Persondataforordningen får virkning i Danmark fra 25. maj 2018. Med forordningen følger nye krav, om at offentlige myndigheder, offentlige organer og visse private virksomheder skal udpege en databeskyttelsesrådgiver (DPO). Men der er usikkerhed om, hvilke virksomheder og organisationer der i realiteten er forpligtet til at udpege en DPO – ligesom DPO’ens rolle og ansvar ikke er helt klar. Vi sætter i artiklen fokus på, hvad vi p.t. ved om DPO-ordningen, og hvornår der kan forventes mere afklaring.

Først og fremmest skal offentlige myndigheder og offentlige organer udpege en databeskyttelsesrådgiver – også benævnt Data Protection Officer.

Det er ikke nærmere defineret i persondataforordningen, hvornår en enhed i forordningens forstand udgør et “offentligt organ”. Det er dermed ikke klart, om f.eks. kommunalt ejede forsyningsselskaber, kommunale fællesskaber organiseret efter kommune­styrelseslovens § 60, eller fonde stiftet med kommunale midler og underlagt kommunalt tilsyn er omfattet af kravet om udpegning af en DPO. Spørgsmålet er således, om begrebet skal fortolkes lige så bredt som udbudslovens begreb “offentligretlige organer”, eller om det alene dækker noget mindre.
 
Indtil vi får en nærmere afklaring af grænserne for, hvornår noget er et “offentligt organ” i persondata­forordningens forstand, vil det – ud fra et forsigtighedsprincip – være sikrest at agere ud fra en antagelse om, at begrebet har en bred betydning i relation til kravet om udpegning af en DPO.

Persondataforordningen indeholder ikke en bagatelgrænse for, hvornår offentlige myndigheder og offentlige organer skal udpege en DPO. Dette medfører, at selv en meget lille offentlig enhed med f.eks. fire ansatte kan risikere at være omfattet af kravet, også selvom enheden kun behandler person­data i et mindre omfang. Flere offentlige myndigheder eller offentlige organer vil dog kunne udpege en fælles DPO i overensstemmelse med deres “organisatoriske struktur og størrelse”. Hvad der nærmere ligger heri, er heller ikke helt klart.
 
For private virksomheder skal der udpeges en DPO, hvis virksomheden som dataansvarlig eller databehandler har en kerneaktivitet bestående enten af:
Behandlingsaktiviteter, som kræver regelmæssig og systematisk overvågning af registrerede i stort omfang, eller
Behandling i stort omfang af følsomme oplysninger eller oplysninger om straffedomme og lovovertrædelser.

Det fremgår af forordningen, at “kerne­aktiviteterne” for en dataansvarlig skal vedrøre “hovedaktiviteten” i en virksomhed – og ikke en biaktivitet. Hvad der nærmere ligger i begreberne “kræver regelmæssig og systematisk overvågning af registrerede” og “i stort omfang”, afventer også en nærmere afklaring.

En koncern kan ligeledes udpege en fælles DPO, forudsat at alle etableringer har let adgang til DPO’en. DPO’en skal være i stand til at kunne udføre sine opgaver, og det vil derfor næppe være hensigtsmæssigt, at en koncern udpeger en fælles databeskyttelses­rådgiver fra f.eks. et hovedkontor i Schweiz, som ikke kan varetage sine DPO-opgaver i et dansk datterselskab på dansk.

Herudover har medlemsstaterne hjemmel til at fastsætte krav i national ret om, at der i andre situationer skal udpeges en DPO.

Hvem kan være DPO?

DPO’en kan være en eksisterende medarbejder, hvis vedkommende opfylder kravene hertil, eller en ekstern person, der på kontrakt hyres ind til opgaven.

DPO’en skal have en række færdigheder og i særdeleshed have ekspertise inden for databeskyttelsesret og -praksis samt være i stand til at varetage DPO’ens opgaver efter forordningen. Den påkrævede “ekspertise i data­beskyttelsesret og -praksis” bør ifølge præamblen til forordningen fastlægges i henhold til de databehandlings­aktiviteter, der foretages, og den beskyttelse af de personoplysninger, som den dataansvarlige eller databehandleren kræver. Behandler den dataansvarlige eller databehandleren følsomme oplysninger, såsom oplysninger om race, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssigt tilhørsforhold, helbredsoplysninger, oplysninger om seksuel orientering mv., vil der formentlig kræves et højere videns­niveau hos DPO’en, end hvis sådanne oplysninger aldrig behandles.

