Persondataforordningen

Hvornår skal en virksomhed have en DPO?

Persondataforordningens krav om, at virksomheder i nogle tilfælde skal have en DPO er uklar og giver anledning til usikkerhed i virksomhederne. Artikel 29 gruppen offentliggjorde den 13. december 2016 en vejledning, der kaster lidt mere lys over reglerne.

Inden du læser artiklen, skal du lige have styr på begreberne:

  • En DPO er en databeskyttelsesrådgiver, der underretter og rådgiver den dataansvarlige eller databehandleren og de ansatte, der behandler persondata, om deres forpligtelser efter forordningen, og som fører tilsyn med, om virksomheden overholder reglerne.
  • Artikel 29-gruppen er et rådgivende og uafhængigt organ, der bl.a. består af repræsentanter for tilsynsmyndigheder i EU, og en repræsentant for Kommissionen.

Formålet med denne artikel er først og fremmest at gøre jer opmærksomme på artikel 29-gruppens vejledning. Selvom vejledningen skaber lidt mere forståelse for, hvornår man som virksomhed skal have en DPO, indeholder den desværre ingen klare konklusioner og ingen klar beskrivelse af, hvilke virksomheder, der i hvert fald skal have en DPO, og hvilke virksomheder, der helt sikkert ikke skal have en DPO.

Som virksomhed er I nødt til at holde jeres virksomhed behandling af persondata op imod de tre elementer, der indgår i vurderingen af, om I skal have en DPO.

Det er jeres eget ansvar at bedømme, om jeres virksomhed skal udpege DPO. Er I i tvivl, bør I som minimum dokumentere, hvilke overvejelser I har gjort jer, og hvorfor I ikke mener, at I bør have en DPO.

Der kommer i foråret 2017 en betænkning fra Justitsministeriet, og det er vores håb, at der kommer nogle mere klare svar. Vi holder jer orienterede, hvis der kommer noget nyt, og I er altid velkomne til at spørge.

Efter persondataforordningens artikel 37, skal virksomheder have en DPO i følgende tilfælde:

  • Når den dataansvarliges eller databehandlerens kerneaktiviteter består af behandlingsaktiviteter, der efter deres karakter, omfang eller formål kræver regelmæssig og systematisk overvågning af registrerede i stort omfang.
  • Når den dataansvarliges eller databehandlerens kerneaktiviteter består af behandling i stort omfang af ”følsomme oplysninger” og personoplysninger vedrørende straffedomme og lovovertrædelser.

Kerneaktiviteter

En privat virksomheds ”kerneaktivitet” forstås som virksomhedens hovedaktivitet. Personoplysninger, der behandles som en biaktivitet, falder udenfor begrebet kerneaktivitet. Det fremgår af forordningens betragtning 97.

Selvom en virksomheds kerneaktiviteter ikke er at behandle persondata, vil behandling af persondata alligevel kunne blive betragtet som kerneaktiviteten, hvis behandling af persondata er uadskillelig fra hovedaktiviteten:

Som et eksempel nævnes et hospital, der for at levere sine sundhedsydelser, er nødt til at behandle store mængder sundhedsdata, som er nært knyttet til hovedaktiviteten.

Et andet eksempel er et sikkerhedsfirma, der overvåger shopping centre og offentlige arealer. Også her vil behandlingen af persondata være uadskilleligt forbundet med kerneaktiviteten.

Derimod vil udbetaling af løn til de ansatte og almindelig IT-support i en virksomhed, normalt blive anset som en biaktivitet.

Regelmæssigt og systematisk overvågning

Begrebet ”regelmæssig og systematisk overvågning af registrerede” er ikke defineret i forordningen, men artikel 29-gruppen henviser til, at begrebet "overvågning af registreredes adfærd” er nævnt i forordningen (betragtning 24) og omfatter alle former for tracking og profilering på internettet, herunder med det formål at foretage adfærdsbaseret annoncering. Der er dog kun tale om eksempler på overvågning.

Artikel 29-gruppen fortolker "regelmæssig" således:

  • Løbende eller med jævne mellemrum i en bestemt periode eller
  • Tilbagevendende eller gentagen på faste tidspunkter eller
  • Konstant eller periodisk

Artikel 29-gruppen fortolker ”systematisk” således:

  • Forekommer i et system eller
  • Arrangeret, organiseret eller metodisk eller
  • Som en del af en generel plan for dataindsamling eller
  • Gennemført som led i en strategi

Som eksempel på ”systematisk” overvågning nævner artikel 29-gruppen: Drift af et telekommunikationsnetværk; levering af teletjenester, e-mail retargeting; profilering og scoring med henblik på risikovurdering (fx med henblik på kreditvurdering, fastsættelse af forsikringspræmier, bekæmpelse af svig, afsløring af hvidvask af penge); sporing af placering fx ved brug af mobil apps, loyalitetsprogrammer, adfærdsbaseret annoncering, overvågning af helbred, form og sundhed via wearables, videoovervågning, tilsluttede enheder som fx intelligente målere, smart biler, home automation, etc.

