Tilbage
Artikel

Ny vejledning om databeskyttelsesrådgivere

Mange virksomheder er i fuld gang med at gøre sig klar til Databeskyttelsesforordningen og den danske lov om databeskyttelse, når reglerne træder i kraft den 25. maj 2018.

Forordningen stiller blandt andet krav om, at offentlige myndigheder og organer er forpligtede til at udpege en databeskyttelsesrådgiver (DPO). Private virksomheder er derimod kun forpligtet til at udpege en databeskyttelsesrådgiver i ret få tilfælde, men kan vælge at gøre dette som en frivillig ordning. Det vil sige, at private virksomheder, der laver almindelig behandling af personoplysninger, herunder administration af medarbejderoplysninger, kundeoplysninger, online bookingsystemer etc., ikke er forpligtede til at udpege en databeskyttelsesrådgiver. Private virksomheder er dog forpligtede til at udpege en databeskyttelsesrådgiver, når

(i) Behandling af personoplysninger er virksomhedens kerneaktivitet,

(ii) Der behandles personoplysninger i et stort omfang og

(iii) Behandlingsaktiviteten består i regelmæssig og systematisk overvågning af personer/ behandlingen vedrører følsomme oplysninger eller oplysninger om strafbare forhold. Alle tre betingelser skal være opfyldt.

Selvom virksomhederne også behandler følsomme oplysninger om medarbejdere, fx om medarbejdernes medlemskab af en fagforening eller helbredsoplysninger i forbindelse med virksomhedens HR-funktion, vil der typisk ikke være krav om at der ansættes en databeskyttelsesrådigiver, fordi det også er et krav, at behandling af personoplysninger er virksomhedens kerneaktivitet og foretages i et stort omfang.

Datatilsynet, Digitaliseringsstyrelsen, Erhvervsstyrelsen og Justitsministeriet har offentliggjort en vejledning om databeskyttelsesrådgivere. Vejledningen er nummer to i en række af vejledninger, som myndighederne vil offentliggøre i løbet af de næste måneder. Heri er der god vejledning om, hvorledes man skal afgrænse offentlige myndigheder og organer overfor andre typer organer, der ikke obligatorisk er forpligtet til at udpege en databeskyttelsesrådgiver. Det kan være meget relevant for selvejende institutioner og andre organer, der modtager tilskud fra staten og kommunerne at få fastlagt, om de er omfattet af reglerne om en obligatorisk databeskyttelsesrådgiver eller ej.

En databeskyttelsesrådgiver kan være en medarbejder i virksomheden eller en ekstern person, der skal inddrages i spørgsmål om databeskyttelse og rådgive om de databeskyttelsesretlige regler. Databeskyttelsesrådgiveren skal understøtte, at virksomheden overholder persondatareglerne. Databeskyttelsesrådgiveren skal samarbejde med Datatilsynet og er også Datatilsynets kontaktperson i virksomheden.

Selvom virksomheden ikke er forpligtet til at udnævne en databeskyttelsesrådgiver skal virksomheden tage stilling til, hvor i organisationen ansvaret for og håndteringen af databeskyttelsesspørgsmål skal ligge. Dette følger blandt af forordningens artikel 5 og princippet om ansvarlighed, der blandt andet indebærer, at virksomhederne skal have overblik over, hvilke personoplysninger der behandles, og hvordan personoplysningerne behandles. Alle virksomheder bør derfor, uanset at man ikke er forpligtet til at udpege en databeskyttelsesrådgiver fastlægge, hvem der er den øverst ansvarlige for virksomhedens persondataoplysninger.

 

Andre nyheder

Højesteret præciserer, hvornår opsigelse efter 120-dages reglen kan afgives

Højesteret har den 25. november 2025 afsagt en principiel dom, der præciserer, hvornår en opsigelse efter funktionærlovens 120-dages regel anses for afgivet, og om en opsigelse kan ske allerede på den 120. sygedag efter arbejdstids ophør. Dommen ændrer ikke hovedlinjerne i praksis, men den præciserer hvornår 120 sygedage kan ases for at have passeret, og […]
Læs mere
Kilde: PowerPoint

Vikarer skal kompenseres for ringere vilkår

Arbejdsretten har den 3. november 2025 afsagt en principiel dom, der ændrer forståelsen af, hvordan den danske vikarlov skal fortolkes. Baggrund for sagen Sagen handlede om en HK-organiseret vikar, der gennem et vikarbureau arbejdede som receptionist på Skejby Sygehus i omkring 10 måneder. Vikaren var omfattet af Funktionæroverenskomst for Handel, Viden og Service, men hendes […]
Læs mere

Medarbejder var ikke beskyttet som whistleblower

Østre Landsret fastslår i ny dom, at almindelige interne henvendelser ikke udløser whistleblowerbeskyttelse. Kun indberetninger via den formelle whistleblowerordning er omfattet af lovens beskyttelse. Baggrund Sagen vedrørte en medarbejder, som mente sig udsat for repressalier efter at have gjort ledelsen opmærksom på forhold, vedkommende opfattede som kritisable. Medarbejderen havde dog ikke indgivet en indberetning gennem […]
Læs mere

Tak til følgende bidragsydere til hjemmeside: Steen Evald (fotografi), Stine Heilmann(fotografi), Count Pictures (video), Kunde & Co. A/S (design), WeCode A/S (kodning)