Artikel

Ny vejledning om databeskyttelsesrådgivere

Mange virksomheder er i fuld gang med at gøre sig klar til Databeskyttelsesforordningen og den danske lov om databeskyttelse, når reglerne træder i kraft den 25. maj 2018.

Forordningen stiller blandt andet krav om, at offentlige myndigheder og organer er forpligtede til at udpege en databeskyttelsesrådgiver (DPO). Private virksomheder er derimod kun forpligtet til at udpege en databeskyttelsesrådgiver i ret få tilfælde, men kan vælge at gøre dette som en frivillig ordning. Det vil sige, at private virksomheder, der laver almindelig behandling af personoplysninger, herunder administration af medarbejderoplysninger, kundeoplysninger, online bookingsystemer etc., ikke er forpligtede til at udpege en databeskyttelsesrådgiver. Private virksomheder er dog forpligtede til at udpege en databeskyttelsesrådgiver, når

(i) Behandling af personoplysninger er virksomhedens kerneaktivitet,

(ii) Der behandles personoplysninger i et stort omfang og

(iii) Behandlingsaktiviteten består i regelmæssig og systematisk overvågning af personer/ behandlingen vedrører følsomme oplysninger eller oplysninger om strafbare forhold. Alle tre betingelser skal være opfyldt.

Selvom virksomhederne også behandler følsomme oplysninger om medarbejdere, fx om medarbejdernes medlemskab af en fagforening eller helbredsoplysninger i forbindelse med virksomhedens HR-funktion, vil der typisk ikke være krav om at der ansættes en databeskyttelsesrådigiver, fordi det også er et krav, at behandling af personoplysninger er virksomhedens kerneaktivitet og foretages i et stort omfang.

Datatilsynet, Digitaliseringsstyrelsen, Erhvervsstyrelsen og Justitsministeriet har offentliggjort en vejledning om databeskyttelsesrådgivere. Vejledningen er nummer to i en række af vejledninger, som myndighederne vil offentliggøre i løbet af de næste måneder. Heri er der god vejledning om, hvorledes man skal afgrænse offentlige myndigheder og organer overfor andre typer organer, der ikke obligatorisk er forpligtet til at udpege en databeskyttelsesrådgiver. Det kan være meget relevant for selvejende institutioner og andre organer, der modtager tilskud fra staten og kommunerne at få fastlagt, om de er omfattet af reglerne om en obligatorisk databeskyttelsesrådgiver eller ej.

En databeskyttelsesrådgiver kan være en medarbejder i virksomheden eller en ekstern person, der skal inddrages i spørgsmål om databeskyttelse og rådgive om de databeskyttelsesretlige regler. Databeskyttelsesrådgiveren skal understøtte, at virksomheden overholder persondatareglerne. Databeskyttelsesrådgiveren skal samarbejde med Datatilsynet og er også Datatilsynets kontaktperson i virksomheden.

Selvom virksomheden ikke er forpligtet til at udnævne en databeskyttelsesrådgiver skal virksomheden tage stilling til, hvor i organisationen ansvaret for og håndteringen af databeskyttelsesspørgsmål skal ligge. Dette følger blandt af forordningens artikel 5 og princippet om ansvarlighed, der blandt andet indebærer, at virksomhederne skal have overblik over, hvilke personoplysninger der behandles, og hvordan personoplysningerne behandles. Alle virksomheder bør derfor, uanset at man ikke er forpligtet til at udpege en databeskyttelsesrådgiver fastlægge, hvem der er den øverst ansvarlige for virksomhedens persondataoplysninger.

 

Andre nyheder

Kilde: Unsplash (gratis side)

Folketinget har torsdag den 28. november 2024 vedtaget et lovforslag om skærpede krav til udstationering af udenlandske medarbejdere i Danmark

Folketinget har i dag vedtaget et lovforslag, som medfører skærpelser af kravene til udstationering af udenlandske medarbejdere i Danmark. Et nyt krav om fremvisning af legitimation vil træde i kraft den 1. januar 2025, mens der vil gælde supplerende registreringskrav ved anmeldelse i RUT-registret per 1. januar 2026.
Læs mere
Kilde: Unsplash (gratis side)

Medarbejder pådrog sig arbejdsskade i forbindelse med hjemmearbejde

Østre Landsret afsagde den 28. juni 2024 dom om, hvorvidt en personskade, der var pådraget i forbindelse med et fald i hjemmet under udførelse af hjemmearbejde var en arbejdsskade omfattet af arbejdsskadesikringslovens § 5. Dommen er anket til Højesteret.
Læs mere

Lønkrav var ikke omfattet af dækningsgaranti

Højesteret har netop afgjort, at en pilot, der var udlejet fra en såkaldt employer of record til et flyselskab, kunne betragtes som ansat i flyselskabet, som senere gik konkurs, og således var omfattet af dækningsgarantien i lov om Lønmodtagernes Garantifond.
Læs mere

Tak til følgende bidragsydere til hjemmeside: Steen Evald (fotografi), Stine Heilmann(fotografi), Count Pictures (video), Kunde & Co. A/S (design), WeCode A/S (kodning)