EU Persondataforordning -Hvornår skal man have en databeskyttelsesrådgiver?

Databeskyttelsesrådgiver, eller DPO – Data Protection Officer, er en af de nye ting, der indføres som en del af EU Persondataforordningen. Ny i forhold til dansk persondatalov, hvor vi ikke tidligere har haft denne rolle. Men hvornår skal en virksomhed have sådan en? Det giver vi nogle af svarene på i denne post.

 

For forståelsens skyld starter vi lige med lidt forklaring - I indlægget henvises til:

  • Artikel 29-gruppen – Artikel 29 gruppen har en rådgivende status og handler uafhængigt. De laver blandt andet vejledninger ifht. forordningen, gruppen består blandt andet af en repræsentant for tilsynsmyndigheden i hvert EU-land
  • Betænkning nr. 1565 om databeskyttelsesforordningen – og de retslige rammer for dansk lovgivning
  • Vejledning fra artikel 29-gruppen, seneste vejledning fra artikel 29-gruppen vedr. databeskyttelsesrådgiver

Skal din virksomhed have en databeskyttelsesrådgiver?

Det kommer an på flere ting, om en virksomhed skal have en databeskyttelsesrådgiver.

Der er forskel på, om du skal udpege en databeskyttelsesrådgiver, hvis din virksomhed er en offentlig, eller privat virksomhed. I dette indlæg fokuserer vi hovedsageligt på, hvad der er interessant for private virksomheder.

Der er også forskel på om du skal have én i forhold til, hvilken type data din virksomhed behandler, og om det er i stort eller lille omfang, og om det er virksomhedens kerneaktivitet eller om det foregår som biaktivitet.

Så for at afgøre om din virksomhed skal udpege en databeskyttelsesrådgiver, skal der laves en analyse, som også kan bruges som dokumentation for, om virksomheden skal udpege én eller ej.

Af betænkning nr. 1565 vedr. Databeskyttelsesforordningen, "5.17.4 overvejelser", fremgår der følgende for, hvornår en dataansvarlig eller databehandler skal udpege en databeskyttelsesrådgiver:

  • For det første skal det være virksomhedens kerneaktivitet, at behandle personoplysninger,
  • For det andet skal personoplysninger behandles i stort omfang,
  • For det tredje skal behandlingsaktiviteten bestå i regelmæssig og systematisk overvågning af personer, eller behandling vedrørende følsomme oplysninger/særlige kategorier af oplysninger i stort omfang. (Dette gælder for både særlige kategorier af personoplysninger under artikel 9 og personoplysninger vedrørende Straffedomme og lovovertrædelser artikel 10).

Det er altså ikke alle private virksomheder, der skal udpege en databeskyttelsesrådgiver

Skal – Skal IKKE!

For mange virksomheder er det måske umiddelbart åbenlyst, at de IKKE skal udpege en databeskyttelsesrådgiver, da de ikke som kerneaktivitet behandler personoplysninger, den behandling der sker af personoplysninger, sker kun i et meget lille omfang, og der er ingen, hverken regelmæssig eller systematisk overvågning af personer, eller behandling af følsomme oplysninger.

Er man det mindste i tvivl om, hvorvidt man har pligt til at udpege en databeskyttelsesrådgiver, bør man lave en analyse, der kan bruges som dokumentation for, hvorfor man har truffet valget IKKE at have en databeskyttelsesrådgiver. Her kan det være en god idé, at hente hjælp hos professionelle rådgivere således, at virksomheden tager de fornødne skridt til, at få lavet en korrekt analyse.

 

Hvad er kerneaktivitet? hvad betyder stort omfang? og hvad betyder regelmæssig og systematisk overvågning?

Nedenfor giver vi en meget kort beskrivelse heraf, beskrivelserne er altså ikke udtømmende, og er udelukkende ment til, at give en idé om begreberne.

Om behandling af persondata som kerneaktivitet: 

Hvis du som dataansvarlig eller databehandler, behandler persondata som en del af et produkt, som du tilbyder, eller det at behandle persondata er uløseligt forbundet med at tilbyde et produkt, er det en del af virksomhedens kerneaktivitet.

Eksempel fra den engelske udgave af vejledning vedr. DPO.

Et privat sikkerhedsfirma overvåger en række private indkøbscentre og offentlige rum. Overvågning er virksomhedens kerneaktivitet og som igen er uløseligt forbundet med behandling af personoplysninger, derfor skal dette firma udpege en databeskyttelsesrådgiver. (kilde: Guidelines on Data Protection Officers (‘DPOs’) fra artikel 29 gruppen)

Behandling som biaktivitet.

Betænkning nr. 1565 peger på eksempler på behandling af personoplysninger som biaktivitet, kan være behandling af personoplysninger i forbindelse med f.eks. kundekontrakt, support, salg, personaleadministration mv. (kilde: Betænkning nr. 1565. 5.17.3.1)

Om stort omfang:

Stort omfang er ikke nærmere beskrevet i forordningen, men artikel 29-gruppen anbefaler i vejledning om databeskyttelsesrådgiver, at følgende faktorer skal tages i betragtning, når det vurderes om der er tale om stort omfang:

  • Antallet af berørte personer – enten som et specifikt antal eller som andel af den relevante population
  • Volumen og rækkevidde af personoplysninger der behandles
  • Varighed eller permanent behandling af personoplysninger
  • Geografisk udstrækning af behandlingsaktiviteterne

I vejledningen fra artikel 29-gruppen og i betænkning nr. 1565 findes eksempler på virksomheder, der behandler data i stort omfang, heraf nævnes:

  • Teleselskaber og internetudbydere, der behandler data om placering, trafik og indhold, anses for behandling af data i stort omfang
  • Forsikringsselskaber og banker, der behandler persondata som en del af kerneaktiviteterne
  • Behandling af personoplysninger for adfærdsbaseret annoncering hos søgemaskiner

Om man som virksomhed behandler persondata i stort omfang, kan i nogle tilfælde være vanskeligt, hvorfor det vil være en god ide at lave en analyse.

