Ny vejledning om databeskyttelsesrådgivere

Mette Klingsten
Det siger forordningens art. 39, stk. 1: Databeskyttelsesrådgiveren har som minimum følgende opgaver: a) at underrette og rådgive den data-ansvarlige eller databehandleren og de ansatte, der behandler personoplysninger, om deres forpligtelser i henhold til denne forordning og anden EU-ret eller national ret i medlems-staterne om databeskyttelse b) at overvåge overholdelsen af denne forordning, af anden EU-ret eller national ret i medlemsstaterne om databeskyttelse og af den dataansvar-liges eller databehandlerens politikker om beskyttelse af personoplysninger, herunder fordeling af ansvar, oplysningskampagner og uddannelse af det personale, der medvirker ved behandlingsaktiviteter, og de tilhørende revisioner c) (…)

Mange virksomheder er i fuld gang med at gøre sig klar til Databeskyttelsesforordningen og den danske lov om databeskyttelse, når reglerne træder i kraft den 25. maj 2018.

Forordningen stiller blandt andet krav om, at offentlige myndigheder og organer er forpligtede til at udpege en databeskyttelsesrådgiver (DPO). Private virksomheder er derimod kun forpligtet til at udpege en databeskyttelsesrådgiver i ret få tilfælde, men kan vælge at gøre dette som en frivillig ordning. Det vil sige, at private virksomheder, der laver almindelig behandling af personoplysninger, herunder administration af medarbejderoplysninger, kundeoplysninger, online bookingsystemer etc., ikke er forpligtede til at udpege en databeskyttelsesrådgiver. Private virksomheder er dog forpligtede til at udpege en databeskyttelsesrådgiver, når

(i) Behandling af personoplysninger er virksomhedens kerneaktivitet,

(ii) Der behandles personoplysninger i et stort omfang og

(iii) Behandlingsaktiviteten består i regelmæssig og systematisk overvågning af personer/ behandlingen vedrører følsomme oplysninger eller oplysninger om strafbare forhold. Alle tre betingelser skal være opfyldt.

Selvom virksomhederne også behandler følsomme oplysninger om medarbejdere, fx om medarbejdernes medlemskab af en fagforening eller helbredsoplysninger i forbindelse med virksomhedens HR-funktion, vil der typisk ikke være krav om at der ansættes en databeskyttelsesrådigiver, fordi det også er et krav, at behandling af personoplysninger er virksomhedens kerneaktivitet og foretages i et stort omfang.

Datatilsynet, Digitaliseringsstyrelsen, Erhvervsstyrelsen og Justitsministeriet har offentliggjort en vejledning om databeskyttelsesrådgivere. Vejledningen er nummer to i en række af vejledninger, som myndighederne vil offentliggøre i løbet af de næste måneder. Heri er der god vejledning om, hvorledes man skal afgrænse offentlige myndigheder og organer overfor andre typer organer, der ikke obligatorisk er forpligtet til at udpege en databeskyttelsesrådgiver. Det kan være meget relevant for selvejende institutioner og andre organer, der modtager tilskud fra staten og kommunerne at få fastlagt, om de er omfattet af reglerne om en obligatorisk databeskyttelsesrådgiver eller ej.

En databeskyttelsesrådgiver kan være en medarbejder i virksomheden eller en ekstern person, der skal inddrages i spørgsmål om databeskyttelse og rådgive om de databeskyttelsesretlige regler. Databeskyttelsesrådgiveren skal understøtte, at virksomheden overholder persondatareglerne. Databeskyttelsesrådgiveren skal samarbejde med Datatilsynet og er også Datatilsynets kontaktperson i virksomheden.

Selvom virksomheden ikke er forpligtet til at udnævne en databeskyttelsesrådgiver skal virksomheden tage stilling til, hvor i organisationen ansvaret for og håndteringen af databeskyttelsesspørgsmål skal ligge. Dette følger blandt af forordningens artikel 5 og princippet om ansvarlighed, der blandt andet indebærer, at virksomhederne skal have overblik over, hvilke personoplysninger der behandles, og hvordan personoplysningerne behandles. Alle virksomheder bør derfor, uanset at man ikke er forpligtet til at udpege en databeskyttelsesrådgiver fastlægge, hvem der er den øverst ansvarlige for virksomhedens persondataoplysninger.