Den såkaldte Artikel 29-gruppe har vedtaget et sæt retningslinjer for databeskyttelsesrådgivere, der giver mere klarhed over databeskyttelsesrådgiverens opgaver, stilling og ansvar.

Vi har tidligere skrevet om databeskyttelsesforordningen, der får virkning i Danmark fra 25. maj 2018, og kravene heri for offentlige myndigheder, offentlige organer og visse private virksomheder om at udpege en såkaldt databeskyttelsesrådgiver, også kaldet data protection officer (DPO).

Forordningens tekst opstiller nogle overordnede kriterier for, hvilke virksomheder og organisationer der er forpligtet til at udpege en DPO, samt krav til DPO'en og dennes stilling. Det har dog været noget usikkert, hvilke virksomheder og organisationer der i realiteten vil være forpligtet til at udpege en DPO, ligesom DPO'ens rolle og ansvar ikke har været klart defineret.

Som ventet har Artikel 29-gruppen nu offentliggjort et sæt retningslinjer, der giver noget mere klarhed vedrørende disse spørgsmål.

Retningslinjer for DPO

Retningslinjerne indeholder bl.a. en nærmere beskrivelse af

  • hvilke organisationer der efter artikel 29-gruppens anbefaling bør udpege en DPO, herunder eksempelvis private virksomheder, der udfører offentlige opgaver
  • hvordan man skal forstå nogle af de centrale begreber af betydning for fastlæggelsen af, om private virksomheder omfattes af kravet om en DPO, herunder begreberne "kerneaktivitet" og "stort omfang"
  • krav til DPO'ens stilling
  • krav til DPO'ens arbejde
  • DPO'ens ansvar

Af retningslinjerne fremgår eksempelvis, at en virksomheds kerneaktivitet kan forstås som de centrale behandlinger, en virksomhed udfører for at forfølge sine overordnede formål, samt at "stort omfang" bestemmes ud fra bl.a. mængden af data, mængden af registrerede personer samt den tidsmæssige udstrækning af behandlingen. Som eksempler på behandlinger af persondata i stort omfang er:

  • Behandling af patientdata på et hospital
  • Behandling af rejsedata for personer, der anvender et offentligt transportsystem (f.eks. ved brug af periodekort/rejsekort)
  • Behandling af kundedata som led i den normale drift af et forsikringsselskab eller en bank

DPO'ens ansvar

Retningslinjerne lægger også op til en ret skarp opdeling af ansvar mellem DPO og den dataansvarlige/databehandleren, idet det er beskrevet, at DPO'en ikke vil være personligt ansvarlig for den dataansvarliges eller databehandlerens manglende overholdelse af databeskyttelsesforordningen. Der er dog ikke dermed taget stilling til, om den dataansvarlige eller databehandleren kan rette et erstatningskrav mod en intern eller ekstern DPO efter dansk rets almindelige erstatningsretlige regler om culpaansvar.

kontakt

Mads Nygaard Madsen

Partner

Charlotte Kunckel

Specialistadvokat