Vores månedlige nyhedsbrev giver dig et praktisk overblik over de meste relevante ændringer, der følger af EU’s nye forordning om persondatabeskyttelse. Februar måneds Update giver svar på en række spørgsmål vedrørende pligten til at udpege en såkaldt databeskyttelsesrådgiver (DPO), herunder:
- Formålet med udpegelsen af en DPO
- Hvem skal udpege en DPO?
- Hvem kan udpeges som DPO?
- Hvilken stilling indtager en DPO?
- Hvilke opgaver og beføjelser har en DPO?
- Hvad er DPO’ens ansvar?
Formålet med udpegelsen af en DPO
En af grundstenene i Forordningen er indførelse af ansvarlighedsbegrebet. DPO’en er en nøgleperson i opfyldelsen af ansvarlighedsprincippet. Ud over at facilitere compliance gennem indførelse af ansvarlighedsredskaber optræder DPO’en også som bindeled mellem relevante stakeholders (tilsynsmyndigheder, registrerede og dataansvarlige/databehandlere).
Hvem skal udpege en DPO?
Offentlige myndigheder og organisationer skal altid udpege en DPO.
For private virksomheder og organisationer er der alene pligt til at udpege en DPO, når deres kerneaktiviteter omfatter behandling af personoplysninger, der:
- i medfør af deres karakter, omfang og/eller formål kræver regelmæssig og systematisk overvågning af registrerede i stort omfang, eller
- omfatter særlige kategorier af oplysninger eller personoplysninger vedrørende strafbare forhold.
Hvad omfatter kerneaktiviteter?
Kerneaktivitet omfatter de grundlæggende forretningsaktiviteter, som er nødvendige for at opnå virksomhedens forretningsmæssige mål. Behandlingen af personoplysninger skal derfor være virksomhedens hovedaktivitet. Hvis behandlingen af personoplysninger er en biaktivitet, har virksomheden ikke pligt til at udpege en DPO.
Det afgørende er, om virksomhedens produkt eller tjeneste direkte består i behandling af personoplysninger, eller om behandlingen af personoplysninger er uløseligt forbundet hermed. Hvis behandlingen af personoplysninger derimod er en biaktivitet, som alle virksomheder udfører som en del af deres drift, herunder f.eks. betaling af løn til medarbejdere eller standard it-support aktiviteter, er der ikke tale om kerneaktiviteter. Sådanne biaktiviteter er nødvendige supportfunktioner for virksomhedens kerneaktivitet eller hovedforretning.
Eksempler på kerneaktiviteter omfatter bl.a. virksomheder, der udbyder hosting eller lagring af oplysninger, herunder Cloud-udbydere, og udbydere af marketingundersøgelser. Som eksempel på virksomheder, hvor behandling af personoplysninger er en uløselig del af deres kerneaktivitet, kan nævnes forsikringsselskaber, idet forsikringsydelsen er uløseligt forbundet med behandling af personoplysninger, og privathospitaler, idet patientbehandling er uløseligt forbundet med journalbehandling mv.
Hvornår er der tale om behandling i stort omfang?
Der skal en del til, for at dette kriterie er opfyldt. Kerneaktivitet er således ikke nok. Ved fastlæggelsen af hvorvidt der er tale om behandling i stort omfang, skal der tages hensyn til følgende forhold:
- Antallet af personer, der behandles oplysninger om.
- Mængden af data, der behandles.
- Varigheden af behandlingen, herunder hvorvidt den er permanent.
- Den geografiske udstrækning af behandlingsaktiviteterne
Eksempler på behandling i stort omfang er f.eks. privathospitalers behandling af patientdata, forsikringsselskabers behandling af forsikredes oplysninger, søgemaskiners behandling af personoplysninger i markedsføringsøjemed, teleudbydere eller internetservice providers’ behandling af indhold, trafikdata og lokationsdata mv. En praktiserende læges behandling af personoplysninger vedrørende dennes patienter udgør derimod ikke behandling i stort omfang.
