Personvernforordningen artikkel 26
Dersom to eller flere behandlingsansvarlige i fellesskap fastsetter formålene med og midlene for behandlingen, skal de være felles behandlingsansvarlige. De skal på en gjennomsiktig måte fastsette sitt respektive ansvar for å overholde forpliktelsene i denne forordning, særlig med hensyn til utøvelse av den registrertes rettigheter og den plikt de har til å framlegge informasjonen nevnt i artikkel 13 og 14, ved hjelp av en ordning seg imellom, med mindre og i den grad de behandlingsansvarliges respektive ansvar er fastsatt i unionsretten eller medlemsstatenes nasjonale rett som de behandlingsansvarlige er underlagt. I ordningen kan det utpekes et kontaktpunkt for registrerte.
Ordningen nevnt i nr. 1 skal på behørig måte gjenspeile de felles behandlingsansvarliges respektive roller og forhold til de registrerte. Det vesentligste innholdet i ordningen skal gjøres tilgjengelig for den registrerte.
Uavhengig av vilkårene for ordningen nevnt i nr. 1 kan den registrerte utøve sine rettigheter i henhold til denne forordning med hensyn til og overfor hver av de behandlingsansvarlige.
En eller flere konkrete behandlinger kan ha flere behandlingsansvarlige
Et felles behandlingsansvar oppstår når to eller flere separate behandlingsansvarlige i felleskap beslutter formål og de avgjørende midlene i behandlingen.
Felles behandlingsansvar kan oppstå både hos virksomheter som er tett knyttet opp til hverandre, men også hos virksomheter som vanligvis ikke har noe særlig med hverandre å gjøre.
Felles behandlingsansvar kan med andre ord oppstå i mange tilfeller. Dermed er det også vanskelig å gi helt klare retningslinjer for når det foreligger felles behandlingsansvar. En konkret vurdering må gjøres i hvert enkelt tilfelle.
Hver enkelt virksomhet må lovlig kunne behandle personopplysningene
Felles behandlingsansvar kan bare oppstå dersom hver enkelt behandlingsansvarlig på egenhånd har lovlig adgang til å behandle de konkrete personopplysningene. Hver enkelt behandlingsansvarlig må derfor ha et behandlingsgrunnlag.
En virksomhet som ikke har behandlingsgrunnlag for å behandle personopplysningene kan aldri være en del av «felleskapet», og kan ikke være felles behandlingsansvarlig. En virksomhet kan dermed ikke «arve» et gyldig behandlingsgrunnlag ved å inngå en avtale om felles behandlingsansvar.
De behandlingsansvarlige fastsetter i felleskap formålet og midlene
Det foreligger kun felles behandlingsansvar hvis virksomhetene i felleskap fastsetter formål og midler. Det oppstår derimot ikke et felles behandlingsansvar når flere behandlingsansvarlige hver for seg tar beslutninger knyttet til formål og midler. Dette gjelder selv om virksomhetene behandler de samme personopplysningene.
Felles behandlingsansvar kan ha ulike former og ulik ansvarsfordeling. Det er ikke et krav om at ansvaret er likt fordelt. Du kan være felles behandlingsansvarlig selv om du kun er delaktig i en svært liten del av beslutningene som tas. Du kan også legge vekt på om du har en egeninteresse i å behandle de konkrete personopplysningene, og på en eller annen måte har bidratt til å bestemme om behandlingen skal skje eller hvordan behandlingen skal skje.
Eksempler
Konsern
Flere virksomheter innad i et konsern bestemmer i fellesskap å opprette et felles kunderegister. Virksomhetenes formål er å administrere kundeforholdene effektivt. Virksomhetene bestemmer i felleskap hvem som skal ha tilgang til registeret, når kundeopplysningene skal slettes og hvilke tekniske system som skal brukes. Dette tyder på at alle virksomhetene innad i konsernet er felles behandlingsansvarlige for dette konkrete registeret.
Markedsføring via internettplattform
En virksomhet vil markedsføre egne produkter til potensielle kunder via en internettplattform. Internettplattformen har også en egeninteresse i å behandle disse opplysningene for å forbedre sin markedsføring. I felleskap inngår virksomhetene en avtale som blant annet sier noe om hvordan markedsføringen skal skje, hvem den skal rette seg mot og hvordan personopplysningene skal brukes.
