2 okt 2017

Datatilsynets DPO-vejledning

DPO-vejledning: Datatilsynet har udgivet en vejledning om databeskyttelsesrådgivere (DPO). Denne DPO-vejledning er interessant, da Datatilsynet udtaler, hvilke brancher og typer af virksomheder, som skal og ikke skal have en DPO.

Offentlige myndigheder og organer er altid forpligtede til at udpege en databeskyttelsesrådgiver, hvorimod private virksomheder kun i visse tilfælde er forpligtede til at udpege en. Datatilsynets vejledning foreskriver, at private virksomheder ikke er forpligtet til at udpege en databeskyttelsesrådgiver, medmindre alle følgende tre betingelser gør sig gældende:

1. Behandling af personoplysninger skal være virksomhedens kerneaktivitet

Med dette skal forstås, at behandling af personoplysninger er nødvendigt for det, som virksomheden lever af. Det kan fx være virksomheder, der foretager markedsundersøgelser baseret på personoplysninger, eller cloud-virksomheder, hvor der indebærer lagring af personoplysninger. Samtidig er virksomheder, hvis produkt eller løsning uvægerligt hænger sammen med behandling af personoplysninger, også at anse for at have behandling af personoplysninger som deres kerneaktivitet. Det kan fx være privathospitaler eller forsikringsselskaber. Hermed forstås ikke almindelig behandling af personoplysninger, som de fleste virksomheder foretager, såsom HR-oplysninger og kundeoplysninger ifm. kontakt, salg eller support.

2. Der skal behandles personoplysninger i et stort omfang

EU’s Artikel 29-gruppe anbefaler, at ”stort omfang” vurderes ud fra fire punkter: Antallet af personer, der behandles personoplysninger om; volumen af personoplysninger, eller typer af samme; varigheden af behandlingen (og om den er permanent); og den geografiske udstrækning af behandlingsaktiviteterne. Eksempelvis kan en lille lægepraksis med et begrænset antal læger ikke anses for at behandle personoplysninger i et stort omfang, og det samme gør sig gældende for et mindre forsikringsselskab, der fx kun tilbyder sine ydelser til en mindre del af landet.

Eksempler på virksomheder, der kan betragtes som at behandle personoplysninger i stort omfang, kan fx være telefoni- eller internetudbydere, privathospitaler, større forsikringsselskaber, eller søgemaskiners behandling af personoplysninger.

3. Behandlingsaktiviteten består i regelmæssig og systematisk overvågning af personer, ELLER behandlingen vedrører følsomme oplysninger eller oplysninger om strafbare forhold.

Dette punkt skaber ofte forvirring, da der egentlig er tale om to forskellige betingelser. For at opfylde denne sidste betingelse, vil det sige, at virksomheder, hvis kerneaktivitet består af behandling af personoplysninger i et stort omfang enten skal:

3a: foretage regelmæssig og systematisk overvågning af registrerede personer

Eller

3b: behandle oplysninger om strafbare forhold/følsomme oplysninger.

Regelmæssig og systematisk overvågning kan omfatte drift af telenet eller services i forbindelse med dette, lokalitetstracking via applikationer og adfærdsbaseret annoncering.

Strafbare forhold vil sige oplysninger om straffedomme og lovovertrædelser.

Følsomme oplysninger kan eksempelvis udgøre helbredsoplysninger; politisk, religiøs, eller filosofisk overbevisning; seksuelle forhold/orientering, eller race/etnisk oprindelse.

Datatilsynet nævner konkrete eksempler på virksomheder, der kan opfylde alle tre betingelser:

  • Privathospitaler
  • Større forsikringsselskaber
  • Teleselskaber
  • Marketingsfirmaer, der udbyder marketingsundersøgelser

Da kravet om udnævnelse af en DPO forudsætter opfyldelse af alle tre betingelser, vil det sige, at de fleste private danske virksomheder, som blot foretager ”almindelig” behandling af persondata, fx administration af HR-oplysninger, online bookingsystemer, kundeoplysninger mv. ikke er forpligtede til at udpege en databeskyttelsesrådgiver. Dog kan vi forestille os, at nogle virksomheder frivilligt vil vælge at få en databeskyttelsesrådgiver, fx af markedsføringsmæssige årsager, således at der sendes et signal om tryghed og troværdighed. Men udnævner en virksomhed frivilligt en databeskyttelsesrådgiver, skal virksomheden være opmærksom på, at de samme regler gælder ift. databeskyttelsesrådgiver-rollen, uanset om det er en frivilligt eller obligatorisk udnævnt databeskyttelsesrådgiver.

Formålet med en databeskyttelsesrådgiver

Formålet med en databeskyttelsesrådgiver (DPO) er at have en form for intern ombudsmand ift. databeskyttelse. Databeskyttelsesrådgiveren skal rådgive om databeskyttelsesretlige regler, og skal inddrages i alle spørgsmål om databeskyttelse. Dermed hjælper databeskyttelsesrådgiveren med at understøtte den dataansvarliges forpligtelser ift. databeskyttelsesloven. Databeskyttelsesrådgiveren skal samarbejde med Datatilsynet og fungere som kontaktperson for denne, men databeskyttelsesrådgiveren er ikke en del af Datatilsynet, og fungerer altså heller ikke som en repræsentant for samme.

Fælles databeskyttelsesrådgiver

Den nye DPO-vejledning nævner også muligheden for en fælles databeskyttelsesrådgiver. Fx har en koncern mulighed for at udpege en databeskyttelsesrådgiver for hele koncernen, selvfølgelig under forudsætning af, at alle etableringer af koncernen har nem adgang til denne databeskyttelsesrådgiver.

Andre private databehandlere og dataansvarlige har også mulighed for at udpege en fælles databeskyttelsesrådgiver. Det betyder dermed, at et eksternt firma kan varetage funktionen som databeskyttelsesrådgiver, og at dette kan gøres for flere dataansvarlige samtidig, på baggrund af tjenesteydelseskontrakter.

DPO-vejledning og links

Læs hele Datatilsynets DPO-vejledning via dette link.

 

Vi kan fungere som ekstern databeskyttelsesrådgiver for jeres virksomhed.