Databeskyttelsesrådgiver
Det kalder vi det i Danmark - andre steder er man mere rundhåndet med 'stjernerne'; Data Protection Officer har efter min mening sådan lidt mere pondus over sig, men 'nevermind'. Her er nogle kommenterede retningslinjer, fra Artikel 29 Arbejdsgruppen og Datatilsynet.
Formålet med retningslinjerne
Artikel 29 Arbejdsgruppen har vedtaget et sæt retningslinjer for databeskyttelsesrådgivere, den 13. december 2016 og senere den 5. april 2017.
Datatilsynet har også selv lagt en vejledning ud, i december 2017.
Formålet med disse retningslinjer er at tydeliggøre de relevante bestemmelser i databeskyttelsesforordningen for at støtte dataansvarlige og databehandlere i at overholde loven, men også at støtte databeskyttelsesrådgiverne i deres rolle. Retningslinjerne indeholder også anbefalinger til bedste praksis, der bygger på erfaringerne fra nogle EU-medlemsstater. Artikel 29-gruppen vil overvåge gennemførelsen af disse retningslinjer og kan supplere dem med yderligere detaljer, såfremt den finder det passende.
Sådan beskriver Artikel 29 Arbejdsgruppen selv formålet med retningslinjerne.
Denne vejledning har til formål at redegøre for kravene i forordningen til at udpege en databeskyttelsesrådgiver, dennes opgaver, kvalifikationer, stilling og inddragelse.
Datatilsynet er noget mere lakonisk ;)
Obligatorisk
For offentlige virksomheder/myndigheder/organisationer, samt andre der "som deres kerneaktivitet systematisk og i stort omfang overvåger personer eller behandler særlige kategorier af personoplysninger i stort omfang" er det et krav at der udpeges en databeskyttelsesrådgiver.
For alle andre er det en mulighed, men som Datatilsynet tilføjer, så er det "en forudsætning for at kunne overholde de grundlæggende principper om behandling af personoplysninger i forordningens artikel 5, at alle dataansvarlige og databehandlere har et overblik over, hvilke personoplysninger der behandles, og hvordan disse behandles i organisationen.
Som følge af princippet om ansvarlighed, bør alle organisationer, både private og offentlige dataansvarlige og databehandlere, uanset om de er forpligtede til at udpege en databeskyttelsesrådgiver, derfor tage stilling til, hvor i organisationen ansvaret for og håndteringen af databeskyttelsesspørgsmål bør ligge."
Funktion
Artikel 29 Arbejdsgruppen "ser databeskyttelsesrådgiveren som en hjørnesten i ansvarlighed, og udpegelsen af en databeskyttelsesrådgiver kan lette overholdelse og desuden blive en konkurrencemæssig fordel for virksomheder. Foruden at fremme overholdelse gennem implementering af ansvarslighedsværktøjer (som at lette udførelsen af konsekvensanalyser vedrørende databeskyttelse og revisioner, eller gøre dem lettere at udføre), så fungerer databeskyttelsesrådgivere som mellemled mellem relevante aktører (f.eks. tilsynsførende myndigheder, registrerede og forretningsenheder inden for en organisation).
Databeskyttelsesrådgivere er ikke personligt ansvarlige i tilfælde af manglende overholdelse af databeskyttelsesforordningen. Databeskyttelsesforordningen gør det klart, at det er den dataansvarlige eller databehandleren, som skal sikre og være i stand til at demonstrere, at databehandlingen udføres i overensstemmelse med forordningens artikler.
Datatilsynet understreger at "den dataansvarlige skal tage højde for databeskyttelsesrådgiverens opfattelse af en given situation, men det er den dataansvarlige, der skal overholde reglerne. Det er således også den dataansvarlige, der i sidste ende afgør til hvilke formål og med hvilke hjælpemidler, der må foretages behandling af personoplysninger. Det er ligeledes den dataansvarlige, som sanktioneres, såfremt reglerne ikke overholdes, også selvom dette skyldes ukorrekt rådgivning fra databeskyttelsesrådgiverens side." og anvendelsen af eksterne rådgivere kan således ikke fritage en virksomhed fra et ansvar, men
"Databeskyttelsesrådgiveren er en integreret del af den dataansvarliges organisation, der efter omstændighederne kan have andre opgaver for den dataansvarlige,
og databeskyttelsesrådgiveren har "en særlig stilling i forhold til Datatilsynet, idet databeskyttelsesrådgiveren er kontaktled til og skal samarbejde med Datatilsynet. Databeskyttelsesrådgiveren kan på den måde bl.a. være opdateret om og tage bestik af nye afgørelser, vejledninger mv.
