27. februar 2017

Status på DPO’ens rolle

Justitsministeriet og Erhvervsstyrelsen afholdte den 9. februar 2017 stormøde om persondataforordningen (PDF), der træder i kraft fredag den 25. maj 2018.

Generelt var budskabet fra de fremmødte repræsentanter fra Justitsministeriet og Erhvervsstyrelsen, at man med forordningen skal forvente en evolution frem for en revolution forstået således, at forordningen langt hen ad vejen er en fortsættelse og en videreudvikling af de eksisterende regler i persondataloven (PDL) og det bagvedliggende direktiv, frem for et paradigmeskifte.

På programmet for stormødet var blandt andet ”DPO for private”, og nedenfor vil du kort kunne læse om behandlingen af emnet på mødet.

DPO for private

Med henvisning til PDF art. 37 skal virksomheder i visse situationer udpege en såkaldt ”Data Protection Officer” (DPO), der af Justitsministeriet er oversat til ”databeskyttelsesrådgiver”.

En DPO skal inddrages tilstrækkeligt og rettidigt i alle spørgsmål vedr. beskyttelse af personoplysninger og påse, at forordningen overholdes. Herudover skal DPO’en blandt andet samarbejde med og fungere som kontaktpunkt for Datatilsynet.

Såfremt følgende 3 kriterier alle er opfyldt, vil en virksomhed skulle udpege en DPO:

  1. Behandling  af  personoplysninger  skal  være  virksomhedens kerneaktivitet
  2. Der skal behandles personoplysninger i et stort omfang
  3. Behandlingsaktiviteten  består  i regelmæssig og systematisk overvågning af personer eller behandlingen  vedrører følsomme oplysninger (PDF art. 9),  herunder  oplysninger om strafbare forhold (PDF art. 10).

På baggrund af ovenstående var det på mødet Justitsministeriets opfattelse, at private virksomheder i de fleste tilfælde ikke skal udpege en DPO.

Den såkaldte Artikel 29-gruppe udgav i december 2016 sine retningslinjer om DPO’er. Som et eksempel på en virksomhed, der har behandling af personoplysninger som sin kerneaktivitet, og som behandler personoplysninger i stort omfang, nævnes et hospital. Således må et privathospital, der behandler følsomme oplysninger (helbredsoplysninger), forventes at skulle udpege en DPO.  

Ovenstående krav om en DPO gælder både for dataansvarlige (den der afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger) og databehandlere (den der behandler personoplysninger på den dataansvarliges vegne), og der stilles ikke uddannelsesmæssige krav til en DPO, idet der dog sigtes til en person med juridiske kompetencer og en vis praktisk erfaring inden for området.

Med hensyn til spørgsmålet om afskedigelsesbeskyttelse for en DPO, følger det af PDF art. 38 at en DPO ikke kan ”afskediges eller straffes af den dataansvarlige eller databehandleren for at udføre sine opgaver”. Fra arbejdsgiverside har man været bekymret for, om dette ville lede til en ny type beskyttet medarbejder, der i praksis ikke vil kunne opsiges. Imidlertid lagde Justitsministeriet på mødet op til, at DPO’en vil være omfattet af den almindelige saglighedsbeskyttelse efter funktionærlovens § 2b, hvorfor en DPO som udgangspunkt vil kunne opsiges på et almindeligt sagligt grundlag i tilfælde, hvor opsigelsen skyldes misligholdelse af de arbejdsopgaver, som ikke vedrører rollen som DPO. Fra Azets side tilrådes det dog, at man i en sådan situation søger juridisk rådgivning forud for en evt. opsigelse.   

Det samlede program og præsentationen fra stormødet kan findes på Erhvervsstyrelsens hjemmeside.

Der henvises endvidere til Datatilsynets hjemmeside om databeskyttelsesforordningen.

Har I brug for rådgivning?

Vil du vide mere om, hvad Azets kan hjælpe dig med i relation til persondataloven og den kommende persondataforordning, er du altid velkommen til at kontakte os.

Vi hjælper med dagligdagens juridiske udfordringer relateret til medarbejderne og forretningen. Vi assisterer jer med alt i forhold til arbejds- og ansættelsesret, persondataret samt skatteret.

Ja tak - kontakt mig ►

 1. juli 2016

12 spørgsmål fra Datatilsynet og ny hjemmeside

Datatilsynet har på sin hjemmeside offentliggjort et dokument, hvori Datatilsynet oplister 12 spørgsmål, som man, som dataansvarlig, med fordel kan forholde sig til allerede nu for at forberede sig på den nye Persondataforordning, der vil være gældende fra den 25. maj 2018.

Dokumentet kan ifølge Datatilsynet anvendes som en tjekliste, når man skal have styr på hovedforskellene mellem den nuværende lovgivning og den nye Persondataforordning og på, hvordan de påvirker en organisation.

Læs Datatilsynets 12 spørgsmål her:

12 spørgsmål som dataansvarlige allerede nu med fordel kan forholde sig til

Herudover har Datatilsynet lanceret en ny hjemmeside dedikeret til arbejdet med den nye Persondataforordning. Datatilsynet vil på siden orientere om Persondataforordningen og det arbejde, der pågår for at forberede forordningens ikrafttræden den 25. maj 2018.

Du finder hjemmesiden her:

Datatilsynets hjemmeside om databeskyttelsesreformen

Har I brug for rådgivning?

Vil du vide mere om, hvad Azets kan hjælpe dig med i relation til persondataloven og den kommende persondataforordning, er du altid velkommen til at kontakte os.

Vi hjælper med dagligdagens juridiske udfordringer relateret til medarbejderne og forretningen. Vi assisterer jer med alt i forhold til arbejds- og ansættelsesret, persondataret samt skatteret.

Ja tak - kontakt mig ►

 2. maj 2016

Persondataforordningen er vedtaget

Efter flere års arbejde er den meget omtalte Persondataforordning nu endeligt vedtaget. Dette skete den 14. april 2016, og forordningen træder i kraft den 25. maj 2018.

Forordningen vil få direkte virkning i EU’s medlemsstater, herunder Danmark, hvilket betyder, at persondataloven, der trådte i kraft 1. juli 2000, og det bagvedliggende direktiv (95/46/EF) vil blive ophævet. Dette betyder ligeledes, at der venter Justitsministeriet et større arbejde, hvor man skal analysere, hvilke konsekvenser forordningen får for dansk lovgivning.

Forordningen vil komme til at få relativt store konsekvenser for danske arbejdsgivere, primært fordi man nu skal til at tage reglerne om persondata alvorligt. Dette skyldes, at sanktionsniveauet bliver væsentligt højere, end det er i dag. Med forordningen vil der kunne udsted bøder på til 20 mio. Euro eller 4% af en koncerns/virksomheds globale omsætning.

Herudover indfører forordningen blandt andet skærpede krav til samtykke, der indføres et krav om en såkaldt ”Data Protection Officer” (DPO) for visse virksomheder, der indføres et udtrykkeligt krav om ”retten til at blive glemt”, der indføres en underretningspligt ved databrud, og generelt pålægges en evt. databehandler selvstændige forpligtelser.

Du finder forordningen her:

EUROPA-PARLAMENTETS OG RÅDETS FORORDNING (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse)

Har I brug for rådgivning?

Vil du vide mere om, hvad Azets kan hjælpe dig med i relation til persondataloven og den kommende persondataforordning, er du altid velkommen til at kontakte os.

Vi hjælper med dagligdagens juridiske udfordringer relateret til medarbejderne og forretningen. Vi assisterer jer med alt i forhold til arbejds- og ansættelsesret, persondataret samt skatteret.

Ja tak - kontakt mig ►

 31. januar 2015

Datatilsynets minimumskrav i forbindelse med personaleadministration

Det følger af persondataloven, at en virksomhed kan behandle almindelige oplysninger, i det omfang at virksomheden skal bruge oplysningerne. En virksomhed må normalt registrere oplysninger som fx identifikationsoplysninger så som medarbejderens navn, adresse og  telefonnummer, fødselsdato, nær familie, oplysninger om uddannelse, udtalelser, tidligere beskæftigelse, nuværende stilling, arbejdsopgaver, arbejdstider og andre tjenstlige forhold, oplysninger om løn, skat, sygefravær og sygdomsperioder, oplysninger om andet fravær fra arbejdet, oplysninger om pensionsforhold, kildeskatteoplysninger og oplysninger om kontonummer, hvortil løn skal anvises.

Hvor der derimod behandles følsomme oplysninger som fx oplysninger om helbredsforhold, herunder misbrug af nydelsesmidler, alkohol m.v., oplysninger om medlemskab af en fagforening, personlighedstest, oplysninger om strafbare forhold samt andre tilsvarende rent private forhold, f.eks. om at en medarbejder er bortvist fra jobbet på grund af en grov tilsidesættelse af ansættelsesforholdet, vil man som udgangspunkt skulle anmelde behandlingen til Datatilsynet og have tilsynets tilladelse til behandlingen.

I den forbindelse har Datatilsynet udformet nedenstående specifikke minimumskrav for sikkerhed i forbindelse med personaleadministration. Fra januar 2015 indeholder Datatilsynets tilladelser til personaleadministration i den private sektor som standard vilkår om iagttagelse af disse.

Minimumskrav for sikkerhed i forbindelse med personaleadministration:

  1. Beskriv hvordan I beskytter jeres personaleoplysninger i personaleadministration og i praksis har implementeret pkt. 2-12. Beskrivelsen kan være særlige retningslinjer, der indgår i virksomhedens uddybende sikkerhedsregler, i en it-sikkerhedspolitik eller som en del af virksomhedens information til medarbejderne.
  2. Adgang til oplysningerne skal begrænses til personer, der har et sagligt behov for adgang til oplysningerne. Det skal være så få personer som muligt.
  3. Medarbejdere, der håndterer personaleoplysninger, skal have instruktion og oplæring i, hvad de må gøre med oplysningerne, og hvordan de skal beskytte oplysningerne.
  4. Personaleoplysninger på papir – f.eks. i kartoteker og ringbind – skal opbevares aflåst, når de ikke er i brug. Når dokumenter (papirer, kartotekskort mv.) med personaleoplysninger skal smides ud, skal der anvendes makulering eller anden foranstaltning, der forhindrer, at uvedkommende kan få adgang til oplysningerne.
  5. Der skal anvendes adgangskode for at få adgang til pc’er og andet elektronisk udstyr med personoplysninger. Kun de personer, der skal have adgang, må få en kode. De personer, der har adgangskode, må ikke overlade koden til andre eller lade den ligge, så andre kan se den. Kontrol af tildelte koder skal foretages mindst en gang hvert halve år.
  6. Det skal registreres, hvis der er forgæves forsøg på at få adgang til it-systemer med følsomme personaleoplysninger. Hvis der registreres et nærmere fastsat antal på hinanden følgende afviste adgangsforsøg, skal der blokeres for yderligere forsøg.
  7. Hvis personaleoplysninger lagres på en USB-nøgle, skal oplysningerne beskyttes. Der kan f.eks. bruges en USB-nøgle med adgangskode og kryptering. Ellers skal USB-nøglen opbevares i aflåst skuffe eller skab. Tilsvarende gælder ved opbevaring af personaleoplysninger på andre bærbare datamedier.
  8. PC’er koblet til internettet skal have en opdateret firewall og viruskontrol installeret.
  9. Hvis der benyttes hjemmesideformularer, hvor følsomme personaleoplysninger og personnummer kan indtastes og fremsendes, skal der anvendes kryptering.
  10. Hvis følsomme personaleoplysninger og personnummer sendes med e-mail via internettet, anbefaler Datatilsynet kryptering.
  11. I forbindelse med reparation og service af dataudstyr, der indeholder personoplysninger, og når datamedier skal sælges eller kasseres, skal der træffes de fornødne foranstaltninger, så oplysninger ikke kan komme til uvedkommendes kendskab.
  12. Ved brug af en ekstern databehandler til håndtering af oplysninger, skal persondatalovens § 42 om skriftlig databehandleraftale mv. følges. Det gælder eksempelvis, når der anvendes et eksternt dokumentarkiv eller rekrutteringssystem på internettet.

Du kan læse mere om personaleoplysninger her:

Behandling af personaleoplysninger

Du kan læse mere om anmeldelse her:

Personaleadministration (vejledning)

Har I brug for rådgivning?

Vil du vide mere om, hvad Azets kan hjælpe dig med i relation til persondataloven og den kommende persondataforordning, er du altid velkommen til at kontakte os.

Vi hjælper med dagligdagens juridiske udfordringer relateret til medarbejderne og forretningen. Vi assisterer jer med alt i forhold til arbejds- og ansættelsesret, persondataret samt skatteret.

Ja tak - kontakt mig ►