mail@sonderbylegal.eu
+45 72 10 90 90

Skal din virksomhed have en databeskyttelsesrådgiver (DPO)?

Den 25. maj 2018 træder persondataforordningen i kraft i Danmark og resten af EU, hvilket medfører en række ændringer i forhold til de nugældende regler, herunder at offentlige myndigheder skal udpege en databeskyttelsesrådgiver. Det er derimod kun få private virksomheder, der er forpligtet til at udpege en databeskyttelsesrådgiver.

HVAD ER EN DATABESKYTTELSESRÅDGIVER?
Databeskyttelsesrådgiveren skal rådgive og understøtte, at virksomheden overholder persondataforordningen, herunder bl.a. kontrollere, at virksomheden udarbejder de nødvendige politikker og handlingsplaner. Det er ligeledes databeskyttelsesrådgiveren, der skal følge op på, at disse politikker og handlingsplaner overholdes af medarbejderne og om nødvendigt ajourføres. Til syvende og sidst er det dog den dataansvarlige og ikke databeskyttelsesrådgiveren, der har ansvaret for, at forordningen overholdes.

HVEM SKAL UDPEGE EN DATABESKYTTELSESRÅDGIVER?
Offentlige myndigheder er forpligtet til at udpege en databeskyttelsesrådgiver, når persondataforordningen træder i kraft den 25. maj 2018. Derimod skal private virksomheder kun udpege en databeskyttelsesrådgiver, hvis samtlige af følgende 3 betingelser er opfyldt:

1. Behandling af personoplysninger er virksomhedens kerneaktivitet
Det er afgørende, om virksomhedens behandling af personoplysninger er virksomhedens kerneaktivitet. Alle virksomheder behandler personoplysninger i mindre eller større omfang, men oftest behandles oplysningerne alene for at understøtte virksomhedens kerneaktivitet. Det gælder f.eks. behandling af HR-oplysninger og kundeoplysninger i forbindelse med kontakt, salg og support til kunder, hvor behandlingen er en forudsætning for, at virksomheden kan udøve sin kerneaktivitet, f.eks. levering af varer eller tjenesteydelser. Sådanne behandlinger af personoplysninger udgør ikke i sig selv virksomhedens kerneaktivitet, men anses i stedet for en biaktivitet. Når en virksomhed behandler personoplysninger som en biaktivitet, vil virksomheden ikke være forpligtet til at udpege en databeskyttelsesrådgiver. Det gælder f.eks. inden for håndværk og detailhandel.

Hvis virksomhedens kerneaktivitet derimod består i behandling af personoplysninger, vil virksomheden være forpligtet til at udpege en databeskyttelsesrådgiver, såfremt de øvrige 2 betingelser er opfyldt. Som eksempler på virksomheder, der har behandling af personoplysninger som deres kerneaktivitet, kan fremhæves forsikringsselskaber, cloud-virksomheder og virksomheder, der udbyder marketingsundersøgelser.

2. Virksomheden behandler personoplysninger i et stort omfang
Ved vurderingen af, om en virksomhed behandler personoplysninger i et stort omfang, lægges der vægt på antallet af personer, der behandles oplysninger om samt volumen af personoplysninger og/eller de forskellige typer af personoplysninger, der bliver behandlet. Herudover lægges der vægt udstrækningen af den tidsperiode, der behandles oplysninger i, og om behandlingen er permanent. Endelig lægges der vægt på den geografiske udtrækning af behandlingsaktiviteterne.

F.eks. vil et mindre forsikringsselskab, der kun udbyder sin forretning til en bestemt mindre landsdel, nok ikke anses for at behandle personoplysninger i et stort omfang, idet der ikke behandles en stor mængde af personoplysninger om et stort antal personer og på grund af den begrænsede geografiske udstrækning. Omvendt vil et landsdækkende forsikringsselskab nok anses for at behandle personoplysninger i et stort omfang.

3. Behandlingsaktiviteten består i regelmæssig og systematisk overvågning af personer eller behandlingen vedrører følsomme oplysninger eller oplysninger om strafbare forhold
Virksomheder, der har behandling af personoplysninger i et stort omfang som deres kerneaktivitet, vil være forpligtet til at udpege en databeskyttelsesrådgiver, såfremt virksomheden enten foretager regelmæssig og systematisk overvågning af registrerede personer eller behandler følsomme oplysninger eller oplysninger om strafbare forhold.

Der vil være tale om regelmæssig og systematisk overvågning, hvis en virksomhed f.eks. via internettet anvender sporing og profilering i forbindelse med risikovurdering, herunder kreditvurderinger, vurdering af forsikringspræmie, lokationstracking via applikationer og adfærdsbaseret annoncering. Det gælder f.eks. marketingsfirmaer, der foretager marketingsundersøgelser, hvor der indgår personoplysninger i et stort omfang, og hvor undersøgelsen er baseret på adfærdsbaseret annoncering.

Behandling af følsomme oplysninger kan bl.a. være behandling af oplysninger om race eller etnisk oprindelse, polisk, religiøs eller filosofisk overbevisning og helbredsoplysninger. Det gælder f.eks. sygeforsikringsselskaber, som dækker medicin og andre udgifter til helbredelse, idet der indhentes helbredsoplysninger ved optagelses- og refusionssager. Oplysninger om strafbare forhold omfatter oplysninger om straffedomme og lovovertrædelser.

VEDJLEDNING OM DATABESKYTTELSESRÅDGIVERE
I december 2017 har Datatilsynet i samarbejde med en række offentlige myndigheder udstedt en vejledning om databeskyttelsesrådgivere. Du kan læse vejledningen her.

Kontakt gerne vores EU-rets specialister, såfremt din virksomhed har spørgsmål eller brug for rådgivning og hjælp til at opfylde reglerne i forordningen inden den 25. maj 2018.

"Det er afgørende for os, at der er kvalitet i alt, hvad vi foretager os"

Kontakt os

 

København K

Amaliegade 12
1256 København K
Parkeringsvejledning

AARHUS

Havnegade 4
8000 Aarhus C
Parkeringsvejledning

RANDERS

Tronholmen 3
8960 Randers SØ
Parkeringsvejledning


Telefon: +
45 7210 9090
Email:
mail@sonderbylegal.eu

Kontonr.:
6186 0011301118
IBAN:
DK2261860011301118
SWIFT:
KRONDK22


×

Menu

Ring til os

Skriv til os

Kontakt os

Har du brug for hjælp kan du kontakte os gennem kontaktformularen eller ringe 72 10 90 90 Vi kan hjælpe med følgende