Forpligtelsen til i visse tilfælde at skulle udpege en databeskyttelsesrådgiver er et element i databeskyttelsesforordningens fokus på ansvarlighed, når det kommer til at overholde databeskyttelsesreglerne.", siger Datatilsynet.
Opgaver
"Databeskyttelsesrådgiveren funktion består i at rådgive den dataansvarlige og hjælpe med at organisationen efterlever de databeskyttelsesretlige regler.
En databeskyttelsesrådgiver skal desuden prioritere sine opgaver og fokusere på de behandlinger af personoplysninger i den pågældende organisation, som konkret indebærer en højere risiko for brud på de databeskyttelsesretlige regler. Dog skal øvrige databeskyttelsesretlige områder, som indebærer en lavere grad af risiko ikke undlades." Således formulerer Datatilsynet rådgiverens arbejdsopgaver.
Rådgivning kan fx iflg Datatilsynet bla andre være:
- Organisationens indkøb af nyt IT-system,
- kravsspecifikationer til leverandører,
- udarbejdelse af organisationens data-politikker,
- iværksættelse af behandling af personoplysninger,
- overvejelser om, hvorvidt en given behandling af personoplysninger overholder
de generelle behandlingsregler
Overvågning kan være:
- organisationens politikker om databeskyttelse
- uddannelse af personale i databeskyttelse
- oplysningskampagner
- fordeling af ansvar
- revisioner
Som en del af disse opgaver med overvågning af overholdelse skal databeskyttelsesrådgivere navnlig:
- indsamle oplysninger, der identificerer databehandlingsaktiviteter
- analysere og kontrollere databehandlingsaktiviteternes overholdelse af bestemmelserne
- informere, rådgive og rette henstillinger til den dataansvarlige eller databehandleren.
Konsekvensanalyser skal rådgiveren ikke selv udarbejde - det er den funktion eller afdeling, hvor behandlingen af person oplysninger finder sted, der skal forestå udarbejdelsen, men databeskyttelsesrådgiveren kan rådgive, fx
- om der skal gennemføres en konsekvensanalyse
- hvilken fremgangsmåde der skal anvendes ved gennemførelse af konsekvensanalysen
- om konsekvensanalysen kan gennemføres internt, eller om gennemførelsen kræver antagelse af ekstern bistand
- hvilke sikkerhedsforanstaltninger (tekniske og organisatoriske) som skal anvendes for at begrænse risici i forhold til de registreredes rettigheder og interesser
- om konsekvensanalysen er korrekt gennemført, og om dens konklusioner er i overensstemmelse med de databeskyttelsesretlige regler
Føring af fortegnelser er ikke databeskyttelsesrådgiverens opgave! I praksis opretter databeskyttelsesrådgivere ofte oversigter og fører fortegnelser over databehandlingsaktiviteterne baseret på oplysninger, som de modtager fra de forskellige afdelinger i deres organisation, som er ansvarlige for behandling af personoplysninger. Denne praksis er blevet etableret under mange nuværende nationale love og under de databeskyttelsesregler, der finder anvendelse for EU-institutioner og -organer.
Artikel 39, stk. 1, indeholder en liste over opgaver, som databeskyttelsesrådgiveren skal have som minimum. Der er derfor intet til hinder for, at den dataansvarlige eller databehandleren tildeler databeskyttelsesrådgiveren opgaven med at føre fortegnelser over databehandlingsaktiviteterne under den dataansvarliges eller databehandlerens ansvar. En sådan fortegnelse bør betragtes som et af de værktøjer, der sætter databeskyttelsesrådgiveren i stand til at udføre sine opgaver med at overvåge overholdelsen samt informere og rådgive den dataansvarlige eller databehandleren.
Under alle omstændigheder bør fortegnelsen, som skal føres i henhold til artikel 30, også ses som et værktøj, som giver den dataansvarlige og på anmodning den tilsynsførende myndighed en oversigt over alle de databehandlingsaktiviteter, som en organisation udfører på personoplysninger.
Fortegnelsen er således en forudsætning for overholdelse og som sådan en effektiv
ansvarlighedsmåler.
Samarbejde med Datatilsynet på vegne af virksomheden.
Noget Datatilsynet har defineret sådan: "En organisation er forpligtet til at høre Datatilsynet inden behandling, hvis en konsekvensanalyse vedrørende databeskyttelse viser, at behandlingen af personoplysninger vil føre til høj risiko
i mangel af foranstaltninger truffet af organisation for at begrænse risikoen.