(kilde: http://ec.europa.eu/information_society/newsroom/image/document/2016-51/wp243_en_40855.pdf)

Om regelmæssig og systematisk overvågning: 

Regelmæssig:

I vejledning fra artikel 29-gruppen står der, at de fortolker "regelmæssig" som en eller flere af følgende:  

  • Løbende eller forekommende med bestemte intervaller i en bestemt periode
  • Tilbagevendende eller gentaget på faste tidspunkter
  • Finder sted konstant eller regelmæssigt

Systematisk: 

I vejledning fra artikel 29-gruppen står der, at de fortolker "systematisk" som en eller flere af følgende:

  • Sker i henhold til et system
  • Pre-arrangeret, organiseret eller metodisk
  • Finder sted som del af generel plan for dataindsamling
  • Udført som del af strategi

Så når man som virksomhed skal vurdere om, hvorvidt behandlingsaktiviteten består i regelmæssig og systematisk overvågning af personer, skal man have ovenstående for øje.

Som eksempler kommer artikel 29-gruppen med følgende, hvor behandlingsaktiviteten foregår ved regelmæssig og systematisk overvågning - nedenfor kun nævnt nogle stykker:

  • Yde telekommunikationsydelser
  • E-mail retargeting
  • Tracking af lokalitet eksempelvis med mobile apps
  • Loyalitetsprogrammer
  • Adfærdsmæssig reklame
  • Wellness-, fitness- og sundhedsdata via bærbare enheder

Mulighed for særregler:

Der er i forordningen (artikel 37 stk. 4) mulighed for, at der kan laves særregler på området, hvorfor dataansvarlig og databehandler alligevel skal udpege en databeskyttelsesrådgiver, hvis dette kræves, i henhold til EU-retten eller national ret.

Frivillig udpegelse af en databeskyttelsesrådgiver!

Selvom din virksomhed ikke skal have en databeskyttelsesrådgiver, kan det for mange alligevel være en god idé. I disse tilfælde må det iflg. Betænkning nr. 1565, gælde samme krav til databeskyttelsesrådgiverens, stilling, kvalifikationer, opgaver mv., efter forordningens artikel 37-39. (artikel 37 – udpegelse af en databeskyttelsesrådgiver; artikel 38 - Databeskyttelsesrådgiverens stilling; og artikel 39 - Databeskyttelsesrådgiverens opgaver)

Skal databeskyttelsesrådgiveren være en intern eller ekstern?

Det er ikke et krav at databeskyttelsesrådgiveren er fastansat, det kan også være en ekstern, eller eksternt konsulentfirma på baggrund af tjenesteydelseskontrakter. Nogle virksomheder kan have god fordel at have en intern databeskyttelsesrådgiver, mens andre sagtens kan "nøjes" med en ekstern. Det er en vurdering af, hvad der bedst kan betale sig, ud fra pris, kvalitet, tilgængelighed, mv. Uanset om der vælges en intern eller ekstern, skal denne leve op til forordningen.

Take aways

Ikke alle private virksomheder skal have en Databeskyttelsesrådgiver - men for nogen er det alligevel en god idé

  • VIGTIGT!  Hvis det IKKE er åbenlyst, at virksomheden IKKE skal udpege en databeskyttelsesrådgiver, skal den dataansvarlige dokumentere dette
  • Der kan komme nationale særregler på området
  • En databeskyttelsesrådgiver kan enten være en intern eller en ekstern

Secure-u.it vil i senere indlæg komme ind på Databeskyttelsesrådgiverens stilling og opgaver

Kilder: 

Betænkning nr. 1565 vedr. Databeskyttelsesforordningen

Artikel 29-gruppens vejledning om Data Protection Officer: http://ec.europa.eu/information_society/newsroom/image/document/2016-51/wp243_en_40855.pdf)

EU Persondataforordning artikel 37, 38 og 39

Fortvivl ej - hjælpen er nær!

Hos secure-u.it, vejleder vi inden for EU GDPR, og hjælper jeres virksomhed med arbejdet i at blive compliant.

Vi hjælper fra start til slut, fra foranalyse, awareness i virksomheden, compliance analyse, anbefalinger, hjælp til implementering, procesbeskrivelser, og afholdelse af workshops.

Vores team består af dygtige personer med kompetencer indenfor:

  • Jura
  • Projektledelse
  • Procesarbejde
  • IT-infrastruktur
  • EU GDPR

Læs mere om hvordan vi kan hjælpe din virksomhed, i arbejdet med at blive compliant.

web: www.secure-u.it mail: kontakt@secure-u.it

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *

Scroll to top
Ring til os i dag
VERIFIED & SECURED
BY: COMODO RSA Domain Validation Secure Server CA
SSL Valid: Dec 28, 2017 - Dec 28, 2018