Databeskyttelsesrådgiverens rolle og opgaver
Ansvaret for at sikre at databeskyttelsesreglerne – herunder databeskyttelsesforordningen, den danske databeskyttelseslov samt øvrige regler for behandling af personoplysninger – overholdes, påhviler den dataansvarlige.

Efter databeskyttelsesreglerne er offentlige myndigheder og organer forpligtet til at udpege en såkaldt DPO. Pligten hertil består tilmed for private virksomheder, såfremt virksomhedens kerneaktivitet består af behandling af følsomme oplysninger eller oplysninger om strafbare forhold i et stort omfang eller såfremt virksomheden foretager regelmæssig og systematisk overvågning af personer i stort omfang. Dette betyder i praksis, at de fleste private virksomheder ikke er forpligtet til at udpege en DPO, men frivilligt kan vælge dette.

Forpligtelsen til - eller valget om - at udpege en DPO kan ses som et element i kravet om at overholde databeskyttelsesreglerne, herunder særligt princippet om ansvarlighed.

Hvad er en DPO?
DPO er den engelske forkortelse af Data Protection Officer, og kaldes på dansk en databeskyttelsesrådgiver. Som det fremgår af navnet, indtager databeskyttelsesrådgiveren en rådgivende funktion i den dataansvarlige organisation, og er med til at sikre at organisationen overholder databeskyttelsesreglerne.   

Databeskyttelsesrådgiveren er - uanset om det er begrundet i forpligtelsen hertil eller baseret på et frivilligt valg - udpeget af den dataansvarlige organisation. Organisationen skal udpege databeskyttelsesrådgiveren på baggrund af vedkommendes faglige kvalifikationer og ekspertise inden for databeskyttelsesret og -praksis samt på baggrund af vedkommendes evne til at udføre opgaverne som databeskyttelsesrådgiver. Det er dog ikke påkrævet, at databeskyttelsesrådgiveren har en bestemt uddannelsesmæssig baggrund såsom jurist eller advokat, for at kunne blive udpeget som DPO. Det er således op til den enkelte organisation at vurdere, hvem der er bedst egnet til at varetage stillingen som DPO. Kravet til ekspertise afhænger af behandlingsaktiviteterne – jo mere komplekse og risikofyldte behandlingsaktiviteterne er, jo større ekspertise kræves af DPO’en. 

Forpligtelsen til - eller valget om - at udpege en DPO kan ses som et element i kravet om at overholde databeskyttelsesreglerne, herunder særligt princippet om ansvarlighed.

Det er op til organisationen at vælge, om en intern medarbejder, en fælles databeskyttelsesrådgiver eller en ekstern databeskyttelsesrådgiver er ønsket. Det vigtige er imidlertid, at databeskyttelsesrådgiveren er en integreret del af organisationen.  

Nærmere om databeskyttelsesrådgiverens rolle og opgaver
Databeskyttelsesrådgiverens funktion består overordnet i at rådgive den dataansvarlige og hjælpe med at organisationen overholder de databeskyttelsesretlige regler. Det er en nødvendig forudsætning for udførslen af denne funktion, at databeskyttelsesrådgiveren inddrages tilstrækkeligt og rettidigt i alle spørgsmål vedrørende beskyttelse af personoplysninger, sådan at vedkommende har en reel mulighed for at vurdere det pågældende forhold. Det er således op til organisationen at sørge for, at databeskyttelsesrådgiveren som altovervejende hovedregel inddrages forud for enhver overvejelse og vurdering, som organisationen gør sig for at overholde reglerne, og at der tages højde for vedkommendes bemærkninger og rådgivning.

