Justitsministeriet udsendte sidst i maj 2017 betænkningen om databeskyttelsesforordningen og de retlige rammer for dansk lovgivning. Forordningen får virkning fra 25. maj 2018.
Forordningen indebærer nye krav til kommunerne, eksempelvis skal alle kommuner udpege en databeskyttelsesrådgiver (DPO). Dette og andre nye krav i forordningen rejser flere spørgsmål om, hvordan kommuner kan indrette sig for at leve op til forordningen. Betænkningen giver ikke klare svar på alle spørgsmål, og Justitsministeriet har varslet mere konkrete vejledninger i den kommende tid.
Databeskyttelsesrådgiver (DPO)
Hver kommune skal udpege en DPO. DPO’ens funktion er bl.a. at rådgive om persondataretlige spørgsmål internt i kommunen. Når DPO’en udfører den opgave, må han eller hun ikke være underlagt instruktionsbeføjelse fra nogen. Det følger direkte af forordningen.
Det følger også af forordningen, at DPO’en skal referere direkte til det øverste ledelsesniveau. I en kommune er kommunalbestyrelsen det øverste ledelsesniveau. Det fremgår af Justitsministeriets betænkning, at forordningen i en kommunal kontekst derfor må forstås sådan, at DPO’en skal referere direkte til kommunalbestyrelsen uden forudgående udvalgsbehandling. Det fremgår også, at Økonomi- og Indenrigsministeriet efter konkret vurdering vil meddele dispensation til, at DPO’en kan placeres direkte under kommunalbestyrelsen i den kommunale organisation, jf. kommunestyrelseslovens § 65 c.
Anmeldelse af brud på datasikkerheden
Forordningen indfører et krav om, at hændelser, hvor der sker brud på persondatasikkerheden, skal anmeldes til tilsynsmyndigheden, som for kommunerne vil være Datatilsynet. Brud på persondatasikkerheden kan f.eks. være hændelser, hvor CPR-numre eller andre personoplysninger ved en fejl bliver offentliggjort eller videregivet til uvedkommende.
Anmeldelsen skal ske uden unødig forsinkelse og senest 72 timer efter, at den dataansvarlige (her kommunen) har konstateret hændelsen. Med anmeldelsen skal bl.a. følge en beskrivelse af karakteren af hændelsen, og hvilke tiltag der er iværksat for at begrænse mulige skadevirkninger for de personer, som oplysningerne vedrører.
Det tager tid at få beskrevet alle oplysninger, som kræves med anmeldelsen, og oplysningerne kan derfor også sendes trinvist til Datatilsynet. Men ifølge betænkningen skal der helt særlige grunde til, før fristen kan overskrides. Det vil derfor være en god idé, at der i kommunen fastlægges konkrete procedurer for, hvordan anmeldelsesforpligtelsen skal håndteres, så fristen kan overholdes.
Fortegnelser over behandlingsaktiviteter
Forordningen indfører også et krav om, at dataansvarlige skal føre interne lister over behandlingsaktiviteter.
For kommuner vil der ifølge betænkningen være tale om, at kravet erstatter det gældende krav i persondataloven om, at offentlige myndigheder skal anmelde visse behandlinger til Datatilsynet (persondatalovens §§ 43-46). Derfor vil kommunerne i vidt omfang kunne tage udgangspunkt i de anmeldelser, de allerede har indsendt til Datatilsynet, for fremadrettet at opfylde kravet om at føre interne fortegnelser.