Hvornår er der tale om regelmæssig og systematisk overvågning?
Regelmæssig og systematisk overvågning af registrerede omfatter alle former for sporing/profilering af personer på internettet med henblik på at kortlægge f.eks. præferencer, adfærd og holdninger mv. Overvågning er dog ikke begrænset til online-aktiviteter. Ved “regelmæssig” forstås bl.a. løbende eller i bestemte tidsintervaller for bestemte perioder, tilbagevendende, f.eks. på bestemte tidspunkter, eller konstant eller periodisk. Ved “systematisk” forstås bl.a., at behandlingsaktiviteter sker i henhold til et system eller i henhold til en generel plan for dataindsamling, eller som er forudarrangeret, organiseret eller metodisk, eller som udføres i henhold til en strategi. Som eksempler på regelmæssig og systematisk overvågning af registrerede kan nævnes drift af telekommunikationsnetværk, udførelse af kreditvurderinger, lokationstracking f.eks. via apps, adfærdsbaseret markedsføring og smartcards.
Hvornår er der tale om behandling af følsomme oplysninger eller oplysninger om strafbare forhold?
Følsomme oplysninger omfatter i henhold til Forordningens artikel 9 følgende:
- Race eller etnisk oprindelse
- Politisk, religiøs eller filosofisk overbevisning
- Fagforeningsmæssigt tilhørsforhold
- Biometriske data med formål om identifikation og/eller
- Helbredsoplysninger og oplysninger om seksuelle forhold
Oplysninger om strafbare forhold omfatter i henhold til artikel 10 oplysninger om:
- Straffedomme og lovovertrædelser
- Straffe- og børneattest
En organisation kan vælge at udpege en DPO frivilligt. I så tilfælde gælder de samme forpligtelser, som finder anvendelse efter Forordningen.
Medmindre det er åbenbart, at en organisation ikke er forpligtet til at udpege en DPO, må det anbefales, at virksomheden dokumenterer den interne analyse, som er udført for at beslutte dette.
Hvem kan udpeges som DPO?
En DPO kan være ansat som medarbejder i organisationen eller kan være en ekstern virksomhed eller person, der udpeges som DPO i henhold til en konsulentkontrakt. En koncern kan udpege en fælles DPO for hele koncernen, forudsat at alle dele af koncernen har let adgang til DPO’en.
En ansat DPO kan ikke samtidig være øverste ansvarlig for organisationens lovlige behandling af personoplysninger. DPO’en kan således ikke være den øverste it-ansvarlige eller den øverste HR-ansvarlige i organisationen.
En DPO skal opfylde visse betingelser, idet vedkommende skal udpeges på baggrund af sine faglige kvalifikationer, navnlig ekspertise inden for databeskyttelsesret og –praksis samt evne til at udføre DPO-opgaverne. Der stilles ikke krav om en bestemt uddannelsesmæssig baggrund som f.eks. jurist, men der sigtes til en person med juridiske kompetencer inden for databeskyttelsesret, og personen skal have en vis praktisk erfaring. Niveauet beror på en konkret vurdering af virksomhedens behandlingsaktiviteter, herunder mængden, følsomheden og kompleksiteten af de persondata, som virksomheden behandler.
Hvilken stilling indtager en DPO?
For at sikre DPO’ens evne til at udføre de opgaver, som DPO’en er pålagt i henhold til Forordningen, skal DPO’ens position i organisationen være uafhængig. Det indebærer bl.a., at DPO’en skal inddrages tilstrækkeligt og rettidigt i alle spørgsmål vedrørende databeskyttelse, og at det skal sikres, at DPO’en har tilstrækkelige ressourcer og tid til rådighed, således at DPO’en er tilgængelig. En DPO må ikke modtage instrukser, og hvis DPO’en er ansat, kan vedkommende ikke afskediges eller straffes for at udføre sine DPO-opgaver.