I dette tilfellet behandler begge virksomhetene de samme opplysningene for samme formål, og bestemmer i felleskap hvordan dette skal skje. Dette tyder på at det foreligger et felles behandlingsansvar for opplysningene som behandles ved markedsføringen.
Kameraovervåking i felleskap
To butikker holder til i samme bygg og har felles inngang. Ved gjentatte tilfeller er butikkene blitt plaget med innbrudd og har tapt store verdier. Butikkene bestemmer i felleskap å installere kameraovervåking ved fellesinngangen i en periode, og at opptak skal gjennomgås ved mistenkelige hendelser.
Her har butikkene i felleskap bestemt formålet med kameraovervåkingen og hvordan overvåkingen skal gjennomføres. Dette tyder på at det foreligger et felles behandlingsansvar for kameraovervåkingen.
Rekrutteringsselskap
Et rekrutteringsselskap har en egen database. I databasen plukker selskapet ut egnede kandidater for en stilling som kunden ønsker besatt. Rekrutteringsselskapet står for søk, kartlegging og innhenter CV og referanser. Kunden bestemmer tilslutt hvem som skal ansettes. Her har rekrutteringsselskapet og kunden i felleskap bestemt formål (ansettelse hos kunden) noe som taler for at de er felles behandlingsansvarlige.
Motsatt tilfelle foreligger der rekrutteringsselskapet mottar jobbsøknadene fra kunden. Deretter vurderer rekrutteringsselskapet søknadene på vegne av kunden (for eksempel bakgrunnssjekk), men får ikke bruke informasjonen om kandidatene til egne formål (for eksempel lagre informasjonen i egen database). I så fall er rekrutteringsselskapet databehandler, og kunden behandlingsansvarlig.
Felles informasjonssystem
Det kan oppstå et felles behandlingsansvar hvis flere behandlingsansvarlige lager en felles infrastruktur eller informasjonssystem for å behandle personopplysninger. Ved bruk av felles informasjonssystem har ofte flere virksomheter gått sammen og bestemt hva slags opplysninger som skal lagres i systemet, lagringstid og hvem skal ha tilgang. Virksomhetene bestemmer i felleskap formålet med å bruke systemet, og de avgjørende midlene ved behandlingen. Det kan da fort oppstå et felles behandlingsansvar.
Det er likevel ikke slik at det alltid oppstår felles behandlingsansvar ved bruk av felles informasjonssystem. Det oppstår ikke felles behandlingsansvar hvis flere virksomheter i et konsern bruker et felles system, men hver for seg er ansvarlig for opplysningene de legger inn. For eksempel er en virksomhet i rollen som arbeidsgiver selvstendig behandlingsansvarlig for opplysninger om egne ansatte. Dette gjelder selv om virksomheten legger inn ansattopplysningene i et felles informasjonssystem hos et konsern. Her plikter selvfølgelig virksomhetene i konsernet også å sørge for tilfredsstillende tilgangsstyring i systemet.
Skille felles behandlingsansvar fra databehandlerrelasjoner
I vurderingen om det foreligger felles behandlingsansvar må man skille ut andre typer relasjoner mellom virksomheter, eksempelvis databehandlerrelasjoner.
Ved felles behandlingsansvar har de behandlingsansvarlige en lovlig adgang til å behandle opplysningene, og har i fellesskap fastsatt formål og midler. En databehandler har derimot ikke lovlig adgang til å bestemme formålet eller behandle de konkrete opplysningene til egne formål.
En behandlingsansvarlig som for eksempel ønsker å benytte en nettjeneste må derfor lese avtalen godt og vurdere hva slags forhold som oppstår ved å godta avtalen.
- Blir dere behandlingsansvarlig?
- Er dere i fellesskap med nettjenesten behandlingsansvarlig?
- Skjer det egentlig en utlevering og nettjenesten blir behandlingsansvarlig?
- Eller blir nettjenesten en databehandler?
Eksempler
Skytjeneste
Virksomheten ber en skytjeneste lagre personopplysninger på deres vegne og gir tjenesten er klar instruks om hvordan opplysningene skal behandles. Skytjenesten kan ikke bruke noen av personopplysningene til egne formål. Det foreligger derfor et databehandleroppdrag.
