Koncerners særlige GDPR-udfordringer

Faglig nyhedVar du klar over, at hvert cvr-nummer skal have sin egen interne fortegnelse over deres it-systemer og angive, hvem de har som databehandlere – og sørge for, at de har en databehandleraftale med hver databehandler, som opfylder kravene til en databehandleraftale?

Om revisor

Hvorfor er GDPR-lovgivningen mere udfordrende for koncerner?
Fordi de meget ofte inden for udvalgte områder samarbejder om forskellige opgaver og uddelegerer opgaver til hinanden.

 

Samarbejdet kan foregå på flere måder:

 

1. Som et ligeværdigt samarbejde mellem to dataansvarlige

2. Som et underleverandørforhold eller

3. Som en databehandler for et andet selskab i koncernen.

 

Ad 1) Som et ligeværdigt samarbejde mellem to dataansvarlige

Efter databeskyttelsesforordningens artikel 26 foreligger der et fælles dataansvar, når to eller flere dataansvarlige i fællesskab fastlægger formålene med og hjælpemidlerne til behandling.

Datatilsynet har i deres vejledning fra 12. april 2018 udarbejdet en skabelon til, hvordan sådan en aftale om fælles dataansvar kan udformes 

 

Ad 2) Som et underleverandørforhold
Er koncernselskabet leverandør af varer eller tjenester til et andet koncernselskab – og afgør leverandørselskabet, hvilke persondata der skal behandles og på hvilken måde – så er leverandørselskabet dataansvarlig, fordi hovedydelsen er andet end behandling af persondata.

Eksempler: Overgives persondata f.eks. til et håndværkerselskab, der behøver et navn og en adresse mm. for at kunne levere en håndværksopgave, er håndværkerselskabet ikke databehandler, men dataansvarlig for de oplysninger, der er overgivet selskabet. Det samme gælder revisionsfirmaer, når revisorer udarbejder regnskaber og afgiver erklæringer. Revisorer kan ikke instrueres i, hvordan erklæringer eller regnskaber skal udarbejdes. Revisorer er dataansvarlige. Laver revisorer derimod kun bogføringsopgaver, er revisorerne databehandlere, da de får en bunden opgave, der skal løses, og en instruks om, hvordan opgaven skal løses.

Ad 3) Som en databehandler for et andet selskab i koncernen
Laver et koncernselskab bogføring for et andet selskab i koncernen, skal der laves en databehandleraftale. Eller hvis et selskab laver statistisk bearbejdning af overgivne data fra et andet koncernselskab, så skal der også laves en databehandleraftale mellem selskaberne.

Det kan derfor kræve databehandleraftaler på kryds og tværs imellem selskaber inden for en koncern – og eventuelt også aftaler om fælles dataansvar.

Afsluttende bemærkning om Datatilsynets standard-databehandleraftale
Det Europæiske Databeskyttelsesråd har givet en del kritiske bemærkninger til Datatilsynets standard-databehandleraftale, hvorfor der snart forventes at komme en revideret udgave af databehandleraftalen. Samtidig roses Datatilsynet dog for overhovedet at have foretaget forsøget med at lave en standardaftale, som efter de foretagne tilretninger vil kunne anvendes som model for databehandleraftaler også i andre lande.

 

 

Viste du, at FSR – danske revisorer har indgået et samarbejde med Lexoforms, som klæder jer medlemmer på til at blive GDPR-rådgivere. Klik på linket og find ud af, hvordan du nemt kommer i gang.

 

Denne artikel er udarbejdet i samarbejde med advokat (H) Wivi H. Larsen, Partner i Lexoforms ApS, og Anette Pedersen, GDPR Rådgiver, DPO, CIPP/E i TimeGruppen.