Det følger af forordningen, at databeskyttelsesrådgiveren skal samarbejde med tilsynsmyndigheden og fungere som tilsynsmyndighedens kontaktperson. Det kan f.eks. være databeskyttelsesrådgiveren, der på vegne af den dataansvarlige, hører tilsynsmyndigheden.
Være kontaktpunkt for tilsynsmyndigheden (Datatilsynet) angående alle spørgsmål om behandling af personoplysninger for de personer, der behandles oplysninger om
Databeskyttelsesrådgiveren skal inddrages af den dataansvarlige i tilfælde af, at konkrete klagesager indbringes for Datatilsynet. Databeskyttelsesrådgiveren bør ligeledes orienteres, når Datatilsynet beslutter at gennemføre et eventuelt tilsyn af den dataansvarlige."
Udpegelse af en databeskyttelsesrådgiver
Obligatorisk udpegelse
Artikel 37, stk. 1, i databeskyttelsesforordningen kræver, at en databeskyttelsesrådgiver udpeges i tre specifikke tilfælde:
- når behandlingen foretages af en offentlig myndighed eller et offentligt organ
- når den dataansvarliges eller databehandlerens kerneaktiviteter kræver regelmæssig og systematisk overvågning af registrerede i stort omfang eller
- når den dataansvarliges eller databehandlerens kerneaktiviteter består af behandling i stort omfang af særlige kategorier af oplysninger eller personoplysninger vedrørende straffedomme og lovovertrædelser.
Frivillig udpegelse
Datatilsynet lister en række aktiviteter, som det benævner 'biaktiviteter', som ikke kræver en rådgiver:
- Kundekontakt- eller support
- HR-oplysninger
- Salg
- Kundekartotek
- Online bookingsystem
- Bonuskort
- Behandling af klientoplysninger (revisorer, advokater, ingeniører mv.)
- IT-support
Datatilsynet lister også en række brancher, som ikke har behandlingen af person oplysninger som kerneaktivitet:
Eksempler på brancher, der som udgangspunkt ikke har behandling af personoplysninger som kerneaktivitet:
- Privatskoler og døgninstitutioner
- Forsyningsselskaber
- Håndværksfaget
- Hotel- og restaurationsbranchen
- Servicebranchen
- Detailhandel
Falder din virksomhed herind under eller falder den ikke under nogen af de 3 specifikke tilfælde ovenfor, foreslås det "at dataansvarlige og databehandlere dokumenterer den interne analyse, som er udført med henblik på at bestemme, hvorvidt en databeskyttelsesrådgiver skal udpeges, for dermed at kunne demonstrere, at de relevante faktorer er blevet taget korrekt i betragtning."
Private virksomheder i Danmark skal altså som hovedregel ikke udpege en databeskyttelsesrådgiver!
I stedet for at udpege en rådgiver, kan du "benytte personale eller eksterne rådgivere til opgaver, der relaterer til beskyttelse af personoplysninger." Her er det vigtigt at "sikre, at der ikke er forvirring med hensyn til deres titel, status, stilling og opgaver. Det bør derfor tydeliggøres i enhver kommunikation inden for virksomheden samt med databeskyttelsesmyndighederne, registrerede og den brede offentlighed, at titlen på denne person eller rådgiver ikke er en databeskyttelsesrådgiver."
Du kan fx vælge at udpege en medarbejder, der f.eks. er compliance-rådgiver, og så er virksomheden ikke forpligtet til at efterleve forordningens krav til en databeskyttelsesrådgiver!
Ekspertise og kvalifikationer
Efter Artikel 37, stk. 5, skal databeskyttelsesrådgiveren "udpeges på grundlag af sine faglige kvalifikationer, navnlig ekspertise inden for databeskyttelsesret og -praksis samt evne til at udføre de opgaver, der er omhandlet i artikel 39."
Der er ikke opbygget nogen formaliseret uddannelse på området, hvilket naturligt er en ulempe for alle, men desto vigtigere er det, at bruge sund fornuft og grundige interviews.
Ekspertise niveau
Der er ingen præcis definition, men skal være rimeligt i forhold til
behandlingsaktiviteternes følsomhed, kompleksitet og omfang i den pågældende organisation. Er databehandlingen særlig kompleks, eller behandles følsomme data i stort omfang, bør databeskyttelsesrådgiveren være i besiddelse af større ekspertise. Det afhænger også af, om organisationen systematisk overfører personoplysninger ud af EU. Vælg en databeskyttelsesrådgiver med omhu under hensyntagen til spørgsmålene om databeskyttelse, som opstår inden for organisationen.