Sosial nettjeneste
En forening oppretter et nettsted for sine medlemmer. For å administrere nettsiden integrerer foreningen en «liker» knapp fra en sosial nettjeneste. Nettjenesten har bestemte vilkår for hvordan personopplysninger behandles hvis brukeren trykker på «liker»-knappen. Når brukeren trykker på «liker»-knappen mottar nettjenesten opplysninger om brukeren for å lagre statistikk for kunden, og for å forbedre egne statistikktjenester. Foreningen får på sin side økt synlighet og mottar statistikk fra nettjenesten.
I dette tilfellet oppsto det trolig et felles behandlingsansvar da foreningen bestemte å godta avtalen, og dermed gi nettjenesten tilgang til å behandle opplysninger om brukerne. Foreningen og nettjenesten bestemte i prinsippet sammen hva opplysningene om brukeren skal benyttes til.
Vær oppmerksom på at felles behandlingsansvar kan oppstå selv om opplysningene du mottar for statistikkformål i et slikt tilfelle er anonyme. Grunnen til dette er at selve behandlingen av personopplysninger skjedde i det øyeblikket brukeren trykket på «liker»-knappen. Det er dermed ikke alltid et krav om at du fysisk kan se de konkrete personopplysningene såfremt du har vært delaktig i å bestemme at selve behandlingen av personopplysninger skal skje.
Skille felles behandlingsansvar fra utlevering
Felles behandlingsansvar oppstår ikke automatisk ved at flere virksomheter er tilknyttet hverandre når de behandler personopplysninger. Ofte skjer det kun en utlevering av personopplysninger fra en behandlingsansvarlig til en annen behandlingsansvarlig.
Eksempel
Et reisebyrå sender kundedata til et flyselskap og et hotell for å reservere en reisepakke for kunden. Flyselskapet og hotellet reserverer tilbudet for kunden. Reiseselskapet videreformidler deretter tilbudet til kunden som godtar dette.
Selv om de tre virksomhetene behandler de samme opplysningene er det klart at de tre virksomhetene er selvstendig behandlingsansvarlig for opplysningene. Grunnen til dette er at virksomhetene har hvert sitt formål og egne selvstendige forpliktelser når de behandler personopplysningene.
Hva er særlig viktig å tenke på ved felles behandlingsansvar?
Dersom du deler behandlingsansvaret med andre må du ha et bevisst forhold til rammene for å utøve dette ansvaret. Du må derfor avtale med de andre behandlingsansvarlige hvordan dere skal fordele ansvaret dere imellom.
I utgangspunktet står dere fritt til hvordan ansvaret skal fordeles, formen på avtalen og strukturen. Det er heller ikke et krav om at selve avtalen er skriftlig, men det kan likevel ikke være tvil om hvem som har ansvaret for hva. For å skape klarhet og åpenhet for partene i avtalen, enkeltpersoner og tilsynsmyndigheter er det derfor hensiktsmessig at avtalen er skriftlig. Språket bør være enkelt og tydelig, og man bør unngå at avtalen er for lang og omstendelig slik at den blir vanskelig å lese.
Det er viktig å huske på at den «interne» ansvarsfordelingen ikke endrer på at virksomhetene i fellesskap er overordnet ansvarlig for at regelverket etterleves. Dette betyr også at den registrerte kan henvende seg til alle de ansvarlige virksomhetene for å utøve sine rettigheter. Det mest vesentlig innholdet i avtalen skal dessuten være tilgjengelig for de registrerte enkeltpersonene.
Uavhengig av hvilken konklusjon du kommer til innebærer ansvarlighetsprinsippet at du må kunne demonstrere hvilke vurderinger som er gjort før avgjørelsen ble tatt. Dette gjelder både beslutningen om at det foreligger et felles ansvar, og eventuelt hvilken ansvarsfordeling dere skal ha. Åpenhet om hva du faktisk gjør når du behandler personopplysninger er derfor viktig. Dette gjelder uansett om du behandler personopplysninger i felleskap med andre eller ei. Åpenhet skaper trygghet både innad i virksomheten og for den registrerte.