Artikel

Ny vejledning om databeskyttelsesrådgivere

Mange virksomheder er i fuld gang med at gøre sig klar til Databeskyttelsesforordningen og den danske lov om databeskyttelse, når reglerne træder i kraft den 25. maj 2018.

Forordningen stiller blandt andet krav om, at offentlige myndigheder og organer er forpligtede til at udpege en databeskyttelsesrådgiver (DPO). Private virksomheder er derimod kun forpligtet til at udpege en databeskyttelsesrådgiver i ret få tilfælde, men kan vælge at gøre dette som en frivillig ordning. Det vil sige, at private virksomheder, der laver almindelig behandling af personoplysninger, herunder administration af medarbejderoplysninger, kundeoplysninger, online bookingsystemer etc., ikke er forpligtede til at udpege en databeskyttelsesrådgiver. Private virksomheder er dog forpligtede til at udpege en databeskyttelsesrådgiver, når

(i) Behandling af personoplysninger er virksomhedens kerneaktivitet,

(ii) Der behandles personoplysninger i et stort omfang og

(iii) Behandlingsaktiviteten består i regelmæssig og systematisk overvågning af personer/ behandlingen vedrører følsomme oplysninger eller oplysninger om strafbare forhold. Alle tre betingelser skal være opfyldt.

Selvom virksomhederne også behandler følsomme oplysninger om medarbejdere, fx om medarbejdernes medlemskab af en fagforening eller helbredsoplysninger i forbindelse med virksomhedens HR-funktion, vil der typisk ikke være krav om at der ansættes en databeskyttelsesrådigiver, fordi det også er et krav, at behandling af personoplysninger er virksomhedens kerneaktivitet og foretages i et stort omfang.

Datatilsynet, Digitaliseringsstyrelsen, Erhvervsstyrelsen og Justitsministeriet har offentliggjort en vejledning om databeskyttelsesrådgivere. Vejledningen er nummer to i en række af vejledninger, som myndighederne vil offentliggøre i løbet af de næste måneder. Heri er der god vejledning om, hvorledes man skal afgrænse offentlige myndigheder og organer overfor andre typer organer, der ikke obligatorisk er forpligtet til at udpege en databeskyttelsesrådgiver. Det kan være meget relevant for selvejende institutioner og andre organer, der modtager tilskud fra staten og kommunerne at få fastlagt, om de er omfattet af reglerne om en obligatorisk databeskyttelsesrådgiver eller ej.

En databeskyttelsesrådgiver kan være en medarbejder i virksomheden eller en ekstern person, der skal inddrages i spørgsmål om databeskyttelse og rådgive om de databeskyttelsesretlige regler. Databeskyttelsesrådgiveren skal understøtte, at virksomheden overholder persondatareglerne. Databeskyttelsesrådgiveren skal samarbejde med Datatilsynet og er også Datatilsynets kontaktperson i virksomheden.

Selvom virksomheden ikke er forpligtet til at udnævne en databeskyttelsesrådgiver skal virksomheden tage stilling til, hvor i organisationen ansvaret for og håndteringen af databeskyttelsesspørgsmål skal ligge. Dette følger blandt af forordningens artikel 5 og princippet om ansvarlighed, der blandt andet indebærer, at virksomhederne skal have overblik over, hvilke personoplysninger der behandles, og hvordan personoplysningerne behandles. Alle virksomheder bør derfor, uanset at man ikke er forpligtet til at udpege en databeskyttelsesrådgiver fastlægge, hvem der er den øverst ansvarlige for virksomhedens persondataoplysninger.

 

Andre nyheder

Arbejdsgiver kunne ikke bortvise med tilbagevirkende kraft

Højesteret har netop fastslået, at det ikke var berettiget at tillægge en bortvisning tilbagevirkende kraft til det tidspunkt, hvor medarbejderen havde modtaget et høringsbrev om den påtænkte bortvisning. Bortvisning kunne således først tillægges retsvirkning fra bortvisningstidspunktet.
Læs mere

Ferieafholdelsesperioden 2023/2024 nærmer sig sin afslutning

Ferieoptjeningsåret 2023/2024 endte den 31. august 2024, og vi er ny gået ind i et nyt ferieoptjeningsår. Overgangen til det nye ferieoptjeningsår betyder også, at det nu er tid til, at arbejdsgivere og medarbejdere forholder sig til, hvad der skal ske med den ferie, som blev optjent indtil 31. august 2024, og som kan afvikles indtil den 31. december 2024. I dette nyhedsbrev gennemgår vi reglerne for varsling, udbetaling og overførsel af ferie. 
Læs mere

Bedre lønvilkår for kvinder end mænd kunne opretholdes i forbindelse med fravær efter barselsloven

Ligebehandlingsnævnet har slået fast, at det ikke var i strid med ligebehandlingsloven, at en virksomhed i sine barselsregler gav kvindelige medarbejdere gunstigere lønvilkår end mænd i forbindelse med afholdelse af fravær efter barselsloven.
Læs mere

Tak til følgende bidragsydere til hjemmeside: Steen Evald (fotografi), Stine Heilmann(fotografi), Count Pictures (video), Kunde & Co. A/S (design), WeCode A/S (kodning)