Rollen og opgaverne for en DPO er nærmere defineret i lovgivningen, hvor det af Personadataforordningens Artikel 39 fremgår, at en DPO som minimum skal varetage følgende opgaver:

● Underrette og rådgive organisationen og de ansatte om databeskyttelsesforpligtelser
● Overvåge overholdelsen af de databeskyttelsesretlige regler i organisationen
● Rådgive i forbindelse med udarbejdelse af organisationens konsekvensanalyser
● Samarbejde med Datatilsynet på vegne af organisationen
● Være kontaktpunkt for Datatilsynet som tilsynsmyndighed angående spørgsmål om behandling af personoplysninger for de personer, der behandles oplysninger om

Disse opgaver er som nævnt udtryk for et minimumskrav til hvilke opgaver en DPO skal varetage. Der er dog ikke noget til hinder for, at den dataansvarlige organisation herudover vælger at overlade andre og flere opgaver til databeskyttelsesrådgiveren.

Derudover er uafhængighed et nøgleord, når det kommer til databeskyttelsesrådgiverens opgaveløsning. Databeskyttelsesrådgiveren må ikke underlægges instrukser fra organisationen om hvordan de fastsatte opgaver skal udføres, herunder hvordan et forhold skal vurderes eller hvordan databeskyttelsesforordningen nærmere skal fortolkes.

Datatilsynets seneste afgørelser på området
Datatilsynet besluttede i første halvår af 2019 at føre tilsyn med forskellige temaer omkring kommunernes anvendelse af databeskyttelsesrådgivere, herunder databeskyttelsesrådgiverens opgaver, ressourcer, faglige kvalifikationer og de registreredes adgang til rådgiveren.

Tilsynet blev udført af to grupper. Den ene gruppe fokuserede på kommuner, som delte databeskyttelsesrådgiver med andre kommuner, herunder Fredensborg Kommune og Albertslund Kommune. Den anden gruppe fokuserede på kommuner, som havde tilkøbt sig ydelsen hos et advokatselskab, herunder Vejle Kommune og Mariagerfjord Kommune.

Datatilsynet notererede sig i forbindelse med alle fire tilsyn seks til syv punkter i medfør af de ovenfor nævnte temaer omkring kommunernes databeskyttelsesrådgivere, som efter tilsynets opfattelse medførte, at kommunernes brug af databeskyttelsesrådgivere lå inden for rammen af databeskyttelsesforordningen.

Først og fremmest blev det bl.a. noteret, at kommunerne alle havde udpeget en databeskyttelsesrådgiver med de fornødne faglige kvalifikationer i overensstemmelse med databeskyttelsesforordningen. Ved tilsynet af Vejle Kommunes databeskyttelsesrådgiver blev det blandt andet noteret, at kommunen havde udpeget et advokatselskab som databeskyttelsesrådgiver, og at kommunen havde fået tildelt en primær kontaktperson hos selskabet, hvorfor konstruktionen måtte anses for at være i overensstemmelse med databeskyttelsesforordningen.

Derudover fandt Datatilsynet, at kommunerne havde sikret, at databeskyttelsesrådgiverne blev inddraget tilstrækkeligt og rettidigt i alle spørgsmål vedrørende beskyttelse af personoplysninger. For Mariagerfjord Kommunes vedkommende lagde Datatilsynet særlig vægt på, at databeskyttelsesrådgiveren jævnligt og fast deltog i en række møder hos kommunen, hvorved rådgiveren holdtes orienteret om databeskyttelsesretlige forhold i kommunen.

Tilsynet noterede desuden, at samtlige databeskyttelsesrådgivere i de fire kommuner, som var genstand for tilsynet, varetog deres opgaver i overensstemmelse med databeskyttelsesforordningen. Dette indebar bl.a. overholdelse af reglerne om databeskyttelsesrådgiverens kontakt med den registrerede, underretning og rådgivning af kommunen og kommunens ansatte samt overvågning af overholdelse af de databeskyttelsesretlige regler.

Datatilsynet fandt eksempelvis ved tilsynet af Fredensborg Kommune, at databeskyttelsesrådgiveren foretog den fornødne kontrol af overholdelse af de databeskyttelsesretlige regler gennem afholdelse af statusmøder, udarbejdelse af årsrapporter samt løbende rådgivning af kommunen og de registrerede.


Relevante kurser
GDPR | I relation til HR
GDPR | Nyheder & Opdatering