Fråga:

Hej! I vår verksamhet behandlar vi ganska mycket personuppgifter, både i egna system tillsammans med bolag i vår koncern i deras eller gemensamma system. Måste vi skriva ett personuppgiftsbiträdesavtal för behandlingen inom vår koncern eller finns det någon form av koncern-undantag att använda?

Besvarad av: Joel Wickman

Tack för din fråga!

Nej, det finns inget sådant undantag. Bolag inom samma koncern som behandlar personuppgifter åt varandra måste således ingå personuppgiftsbiträdesavtal sinsemellan, förutsatt att det faktiskt är så att ni behandlar personuppgifter å de andra företagens vägnar. Med detta menar att ni får instruktioner från de andra företagen och att de andra företagen bestämmer varför och på vilket sätt som mottagande företaget ska hantera personuppgifterna

Tänk dock på att det inte alltid är fråga om en biträdessituation. Det kan t.ex. vara så att koncernbolagen snarare är gemensamt personuppgiftsansvariga för personuppgiftsbehandlingen, eller att bolagen delar personuppgifter mellan varandra, där respektive bolag är ansvarig för sina egna behandlingar. Sådana situationer ska inte regleras med ett biträdesavtal, utan med ett datadelningsavtal eller annan överenskommelse.

Varmt välkommen att kontakta oss om du vill ha hjälp att reda ut vilken typ av situation som ni befinner er och ta fram ett avtal som är lämpligt för er situation.