Jurainfo logo
LUK
Juridiske nyheder Kurser Find juridisk specialist Jobbørs Domme
Om Jurainfo Podcasts Juridiske links Privatlivspolitik Kontakt
Ansøg om en profil Bliv kursusudbyder Bliv jobannoncør
Artikel

Data protection officer – hvem, hvornår, hvad?

Horten
16/01/2017
Data protection officer – hvem, hvornår, hvad?




Den såkaldte Artikel 29-gruppe har vedtaget et sæt retningslinjer for databeskyttelsesrådgivere, der giver mere klarhed over databeskyttelsesrådgiverens opgaver, stilling og ansvar.






Vi har tidligere skrevet om databeskyttelsesforordningen, der får virkning i Danmark fra 25. maj 2018, og kravene heri for offentlige myndigheder, offentlige organer og visse private virksomheder om at udpege en såkaldt databeskyttelsesrådgiver, også kaldet data protection officer (DPO).

Forordningens tekst opstiller nogle overordnede kriterier for, hvilke virksomheder og organisationer der er forpligtet til at udpege en DPO, samt krav til DPO'en og dennes stilling. Det har dog været noget usikkert, hvilke virksomheder og organisationer der i realiteten vil være forpligtet til at udpege en DPO, ligesom DPO'ens rolle og ansvar ikke har været klart defineret.

Som ventet har Artikel 29-gruppen nu offentliggjort et sæt retningslinjer, der giver noget mere klarhed vedrørende disse spørgsmål.


Retningslinjer for DPO


Retningslinjerne indeholder bl.a. en nærmere beskrivelse af

  • hvilke organisationer der efter artikel 29-gruppens anbefaling bør udpege en DPO, herunder eksempelvis private virksomheder, der udfører offentlige opgaver

  • hvordan man skal forstå nogle af de centrale begreber af betydning for fastlæggelsen af, om private virksomheder omfattes af kravet om en DPO, herunder begreberne "kerneaktivitet" og "stort omfang"

  • krav til DPO'ens stilling

  • krav til DPO'ens arbejde


Af retningslinjerne fremgår eksempelvis, at en virksomheds kerneaktivitet kan forstås som de centrale behandlinger, en virksomhed udfører for at forfølge sine overordnede formål, samt at "stort omfang" bestemmes ud fra bl.a. mængden af data, mængden af registrerede personer samt den tidsmæssige udstrækning af behandlingen. Som eksempler på behandlinger af persondata i stort omfang er:

  • Behandling af patientdata på et hospital

  • Behandling af rejsedata for personer, der anvender et offentligt transportsystem (f.eks. ved brug af periodekort/rejsekort)

  • Behandling af kundedata som led i den normale drift af et forsikringsselskab eller en bank



DPO'ens ansvar


Retningslinjerne lægger også op til en ret skarp opdeling af ansvar mellem DPO og den dataansvarlige/databehandleren, idet det er beskrevet, at DPO'en ikke vil være personligt ansvarlig for den dataansvarliges eller databehandlerens manglende overholdelse af databeskyttelsesforordningen. Der er dog ikke dermed taget stilling til, om den dataansvarlige eller databehandleren kan rette et erstatningskrav mod en intern eller ekstern DPO efter dansk rets almindelige erstatningsretlige regler om culpaansvar.

Læs Artikel 29-gruppens retningslinjer her

 






 




Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice her →
Fagligt indhold, der kunne være relevante for dig
4 år med GDPR
Jurainfo Exclusive logo
PODCAST
4 år med GDPR
Hvordan ligger landet 4 år efter ikrafttrædelsen af Databeskyttelsesforordningen?
Tredjelandsoverførsler og den nye aftale med USA
Jurainfo Exclusive logo
PODCAST
Tredjelandsoverførsler og den nye aftale med USA
Vi sætter fokus på overførsel af personoplysninger til usikre tredjelande, herunder overførsler til USA baseret på den nye aftale mellem EU og USA.
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Jurainfo logo
EXCLUSIVE
VIDEO
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Det kræver et markedsføringssamtykke fra dine kunder, hvis du ønsker at udsende nyhedsmail, sms'er eller på anden måde kontakte dem med gode tilbud. Advokat, Torsten Hylleberg, kommer her nærmere ind på hvad du skal være opmærksom på i forbindelse med indhentelse af markedsføringssamtykker.
Artikler, der kunne være relevante for dig
Datatilsynet og Digitaliseringsstyrelsen etablerer AI-sandkasse
Datatilsynet og Digitaliseringsstyrelsen etablerer AI-sandkasse
11/03/2024
Persondata, IT- og telekommunikation, Compliance
AI Act vedtaget af Europa-Parlamentet
AI Act vedtaget af Europa-Parlamentet
22/03/2024
Persondata, EU-ret
Træning af kunstig intelligens
Træning af kunstig intelligens
03/04/2024
Persondata, Immaterialret
Ansvaret for cybersikkerhed ligger hos ledelsen
Ansvaret for cybersikkerhed ligger hos ledelsen
08/04/2024
Persondata, Compliance, Øvrige
VIRK23 er på gaden
VIRK23 er på gaden
16/04/2024
Kontraktret, IT- og telekommunikation, Persondata
Hvordan håndterer du dine medarbejderes brug af kunstig intelligens (AI)?
Hvordan håndterer du dine medarbejderes brug af kunstig intelligens (AI)?
26/04/2024
Persondata, Immaterialret, Øvrige
Jurainfo logo

Jurainfo.dk er landets største juridiske nyhedsside. Her finder du juridiske nyheder, kurser samt ledige juridiske stillinger. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 62B, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du hjælp til at finde en specialist?
2024 © Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted