Justitsministeriet og Erhvervsstyrelsen afholdte den 9. februar 2017 et stormøde om EU’s Databeskyttelsesreform (Forordningen), der træder i kraft fredag den 25. maj 2018.
Generelt var budskabet fra de fremmødte, at man med forordningen skal forvente en evolution frem for en revolution. Det skal forstås således, at forordningen langt hen ad vejen er en fortsættelse og en videreudvikling af de eksisterende regler i Persondataloven og det bagvedliggende direktiv, frem for et paradigmeskifte.
På programmet for stormødet var blandt andet ”DPO for private virksomheder”, og i det følgende vil du kort kunne læse om behandlingen af emnet.
DPO for private virksomheder
Med henvisning til Forordningens art. 37 skal virksomheder i visse situationer udpege en såkaldt ”Data Protection Officer” (DPO), der af Justitsministeriet er oversat til ”databeskyttelsesrådgiver”.
Som virksomhed skal man sørge for at inddrage sin DPO tilstrækkeligt og rettidigt i alle spørgsmål vedrørende beskyttelse af personoplysninger og derved sikre, at forordningen overholdes. Herudover skal DPO’en blandt andet samarbejde med og fungere som kontaktpunkt for Datatilsynet.
Hvis følgende tre kriterier alle er opfyldt, vil en virksomhed skulle udpege en DPO:
- Behandling af personoplysninger skal være virksomhedens kerneaktivitet
- Der skal behandles personoplysninger i et stort omfang
- Behandlingsaktiviteten består i regelmæssig og systematisk overvågning af personer, eller behandlingen vedrører følsomme oplysninger (art. 9), herunder oplysninger om strafbare forhold (art. 10).
På den baggrund er det Justitsministeriets opfattelse, at private virksomheder i de fleste tilfælde ikke skal udpege en DPO.
Der er altid en undtagelse
Den såkaldte Artikel 29-gruppe udgav i december 2016 sine retningslinjer om DPO’er. Som et eksempel på en virksomhed, der har behandling af personoplysninger som sin kerneaktivitet, og som behandler personoplysninger i stort omfang, nævnes et hospital. Altså må et privathospital, der behandler følsomme oplysninger (helbredsoplysninger), forventes at skulle udpege en DPO.
Ovenstående krav om en DPO gælder både for den dataansvarlige (den der afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger) og databehandleren (den der behandler personoplysninger på den dataansvarliges vegne). Der stilles ikke uddannelsesmæssige krav til en DPO, men man anbefaler dog en person med juridiske kompetencer og en vis praktisk erfaring inden for området.
Må man afskedige en DPO?
Med hensyn til spørgsmålet om afskedigelsesbeskyttelse for en DPO følger det af Forordningens art. 38, at en DPO ikke kan ”afskediges eller straffes af den dataansvarlige eller databehandleren for at udføre sine opgaver”. Fra arbejdsgiverside har man været bekymret for, om dette ville lede til en ny type beskyttet medarbejder, der i praksis ikke vil kunne opsiges. Imidlertid lagde Justitsministeriet på mødet op til, at DPO’en vil være omfattet af den almindelige saglighedsbeskyttelse efter funktionærlovens § 2b. Dette betyder, at en DPO som udgangspunkt vil kunne opsiges på et almindeligt sagligt grundlag i tilfælde, hvor opsigelsen skyldes misligholdelse af de arbejdsopgaver, som ikke vedrører rollen som DPO. Fra Azets side tilrådes det dog, at man i en sådan situation søger juridisk rådgivning forud for en eventuel opsigelse.
Vil du vide mere?
Det samlede program og præsentationen fra stormødet kan findes på Erhvervsstyrelsens hjemmeside.
Der henvises endvidere til Datatilsynets hjemmeside om Databeskyttelsesforordningen.
Har du brug for rådgivning i forhold til persondata og den kommende Forordning?
Vil du vide mere om, hvad Azets kan hjælpe dig med i relation til persondataloven og den kommende Databeskyttelsesforordning, er du altid velkommen til at kontakte os.
Azets kan hjælpe dig med dagligdagens juridiske udfordringer relateret til medarbejdere og din forretning. Vi assisterer dig med alt i forhold til arbejds- og ansættelsesret, persondataret samt skatteret.
Læs mere om den rådgivning, Azets kan tilbyde dig