Tilbage
Artikel

Ny vejledning om databeskyttelsesrådgivere

Mange virksomheder er i fuld gang med at gøre sig klar til Databeskyttelsesforordningen og den danske lov om databeskyttelse, når reglerne træder i kraft den 25. maj 2018.

Forordningen stiller blandt andet krav om, at offentlige myndigheder og organer er forpligtede til at udpege en databeskyttelsesrådgiver (DPO). Private virksomheder er derimod kun forpligtet til at udpege en databeskyttelsesrådgiver i ret få tilfælde, men kan vælge at gøre dette som en frivillig ordning. Det vil sige, at private virksomheder, der laver almindelig behandling af personoplysninger, herunder administration af medarbejderoplysninger, kundeoplysninger, online bookingsystemer etc., ikke er forpligtede til at udpege en databeskyttelsesrådgiver. Private virksomheder er dog forpligtede til at udpege en databeskyttelsesrådgiver, når

(i) Behandling af personoplysninger er virksomhedens kerneaktivitet,

(ii) Der behandles personoplysninger i et stort omfang og

(iii) Behandlingsaktiviteten består i regelmæssig og systematisk overvågning af personer/ behandlingen vedrører følsomme oplysninger eller oplysninger om strafbare forhold. Alle tre betingelser skal være opfyldt.

Selvom virksomhederne også behandler følsomme oplysninger om medarbejdere, fx om medarbejdernes medlemskab af en fagforening eller helbredsoplysninger i forbindelse med virksomhedens HR-funktion, vil der typisk ikke være krav om at der ansættes en databeskyttelsesrådigiver, fordi det også er et krav, at behandling af personoplysninger er virksomhedens kerneaktivitet og foretages i et stort omfang.

Datatilsynet, Digitaliseringsstyrelsen, Erhvervsstyrelsen og Justitsministeriet har offentliggjort en vejledning om databeskyttelsesrådgivere. Vejledningen er nummer to i en række af vejledninger, som myndighederne vil offentliggøre i løbet af de næste måneder. Heri er der god vejledning om, hvorledes man skal afgrænse offentlige myndigheder og organer overfor andre typer organer, der ikke obligatorisk er forpligtet til at udpege en databeskyttelsesrådgiver. Det kan være meget relevant for selvejende institutioner og andre organer, der modtager tilskud fra staten og kommunerne at få fastlagt, om de er omfattet af reglerne om en obligatorisk databeskyttelsesrådgiver eller ej.

En databeskyttelsesrådgiver kan være en medarbejder i virksomheden eller en ekstern person, der skal inddrages i spørgsmål om databeskyttelse og rådgive om de databeskyttelsesretlige regler. Databeskyttelsesrådgiveren skal understøtte, at virksomheden overholder persondatareglerne. Databeskyttelsesrådgiveren skal samarbejde med Datatilsynet og er også Datatilsynets kontaktperson i virksomheden.

Selvom virksomheden ikke er forpligtet til at udnævne en databeskyttelsesrådgiver skal virksomheden tage stilling til, hvor i organisationen ansvaret for og håndteringen af databeskyttelsesspørgsmål skal ligge. Dette følger blandt af forordningens artikel 5 og princippet om ansvarlighed, der blandt andet indebærer, at virksomhederne skal have overblik over, hvilke personoplysninger der behandles, og hvordan personoplysningerne behandles. Alle virksomheder bør derfor, uanset at man ikke er forpligtet til at udpege en databeskyttelsesrådgiver fastlægge, hvem der er den øverst ansvarlige for virksomhedens persondataoplysninger.

 

Andre nyheder

Lovforslag om implementeringen af løngennemsigtighedsdirektivet sendt i høring

Lovforslaget om implementering af EU’s løngennemsigtighedsdirektiv er sendt i høring. Regeringen lægger op til, at de nye regler først træder i kraft den 1. januar 2027. Direktivet skulle efter planen være gennemført i dansk ret senest den 7. juni 2026. Med den foreslåede ikrafttrædelse bliver implementeringen derfor ikke rettidig. Udskydelsen er begrundet i hensynet til […]
Læs mere

Nye afgørelser om overtidsbetaling til deltidsansatte – EU-retten ændrer hidtidig praksis

En ny principiel voldgiftskendelse fastslår, at deltidsansatte ikke længere kan afskæres fra overtidsbetaling frem til fuldtidsnormen på 37 timer. Afgørelsen, som er afsagt i forlængelse af to domme fra EU-Domstolen, ændrer den hidtidige praksis i industriens overenskomster og har betydning langt ud over det overenskomstregulerede område. Afgørelsen fra den faglige voldgiftsret En faglig voldgiftsret bestående […]
Læs mere

Højesteret præciserer, hvornår opsigelse efter 120-dages reglen kan afgives

Højesteret har den 25. november 2025 afsagt en principiel dom, der præciserer, hvornår en opsigelse efter funktionærlovens 120-dages regel anses for afgivet, og om en opsigelse kan ske allerede på den 120. sygedag efter arbejdstids ophør. Dommen ændrer ikke hovedlinjerne i praksis, men den præciserer hvornår 120 sygedage kan ases for at have passeret, og […]
Læs mere

Tak til følgende bidragsydere til hjemmeside: Steen Evald (fotografi), Stine Heilmann(fotografi), Count Pictures (video), Kunde & Co. A/S (design), WeCode A/S (kodning)