er felles ansvar.

Vanlige fallgruver å unngå

• Å anta at alle konsernselskaper automatisk er felles ansvarlige.
  
  
• Å tro at en databehandleravtale løser situasjonen selv om begge parter har innflytelse.
  
  
• Å unnlate å regulere ansvarsfordelingen skriftlig.
  
  
• Å unnlate å informere de registrerte om den felles avtalen.
  
  
• Å ikke oppdatere avtalen når samarbeidet endres.

Strategisk perspektiv: Hvorfor tydelighet er avgjørende

Felles behandlingsansvar handler ikke bare om juridiske formaliteter. En tydelig avtale styrker:

• Transparensen overfor de registrerte.
  
  
• Effektiviteten i håndteringen av rettigheter.
  
  
• Tilliten mellom samarbeidspartnere.
  
  
• Muligheten til å stå sterkt ved en granskning.

Klarhet i ansvarsfordelingen reduserer risiko og skaper trygghet for alle involverte.

Slik bygger du en robust struktur for felles ansvar

For at felles behandlingsansvar ikke skal bli et svakt ledd i personvernarbeidet kan dere:

• Innføre interne rutiner for å identifisere felles behandlinger tidlig.
  
  
• Involvere personvernombud og jurister i samarbeid allerede ved anskaffelse eller prosjektstart.
  
  
• Bruke maler og standardavtaler som oppfyller artikkel 26.
  
  
• Legge opp til regelmessig oppfølging for å kontrollere at ansvarsfordelingen fortsatt er aktuell.

Med en tydelig struktur blir det enklere å unngå misforståelser og sikre at de registrertes rettigheter alltid ivaretas.

Sikre personvernet deres med metodikk, verktøy og eksperthjelp

Å avgjøre når felles ansvar gjelder og hvordan det skal reguleres er ikke alltid enkelt. Mange organisasjoner opplever at de havner i gråsoner og mangler tydelige rutiner for å dokumentere og kommunisere avtalen.

Med Privacy as a Service får dere:

• Rådgivning fra jurister og erfarne personvernombud.
  
  
• Støtte i å identifisere når felles ansvar gjelder.
  
  
• Maler og verktøy for å dokumentere ansvarsfordelingen.
  
  
• Metodikk for å håndtere gråsoner og oppdatere avtaler over tid.

Book en demo allerede i dag og se hvordan vi kan hjelpe dere å håndtere felles behandlingsansvar – trygt, effektivt og i tråd med loven