Stort omfang

Det er ikke på nuværende tidspunkt muligt mere præcist at sige, hvad der ligger i udtrykket ”i stort omfang”. Ved vurderingen af om der behandles data i stort omfang, anbefaler artikel 29-gruppen, at følgende forhold tages i betragtning:

  •  Antallet af registrerede personer - enten som et bestemt antal eller som en del af den relevante befolkning.
  • Mængden af data og / eller omfanget af forskellige dataelementer, der behandles.
  • Varigheden eller hyppigheden af databehandlingen.
  • Den geografiske udstrækning af behandlingen.

Som eksempler nævnes:

  • Behandling af oplysninger om personer, der bruger et byens offentlige transportsystem.
  • Behandling af real time lokaliseringsdata vedr. kunder i en international fast food-kæde til statistiske formål, som foretages af en databehandler med speciale i disse aktiviteter.
  • Behandling af kundedata i et forsikringsselskab eller en bank.
  • Behandling af personoplysninger til adfærdsbaseret annoncering af en søgemaskine.
  • Behandling af data (indhold, trafik, placering) via tele- eller internetudbydere.

Dokumentationskrav

Artikel 29-gruppen anbefaler, at I dokumenterer, at I har foretaget relevante overvejelser om, hvorvidt I er forpligtet til at have en DPO i jeres virksomhed, medmindre det er åbenbart, at I ikke er forpligtet til at have en DPO.

Ansættelse af en DPO, selvom der ikke er pligt til det?

I kan godt vælge at udnævne en DPO, selvom I ikke er forpligtede til det. Gør I det, skal I være opmærksomme på, at forordningens regler om DPO’ens opgaver og beskyttelse gælder for DPO’en. I kan i stedet udpege en eller flere personer, der er ansvarlige for jeres behandling af persondata, uden at benytte titlen DPO.

Databehandlere

Pligten til at udnævne en DPO omfatter også databehandlerne. Artikel 29-gruppen nævner nogle eksempler der viser, at databehandleren kan have pligt til at udnævne en DPO, mens den dataansvarlige ikke har en tilsvarende pligt:

En lille virksomhed sælger husholdningsapparater i en enkelt by og gør brug af en databehandler, der som hovedaktivitet leverer website analyse og hjælp med målrettet reklame og markedsføring. Aktiviteterne i virksomheden udgør ikke behandling af data i stort omfang, i betragtning af det lille antal kunder, og de relativt begrænsede aktiviteter. Virksomheden er derfor ikke forpligtet til at udpege en DPO. Derimod behandler databehandleren, der har mange tilsvarende små kunder, persondata i stort omfang. Databehandleren skal derfor udpege en DPO.

Hvad er en DPO?

En Data Protection Officer (DPO) er en medarbejder med særlig indsigt i persondatabeskyttelse.

En DPO er udpeget til at informere og rådgive ledelsen hos den dataansvarlige eller databehandleren om forpligtelser i lovgivningen om databeskyttelse. Heri ligger også en pligt for virksomheden til at involvere DPO’en rettidigt i alle spørgsmål om databeskyttelse og til sørge for, at vedkommende har tilstrækkelige ressourcer og uafhængighed til at udføre sine opgaver.

DPO’en har også ansvaret for at oplyse og uddanne de medarbejdere, der er involveret i databehandling, og skal bistå med intern revision af processerne for behandlingen. Derudover er DPO’en kontaktpunkt i forhold til Datatilsynet. DPO’en skal derfor have relevante faglige kompetencer i forhold til databehandling og databeskyttelsesretten. 

I nogle tilfælde har en virksomhed pligt til at udpege en DPO.

Læs vejledningen

Læs FAQ om DPO’er

Har du et spørgsmål?

Niels Ralund
Adm. Direktør
Tina Morell Nielsen
Jurist & Chefkonsulent
Henrik Theil
Kommunikationschef
Søren Willemoes
Kommunikationsmedarb.
Anders Henneberg Kaltoft
Kommunikationsmedarb.
Micha Hansson
Medlemsservice- og webmanager
Simon Bjerremann
Analysechef
Niels Preysz
Medlemschef
Anders Thesbjerg Tang
Netværksansvarlig
Charlotte Ahm
Projektleder - på barsel
Pernille Trieb
Projektleder
Kim Bruno-Lindby
Event & Marketingchef
Anne K. Hansen
Projektleder
Ditte Rogild Andersen
Studentermedhjælper - medlemsservice
Julie L. M. Deschanel
Juridisk Studentermedhjælper (stud.jur)