Faglige kvalifikationer
Databeskyttelsesrådgiveren bør have kendskab til erhvervsområdet og den dataansvarliges organisation, og en god forståelse af de behandlingsaktiviteter, som udføres, informationssystemer og datasikkerhed samt den dataansvarliges databeskyttelsesbehov.
Hvem kan være databeskyttelsesrådgiver?
Alle, som organisationen finder kvalificeret til at være databeskyttelsesrådgiver, kan som udgangspunkt varetage funktionen:
- En intern medarbejder
- En fælles databeskyttelsesrådgiver for hele eller flere organisationer
- En ekstern databeskyttelsesrådgiver.
Intern medarbejder
Du kan udpege en intern medarbejder, og vedkommende skal ikke varetage funktionen på fuld tid. Derfor kan fx en medarbejder i IT-afdelingen godt varetage funktionen som databeskyttelsesrådgiver på deltid eller nogle timer om ugen. Vedkommende skal blot kunne udøve sit hverv fyldestgørende.
Det kan med fordel være en person, som i forvejen har et vist kendskab til eller indsigt i håndtering af databeskyttelsesretlige spørgsmål i organisationen. Selve vurderingen af, hvor meget tid en medarbejder skal bruge på fyldestgørende at kunne efterleve kravene til en databeskyttelsesrådgiver i organisationen, afhænger af en konkret vurdering af behovet hos organisationen.
Interne ansatte, der ikke kan være databeskyttelsesrådgiver
En databeskyttelsesrådgiver skal både være uafhængig og være i stand til at udøve uvildig rådgivning til organisationen. Derfor kan en databeskyttelsesrådgiver ikke være den øverste IT-ansvarlige eller øverste HR-ansvarlige i en organisatio!
Ekstern medarbejder
Du kan vælge at udpege en ekstern databeskyttelsesrådgiver. Enten en rådgiver (konsulentvirksomhed), såsom en bestemt advokat eller revisor, eller andre kvalificerede eksterne parter.
Offentliggørelse og meddelelse om databeskyttelsesrådgiverens kontaktoplysninger
Artikel 37, stk. 7, i databeskyttelsesforordningen kræver, at den dataansvarslige eller databehandleren:
- offentliggør databeskyttelsesrådgiverens kontaktoplysninger
- meddeler databeskyttelsesrådgiverens kontaktoplysninger til de relevante tilsynsmyndigheder.
Formålet er at de registrerede (både i og uden for organisationen) og tilsynsmyndighederne kan kontakte databeskyttelsesrådgiveren uden at behøve kontakte nogen anden del af organisationen. Fortrolighed er her et meget vigtigt punkt!
Databeskyttelsesrådgiveren er underlagt tavshedspligt eller fortrolighed vedrørende udførelsen af sine opgaver i overensstemmelse med EU-retten eller medlemsstaternes nationale ret (artikel 38, stk. 5).
Oplys
- en postadresse,
- et dedikeret telefonnummer og/eller
- en dedikeret e-mailadresse
- eller andre relevante kommunikationsmidler, fx dedikeret hotline eller en dedikeret kontaktformular rettet til databeskyttelsesrådgiveren på organisationens hjemmeside
Artikel 37, stk. 7, kræver ikke, at de offentliggjorte oplysninger også omfatter navnet på databeskyttelsesrådgiveren, så det er op til den dataansvarlige og databehandleren samt databeskyttelsesrådgiveren at beslutte, om dette er nødvendigt eller nyttigt under de særlige omstændigheder.
Artikel 29 Arbejdsgruppen anbefaler også, at en organisation oplyser sine medarbejdere om navnet på databeskyttelsesrådgiveren og dennes kontaktoplysninger.
Databeskyttelsesrådgiverens stilling
Databeskyttelsesrådgiveren skal inddrages i alle spørgsmål vedrørende beskyttelse af
personoplysninger Artikel 38 i databeskyttelsesforordningen fastsætter, at den dataansvarlige og databehandleren sikrer, at databeskyttelsesrådgiveren "inddrages tilstrækkeligt og rettidigt i alle spørgsmål vedrørende beskyttelse af personoplysninger".
