Tack för att ni vänder er till Legalbuddy med er fråga. Nedan kommer en redogörelse för vilka regler som tillämpas och vad ni bör tänka på i samband med att ni behandlar personuppgifter.

Dataskyddsförordningen

Enligt GDPR kan det vara tillåtet för två bolag som samarbetar i en undersökning att dela personuppgifterna sinsemellan. För att sådan delning ska vara tillåten måste däremot detta ske i enlighet med de krav som följer av förordningen.

Inledningsvis måste ni som företag enligt artikel 6 ha en laglig grund för att behandla personuppgifterna. GDPR ställer upp flera sådana grunder. Bland annat kan laglig grund uppnås genom samtycke från de registrerade, genom utförande av en uppgift av allmänt intresse eller i offentligt uppdrag, eller genom ett avtal som ingås med de registrerade. Det framgår inte av er fråga vilken av dessa grunder som ni baserar er behandling av personuppgifter på. Det första ni således måste säkerställa är att ni har en laglig grund för behandlingen av personuppgifter inom ramen för er undersökning.

Dela personuppgifter mellan företag

När ni delar personuppgifterna mellan bolagen bör ni vara noggranna med att endast dela de personuppgifter som är av betydelse för undersökningen. Anledningen är att ni endast får överföra den data som är nödvändig för att uppnå studiens syfte. Ni bör även informera de registrerade om att ni planerar att dela uppgifterna med ett annat bolag. De registrerade har i enlighet med GDPR rätt till tillgång, rättelse, gallring och invändning mot behandlingen. I samband med delningen bör ni även vidta lämpliga åtgärder för att säkerställa att personuppgifterna kan delas och förvaras på ett säkert sätt.

Om ni delar personuppgifterna och genomför studien tillsammans har båda företagen ett gemensamt ansvar för personuppgifterna. Om delningen istället syftar till att respektive företag ska få ett utökat underlag för sin egen undersökning, har ni istället ett individuellt ansvar för behandlingen av personuppgifter.

Oavsett upplägg bör ni upprätta ett dataskyddsavtal som reglerar vilka skyldigheter respektive part har för att säkerställa att databehandlingen sker i enlighet med gällande lagkrav. Om ett ni eller det andra företaget befinner sig utanför Sverige eller utanför EU/EES kan det finnas ytterligare krav på att säkerställa att en lämplig skyddsnivå tillgodoses.

Sammanfattningsvis

Sammantaget kan det vara förenligt med GDPR att ni delar personuppgifter mellan företagen. Detta förutsätter däremot att det kan ske i enlighet med de krav som följer av dataskyddsförordningen. Ni bör därför ingå ett avtal sinsemellan som reglerar vilka skyldigheter respektive part har för att säkerställa att behandlingen är förenlig med de tvingande krav som GDPR föreskriver.

Hoppas detta besvarade er fråga. Om ni har fler frågor eller funderingar är ni varmt välkomna att höra av er till oss på Legalbuddy och boka in ett gratis coachingmöte.