Den dataansvarlige eller databehandleren har pligt til at inddrage DPO’en tilstrækkeligt og rettidigt i alle spørgsmål vedrørende beskyttelse af person­oplysninger. Den dataansvarlige eller databehandleren skal også støtte DPO’en ved dennes udførelse af sine opgaver med bl.a. tilstrækkelige ressourcer og nødvendig opdatering af DPO’ens viden.

Uanset om DPO’en er ansat hos den dataansvarlige eller ej, skal DPO’en være i stand til at udøve sit hverv på uafhængig vis. Er DPO’en ansat hos den dataansvarlige eller databehandleren, indebærer dette bl.a., at DPO’en ikke må være underlagt instrukser vedrørende udførelsen af sine opgaver som DPO. DPO’en indtager således en særlig stilling i virksomheden og må f.eks. ikke afskediges for at udføre sine opgaver som DPO.

DPO’en rapporterer direkte til den øverste ledelse hos den dataansvarlige/databehandleren, hvilket i f.eks. en kommune må være kommunalbestyrelsen, og i f.eks. et aktieselskab må være bestyrelsen.

Hvilke opgaver skal DPO’en varetage?

DPO’ens primære opgave er via rådgivning og overvågning at sikre organisationens overholdelse af persondataforordningen og interne politikker om beskyttelse af person­oplysninger.

Det er uklart ud fra forordningens ordlyd, hvorvidt DPO’en selv kan deltage i udarbejdelse af den nødvendige dokumentation efter forordningen samt uddannelse af medarbejdere i organisationen i beskyttelse af person­data, eller om DPO’en alene har en rådgivende/overvågende funktion i forhold hertil.
 
DPO’en bliver kontaktpunkt for de registrerede vedrørende udøvelse af disses rettigheder, f.eks. indsigtsret, retten til sletning mv. DPO’en vil ligeledes være registreret som kontaktpunkt for tilsynsmyndigheder.

Skal der foretages konsekvensanalyser vedrørende databeskyttelse, f.eks. i forbindelse med indkøb af nyt IT-system, skal den dataansvarlige rådføre sig med DPO’en herom.

DPO’en er ikke afskåret fra at udføre andre opgaver eller have andre pligter. Det er dog essentielt, at sådanne andre opgaver og pligter kan udføres, uden at der opstår en interessekonflikt i forhold til DPO’ens lovbestemte opgaver. Henset til DPO’ens rådgivende funktion kan det således f.eks. diskuteres, om en DPO samtidig kan være IT-chef i organisationen.

Har DPO’en et erstatningsansvar ved brud på datasikkerheden?

Ved overtrædelser af forordningen kan private dataansvarlige og databehandlere blive mødt af dels et erstatningsansvar fra f.eks. en registreret, som har lidt materiel eller immateriel skade, dels et bødeansvar fra tilsynsmyndighederne. Forordningen tager derimod ikke udtrykkeligt stilling til, om den data­ansvarlige, databehandleren eller registrerede kan rette erstatningskrav imod en intern eller ekstern tilknyttet DPO.

Hvorvidt dette er tilfældet, må derfor – medmindre andet kommer til at fremgå af følgelovgivningen til persondataforordningen – bero på dansk rets almindelige erstatningsretlige regler om culpaansvar. Og dermed vil der naturligvis være et vist ansvar forbundet med at påtage sig rollen, særligt som ekstern DPO.

Afklaring

Som det fremgår ovenfor, er der en række uklarheder forbundet med DPO’ens rolle og ansvar. Justitsministeriet har oplyst, at den såkaldte artikel 29-gruppe arbejder på en udmelding – formentlig i efteråret 2016/foråret 2017 – om, hvorledes gruppen fortolker reglerne om DPO’er i persondataforordningen. Forhåbentlig vil dette bidrage til afklaring af mange af tvivlsspørgsmålene vedrørende DPO’er.

Forfattere: Mads Nygaard Madsen og Charlotte Kunckel