At ledelsen bruger rådgiveren aktivt gør det nemmere at overholde forordningen, og fremme en indbygget databeskyttelse. Derfor bør det være standardprocedure hos organisationens ledelse, at
- inddrage rådgiveren på så tidligt et trin som muligt i alle spørgsmål vedrørende databeskyttelse,
- søge råd hos databeskyttelsesrådgiveren, i forbindelse med konsekvensanalyser vedrørende databeskyttelse
- databeskyttelsesrådgiveren opfattes som en samtalepartner i organisationen, og at han eller hun indgår i de relevante arbejdsgrupper, der beskæftiger sig med databehandlingsaktiviteter inden for organisationen
- databeskyttelsesrådgiveren regelmæssigt inviteres til at deltage i møder på senior- og mellemlederniveau
- rådgiverens tilstedeværelse er ønskværdig, når der skal tages beslutninger, som har en databeskyttelsesdimension. Alle relevante oplysninger skal videregives rettidigt til databeskyttelsesrådgiveren, så denne kan give passende rådgivning
- databeskyttelsesrådgiverens udtalelser altid tillægges behørig vægt. Har ledelsen ikke til hensigt at følge rådgiverens anbefalinger/henstillinger, vil det være god praksis at dokumentere årsagerne hertil
- databeskyttelsesrådgiveren omgående høres i tilfælde af, at et brud på datasikkerheden eller en anden hændelse har fundet sted
Nødvendige ressourcer
Organisationen skal ifølge forordningens Artikel 38, stk. 2, støtte
databeskyttelsesrådgiveren ved at "tilvejebringe de nødvendige ressourcer til at udføre [dennes] opgaver, tilgå personoplysninger og behandlingsaktiviteter samt til opretholdelse af databeskyttelsesrådgiverens ekspertise".
Det vil især sige:
- aktivt at støtte databeskyttelsesrådgiverens funktion fra seniorledelsen (fx på bestyrelsesniveau)
- at give databeskyttelsesrådgiveren nok tid til at gennemføre de opgaver, som hvervet medfører. Det er især vigtigt, hvis en intern medarbejder har dette hverv på deltidsbasis, eller en ekstern databeskyttelsesrådgiver som udfører databeskyttelse i tilslutning til andre opgaver. Sker det ikke, risikerer du at modstridende prioriteter kan resultere i, at databeskyttelsesrådgiver pligterne forsømmes
- at sørge for passende støtte i form af finansielle ressourcer, infrastruktur (lokaler, faciliteter, udstyr) og eventuelt personale
- officiel kommunikation af udpegelsen af databeskyttelsesrådgiveren til alt personale for at sikre, at dennes eksistens og funktion er kendt inden for organisationen
- nødvendig adgang til andre afdelinger som personale, juridisk, IT, sikkerhed osv., så databeskyttelsesrådgiveren kan modtage afgørende støtte, input og oplysninger fra disse andre afdelinger
- løbende efter- og videreuddannelse. Datasikkerhedsrådgivere skal have mulighed for at holde sig ajour med hensyn til udviklingen inden for databeskyttelse. Målet bør være konstant at øge datasikkerhedsrådgivernes ekspertiseniveau, og de bør tilskyndes til at deltage i kurser om databeskyttelse og andre former for professionel udvikling, såsom at deltage i fora for privatlivets fred, workshops osv.
Instruktioner og udøvelsen "af deres hverv på uafhængig vis"
Artikel 38, stk. 3, fastsætter nogle grundlæggende garantier for at sikre, at databeskyttelsesrådgivere er i stand til at udføre deres aktiviteter med tilstrækkelig grad af uafhængighed inden for deres organisation.
Det betyder især at dataansvarlige og databehandlere forpligtet til at sikre, at
databeskyttelsesrådgiveren "ikke modtager instrukser vedrørende udførelsen af disse opgaver", uanset om de er ansat hos den dataansvarlige eller ej.
Videre betyder det at rådgiveren ikke kan afskediges for at udføre [sine] opgaver, eller sanktioneres. Sanktioner kan antage forskellige former og kan være direkte eller indirekte. De kan for eksempel bestå af udebleven eller forsinket forfremmelse, forhindringer for karriereudvikling, udelukkelse fra personalegoder, som andre medarbejdere modtager. Det er ikke nødvendigt, at disse sanktioner faktisk udføres; den blotte trussel er tilstrækkelig, så længe de bruges til at straffe databeskyttelsesrådgiveren på grund af årsager relateret til dennes aktiviteter.
Som det gælder for en normal lederstilling, og som det ville være tilfældet for enhver anden medarbejder eller kontrahent under og underlagt gældende national kontrakt-, arbejds- eller strafferet, kan en databeskyttelsesrådgiver stadig afskediges legitimt af andre grunde end udførelsen af opgaverne som databeskyttelsesrådgiver (f.eks. i tilfælde af tyveri, fysisk, psykologisk eller seksuel chikane eller lignende grov forseelse).