Det är möjligt att ha ett gemensamt personuppgiftsansvar mellan flera parter. Det kan vara två eller flera och då har parterna ett gemensamt ansvar vid behandlingen av personuppgifter. Med andra ord är de båda personuppgiftsansvariga för behandlingen, och inte att den ena är personuppgiftsansvarig och den andra ett biträde. När flera parter har ett gemensamt ansvar, behöver de ha ett inbördes arrangemang. Även ett personuppgiftsbiträde har sitt ansvar vid personuppgiftsbehandling i ett företag.
Det är möjligt att ha ett gemensamt personuppgiftsansvar
När två eller flera parter är gemensamt personuppgiftsansvariga, bör de ingå ett avtal med varandra för att reglera förhållandet. I avtalet bör det framgå vilka ansvar som de har. I GDPR står det inte ordagrant att parterna måste ha ett avtal, utan det står att de ska ha ett inbördes arrangemang. Detta till skillnad från ett personuppgiftsbiträdesavtal som står reglerat och bland annat måste vara skriftligt. Den registrerade ska bli informerad om arrangemanget. För att göra det tydligt kan det vara bra att beskriva det gemensamma ansvaret och ange en kontaktperson som gäller för det gemensamma ansvaret. Därefter är det bra att förklara alla parters respektive ansvar.
Personuppgiftsbiträde enligt GDPR
Det är vanligt för företag att anlita ett personuppgiftsbiträde. Framförallt vid köp av tjänster från IT-företag. Exempelvis om ett företag använder ett CRM-system eller ett ekonomisystem där personuppgifter blir registrerade, så behandlar också företaget som tillhandahåller tjänsterna de personuppgifterna som blir registrerade i tjänsten. Då är de ett personuppgiftsbiträde till det företag som registrerar uppgifterna i systemet, som är den personuppgiftsansvarige. Den personuppgiftsansvarige och personuppgiftsbiträdet ska då upprätta och signera ett skriftligt personuppgiftsbiträdesavtal med varandra.