En DPO refererer til det øverste ledelsesniveau i organisationen. En DPO kan udføre andre opgaver for organisationen, men dette må dog ikke medføre en interessekonflikt. Heri ligger nærmere, at DPO’en ikke må få direkte eller indirekte besked fra ledelsen i organisationen på at komme til et bestemt resultat i udøvelsen af sine opgaver som DPO.
På den anden side er DPO’en ikke afskåret fra at være en aktiv del af overvejelserne og beslutninger om, hvordan compliance sikres, og DPO’en både kan og skal inddrages i organisationens implementering af de krav, der følger af Forordningen. DPO’en skal således inddrages i forbindelse med indkøb af nyt it-system og formulering af kravsspecifikationer til leverandøren samt ved udarbejdelse af organisationens datapolitikker og procedurer. En DPO kan godt være Compliance Officer i organisationen.
Den ansatte DPO nyder ansættelsesretlig beskyttelse, idet vedkommende ikke kan afskediges eller straffes for udførelse af sine DPO-opgaver. DPO’en kan derimod godt afskediges på et sagligt grundlag efter almindelige arbejdsretlige regler.
Hvilke opgaver og beføjelser har en DPO?
DPO’en får en central rådgivnings- og overvågningsrolle i organisationen, idet DPO’en skal assistere den dataansvarlige eller databehandleren med at overvåge, at Forordningen og nationale regler overholdes. Det omfatter navnlig:
- At indhente information med henblik på at identificere behandlingsaktiviteter.
- At analysere og kontrollere overholdelse af behandlingsaktiviteter, herunder overvåge organisationens politikker om beskyttelse af personoplysninger, fordeling af ansvar, oplysningskampagner og uddannelse af personale og ledelse.
- At informere, rådgive og udstede anbefalinger til den dataansvarlige eller databehandleren.
- At være kontaktpunkt for de registrerede.
- At være kontaktpunkt for tilsynsmyndighederne.
DPO’ens kontaktoplysninger skal offentliggøres, men det er ikke et krav, at DPO’ens navn offentliggøres.
Risikobaseret tilgang
I henhold til Forordningen skal DPO’en i sit arbejde tage den risiko i betragtning, som er forbundet med organisationens behandlingsaktiviteter, herunder karakteren, omfanget, sammenhængen og formålet med behandlingsaktiviteterne. Det indebærer i praksis, at en DPO skal prioritere sine aktiviteter og fokusere sin indsats på de forhold, som medfører den højeste risiko for datasikkerhedsbeskyttelse.
Hvad er DPO’ens ansvar?
En DPO kan ikke gøres personligt ansvarlig for en virksomheds manglende overholdelse af databeskyttelsesloven. Forordningen fastsætter helt klart, at DPO’ens rolle er rådgiver, og at det altid er den dataansvarlige og databehandlerens ansvar, at behandlingen af personoplysninger er lovlig og sker i overensstemmelse med Forordningens bestemmelser.
Hvis den dataansvarlige eller databehandleren træffer beslutninger, som er i strid med Forordningen og/eller DPO’ens rådgivning eller anbefalinger, bør DPO’en gøre sin holdning til disse beslutninger klar over for ledelsen.
Organisationen bør derfor såvel i DPO’ens kontrakt som i den information, som gives til medarbejdere, management og andre stakeholders, præcisere DPO’ens opgaver, kompetencer og i særdeleshed ansvar og ansvarsbegrænsning.
Kontakt
Advokat (L), Partner
Direkte: (+45) 33 38 70 14 – Mobil: (+45) 21 67 80 77
E-mail: kab@nrlaw.dk
Hos Nyborg & Rørdam har vi arbejdet med privacy og persondata i flere år. Vi rådgiver vores klienter om de juridiske aspekter omkring databeskyttelse navnlig med det formål at omsætte den komplekse regulering på databeskyttelsesområdet til konkret forståelig operationel rådgivning.
