Den franska dataskyddsmyndigheten Commission Nationale de l’Informatique et des Libertés (CNIL) har publicerat en vägledning om återanvändning av uppgifter som den personuppgiftsansvarige har anförtrott till ett personuppgiftsbiträde. Enligt dataskyddsförordningen (GDPR) får personuppgiftsbiträden som behandlar personuppgifter för den personuppgiftsansvariges räkning endast göra det enligt instruktioner från den personuppgiftsansvarige varför personuppgiftsbiträden i princip inte kan använda uppgifterna för egen räkning. Enligt CNIL är det dock vanligt att personuppgiftsbiträden vill återanvända sådana uppgifter, till exempel i syfte att förbättra sina tjänster eller produkter eller utforma nya tjänster och produkter. Genom vägledningen förtydligar CNIL att återanvändning av uppgifter kan vara möjlig under vissa förutsättningar.
I enlighet med GDPR får personuppgiftsbiträdet endast behandla de personuppgifter som personuppgiftsbiträdet har tillgång till på den personuppgiftsansvariges dokumenterade instruktion. Personuppgiftsbiträdet kan därför enligt CNIL lagligen behandla uppgifterna så länge personuppgiftsbiträdet agerar för att på bästa och säkrast möjliga sätt följa den personuppgiftsansvariges instruktioner. Å andra sidan kan personuppgiftsbiträdet enligt myndigheten inte återanvända dessa uppgifter för egen räkning, på eget initiativ, såvida inte en nationell eller europeisk lag kräver att han gör det. Personuppgiftsbiträden som återanvänder uppgifterna på eget initiativ blir vid en sådan återanvändning istället personuppgiftsansvarig för denna behandling och kan bli föremål för sanktioner för att inte ha agerat i enlighet med den ursprungliga personuppgiftsansvariges instruktioner. Den personuppgiftsansvarige får dock enligt CNIL, på de villkor som beskrivs nedan, tillåta sitt personuppgiftsbiträde att återanvända personuppgifterna för egen räkning. Personuppgiftsbiträdet blir sedan personuppgiftsansvarig för den nya behandlingen.
Ett personuppgiftsbiträdes återanvändning av uppgifterna för egna ändamål utgör en så kallad efterföljande behandling. Det är enligt CNIL den personuppgiftsansvarige som ska avgöra om sådan vidare behandling är förenlig med det syfte för vilket uppgifterna ursprungligen samlades i, om behandlingen inte grundar sig på den registrerades samtycke eller EU- eller medlemsstatslagstiftning.
För att göra detta måste den personuppgiftsansvarige ta hänsyn till följande faktorer:
- Om det finns en möjlig koppling mellan de ändamål för vilka personuppgifterna samlades in och syftet med den planerade vidare behandlingen.
- Om sammanhanget i vilket personuppgifterna samlades in, särskilt när det gäller förhållandet mellan de registrerade och den personuppgiftsansvarige.
- Personuppgifternas art, särskilt om behandlingen avser känsliga uppgifter eller personuppgifter som rör brottmålsdomar och brott.
- Om de möjliga konsekvenserna av den planerade vidarebehandlingen för de registrerade.
- Om förekomsten av lämpliga skyddsåtgärder, som kan omfatta kryptering eller pseudonymisering.
Om testet inte uppfylls måste den personuppgiftsansvarige enligt CNIL vägra att ge tillstånd till att återanvända uppgifterna. Om testet är uppfyllt är den personuppgiftsansvarige fri att ge eller inte ge sitt samtycke. Enligt CNIL ska detta “kompatibilitetstest” utföras för en viss behandling, med beaktande av ändamålen och egenskaperna hos varje behandling för vilken personuppgiftsbiträdet vill återanvända uppgifterna. Ett förhandsgodkännande och allmänt samtycke till återanvändning av uppgifter inte därmed inte lagligt.
CNIL lyfter dessutom fram att återanvändning av uppgifter medför ytterligare ansvar enligt GDPR, som bland annat att den ursprungliga personuppgiftsansvarige måste informera de registrerade om överföringen av uppgifter till en ny personuppgiftsansvarig, samt ange om det är möjligt att motsätta sig denna behandling. CNIL påpekade dessutom att personuppgiftsbiträdet blir personuppgiftsansvarig för den efterföljande behandlingen och som sådan är ansvarig för att denna behandling överensstämmer med GDPR.