Der er netop blevet offentliggjort en vejledning, som uddyber kravene til rolle som databeskyttelsesrådgiver (DPO). Vejledningen, der er udarbejdet af Artikel 29-gruppen, er et spændende fortolkningsbidrag til persondataforordningens bestemmelser om DPO’en, som vil få stor betydning for både offentlige myndigheder og virksomheder
Mange virksomheder forsøger netop nu at afklare, om de er forpligtede til at udpege en DPO, og derfor er retningslinjerne særligt interessant for dem.
Hvilke virksomheder er omfattet af DPO-kravet?
Efter persondataforordningens formulering skal alle offentlige myndigheder og offentlige organer udpege en DPO.
Dette krav gælder ikke alle private virksomheder. Det er alene virksomheder, hvis kerneaktivitet indebærer :
- regelmæssig eller systematisk overvågning af den registrerede i stort omfang.
- behandling i stort omfang af følsomme oplysninger eller oplysninger om strafbare forhold.
En stor gruppe private virksomheder – med god grund – er dog usikre på, om de omfattet af kravet om at udpege en DPO.
Hvis en virksomhed vurderer, at den ikke er omfattet af kravet om at udpege en DPO, bliver det anbefalet i retningslinjerne, at virksomheden udarbejder dokumentation for denne vurdering.
Obligatorisk udpegelse af DPO
Nedenstående er en gennemgang af, hvornår det er obligatorisk at udpege en DPO:
Offentlig myndighed eller et offentligt organ
For offentlige myndigheder er det obligatorisk at udpege en DPO, og det er væsentligt at være opmærksom på, at kravet også omfatter ”juridiske personer oprettet ved lov”. Private virksomheder, som ”varetager opgaver reguleret ved lov”, fx offentlig transport, vand- og energiforsyning, falder ikke i denne gruppe og er derfor ikke omfattet af kravet om at udpege en DPO.
Private virksomheder, som varetager opgaver reguleret ved lov, kan være omfattet af kravet som følge af de øvrige kriterier. Artikel 29-gruppen anbefaler, at private virksomheder, som varetager opgaver reguleret ved lov, og som ikke er lovmæssigt forpligtet til at udpege en DPO, udpeger en DPO på frivillig basis.
Kerneaktiviteter
Kerneaktiviteter skal forstås som behandlinger af oplysninger, som er essentielle for eller uadskillelige fra den dataansvarliges eller databehandlerens hovedformål med behandling af personoplysninger. Det kan fx være et hospitals behandling af helbredsoplysninger om sine patienter. Omvendt skal behandling af oplysninger i virksomhedens støttende funktioner – fx HR-afdelinges behandling af sygdomsoplysninger om medarbejdere – ikke medregnes som en kerneaktivitet.
Omfang
I persondataforordningen har omfanget af de behandlede oplysninger også betydning.
Der er ikke fastsat et tal for, hvornår omfanget er så stort, at det bliver obligatorisk at udpege en DPO. Det vil altid være en konkret vurdering af omstændighederne, og praksis vil formentlig ændre sig over tid.
De afgørende kriterier, der har betydning, er:
- Antallet af registrerede (både som specifikt antal og som proportion).
- Volumen af personoplysninger og/eller spektret af indsamlede oplysninger.
- Behandlingens tidsmæssige varighed.
- Aktiviteternes geografiske udstrækning.
Trafikselskabers tracking af passagerer samt forsikringsselskabers og bankers behandlinger af kunders oplysninger vil med sikkerhed opfylde disse kriterier.
Regelmæssig og systematisk
I de tilfælde, hvor behandlingen af oplysninger både er en kerneaktivitet og har et tilstrækkeligt omfang, skal virksomheden udpege en DPO, hvis behandlingen også er regelmæssig og systematisk.
En behandling af oplysninger er regelmæssig, hvis den er igangværende eller forekommende på bestemte tidspunkter, tilbagevendende eller gentaget på bestemte tidspunkter, eller hvis den er konstant eller periodisk.
En behandling er systematisk, hvis den sker i et system, er arrangeret på forhånd, organiseret eller metodisk, er en del af en generel plan for dataindsamling, eller hvis den er udført som en del af en egentlig strategi.
Særlige kategorier af oplysninger eller oplysninger om straffedomme og lovovertrædelser
Kravet om at udpege en DPO bliver også aktiveret, hvis behandlingen af oplysninger vedrører – et stort omfang af – særlige kategorier af oplysninger eller oplysninger om straffedomme og lovovertrædelser.
De særlige kategorier af oplysninger er defineret i persondataforordningens artikel 9. Det drejer sig om oplysninger om race, etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssigt tilhørsforhold, genetiske- eller biometrisk data samt oplysninger om helbred eller seksuelle forhold.
Et eksempel på en omfattende behandling af særlige kategorier af oplysninger er hospitalers behandling af patientoplysninger.
Frivillig udpegelse af DPO
Hvis virksomheden ikke er omfattet af de obligatoriske krav, kan virksomheden vælge frivilligt at udpege en DPO, hvilket Artikel 29-gruppen anbefaler.
Hvis virksomheden frivilligt vælger at udpege en DPO, aktiveres forordningens øvrige forpligtelser til denne DPO-funktion. En virksomhed, som frivilligt udpeger en DPO, kan derfor ikke frivilligt ”vælge og vrage” mellem de krav, som virksomheden ønsker at opfylde. Virksomheden skal håndtere hele DPO-pakken, selvom udpegelsen er frivillig, medmindre virksomheden sørger for, at funktionens indhold og fremtoning adskiller sig fra den forordningspligtige funktion.
Hvis virksomheden ønsker at have en DPO-lignende position, skal virksomheden klart indikere, at virksomheden ikke benytter en DPO. Virksomheden kan indikere dette ved at kalde den DPO-lignende position noget andet. Hvis en virksomhed vælger at anvende en dansk terminologi, skal titlen klart kunne adskilles fra begrebet databeskyttelsesrådgiver.
DPO som en service
Persondataforordningen slår fast, at en DPO-funktion kan udføres af en ekstern person eller organisation på grundlag af en tjenesteydelseskontrakt.
Artikel 29-gruppen bemærker i den forbindelse, at det er vigtigt, at denne person eller organisation selvfølgelig selv opfylder persondataforordningens krav til en DPO. Det er særligt vigtigt, at denne DPO ikke ender i en interessekonflikt, hvor den pågældende fx både er rådgiver for den dataansvarlige og databehandleren.
Gruppen anerkender endvidere, at den rigtige sammensætning af et team i en ekstern organisation på en effektiv måde kan opfylde virksomheders behov.
[layerslider id="63"]