Journalnr: 2019-423-0209
Resumé
I første halvår af 2019 besluttede Datatilsynet at føre tilsyn med forskellige temaer omkring kommunernes databeskyttelsesrådgivere (også ofte kaldet DPO efter den engelske betegnelse Data Protection Officer), herunder databeskyttelsesrådgiverens opgaver, ressourcer, faglige kvalifikationer og de registreredes adgang til databeskyttelsesrådgiveren.
Den ene gruppe af tilsyn fokuserede på kommuner, som delte databeskyttelsesrådgiver med andre kommuner, herunder Albertslund Kommune, som afgørelsen nedenfor drejer sig om. Den anden gruppe af tilsyn fokuserede på kommuner, som havde tilkøbt sig ydelsen hos et advokatselskab.
Datatilsynet fandt, at kommunernes løsninger om brug af databeskyttelsesrådgivere lå inden for rammerne af databeskyttelsesforordningen.
Det er Datatilsynets opfattelse, at den dataansvarlige og databehandleren selv er nærmest til at vurdere, hvordan den praktiske del af samarbejdet med databeskyttelsesrådgiveren skal implementeres, så samarbejdet kan foregå mest effektivt og hensigtsmæssigt i organisationen. Den dataansvarlige og databehandleren kan derfor i vidt omfang selv organisere den praktiske del af samarbejdet med databeskyttelsesrådgiveren, så længe dette sker inden for rammerne af databeskyttelsesforordningens kapitel 4
Afgørelse
Albertslund Kommune var blandt de myndigheder, som Datatilsynet i 2019 havde udvalgt til tilsyn. Datatilsynets planlagte tilsyn fokuserede på databeskyttelsesrådgiverens faglige kvalifikationer, ressourcer og opgaver. Datatilsynet bemærker i den forbindelse, at databeskyttelsesrådgivere ikke er personligt ansvarlige i tilfælde af manglende overholdelse af databeskyttelsesforordningen. Ansvaret for overholdelse af databeskyttelsesreglerne – herunder reglerne vedrørende krav til databeskyttelsesrådgivere – påhviler den dataansvarlige og databehandleren (i nærværende sag, Albertslund Kommune).
Albertslund Kommune har i overensstemmelse med databeskyttelsesforordningens artikel 37, stk. 7, forinden tilsynet meddelt Datatilsynet, at en ekstern person varetager rollen som databeskyttelsesrådgiver for kommunen.
Datatilsynet har endvidere noteret sig, at den pågældende person er tilknyttet den Storkøbenhavnske Digitaliseringsforening, som er et samarbejde mellem Albertslund Kommune, Brøndby Kommune, Dragør Kommune, Glostrup Kommune, Herlev Kommune, Hvidovre Kommune, Høje-Taastrup Kommune, Ishøj Kommune, Rødovre Kommune, Solrød Kommune og Vallensbæk Kommune. Albertslund Kommunes eksterne databeskyttelsesrådgiver varetager også rollen som databeskyttelsesrådgiver for Høje-Taastrup Kommune, Hvidovre Kommune og Dragør Kommune.
Albertslund Kommune har til brug for tilsynet den 9. september 2019 fremsendt et udfyldt spørgeskema og kommunens kontrakt med databeskyttelsesrådgiveren. Endvidere har kommunen den 6. december 2019 fremsendt en supplerende udtalelse med relevante bilag.
På baggrund af de undersøgte forhold finder Datatilsynet, at Albertslund Kommunes brug af en ekstern databeskyttelsesrådgiver ligger inden for rammerne af databeskyttelsesforordningen. Datatilsynet har i den forbindelse noteret sig følgende:
- At Albertslund Kommune har udpeget en ekstern person til at varetage rollen som databeskyttelsesrådgiver, og at funktionen udøves på baggrund af en tjenesteydelseskontrakt.
- At Albertslund Kommunes databeskyttelsesrådgiver har de fornødne faglige kvalifikationer til at varetage rollen, jf. databeskyttelsesforordningens artikel 37, stk. 5.
- At Albertslund Kommune i overensstemmelse med databeskyttelsesforordningens artikel 38, stk. 1 har sikret, at databeskyttelsesrådgiveren inddrages tilstrækkeligt og rettidigt i alle spørgsmål vedrørende beskyttelse af personoplysninger.
- At Albertslund Kommune tilvejebringer de ressourcer, der er nødvendige for, at databeskyttelsesrådgiveren kan varetage de i artikel 39 nævnte opgaver, jf. databeskyttelsesforordningens artikel 38, stk. 2.
- At registrerede i Albertslund Kommune i overensstemmelse med databeskyttelsesforordningens artikel 38, stk. 4 kan kontakte databeskyttelsesrådgiverne angående alle spørgsmål om behandling af deres oplysninger og om udøvelse af deres rettigheder i henhold til databeskyttelsesforordningen.
- At Albertslund Kommunes databeskyttelsesrådgiver i overensstemmelse med artikel 39, stk. 1, litra a i fornødent omfang underretter og rådgiver Albertslund Kommune og ansatte i kommunen om deres forpligtelser i henhold til databeskyttelsesforordningen.
- At Albertslund Kommune i overensstemmelse med databeskyttelsesforordningens artikel 39, stk. 1, litra b har sikret, at databeskyttelsesrådgiverne overvåger kommunens overholdelse af de databeskyttelsesretlige regler.
Nedenfor følger en nærmere gennemgang af Datatilsynets konklusioner.
1. Databeskyttelsesrådgiverens stilling
Det fremgår af databeskyttelsesforordningens artikel 37, stk. 6, at databeskyttelsesrådgiveren kan være den dataansvarliges eller databehandlerens medarbejder eller udføre hvervet på grundlag af en tjenesteydelseskontrakt.
Dataansvarlige og databehandlere, herunder offentlige myndigheder, har således mulighed for – i stedet for at lade en intern medarbejder varetage rollen som databeskyttelsesrådgiver – at vælge at lade databeskyttelsesrådgiverens funktion udøves på grundlag af en tjenesteydelseskontrakt, som indgås med en person eller organisation uden for den dataansvarliges organisation.
Af det indsendte materiale i Datatilsynets tilsyn fremgår det, at databeskyttelsesrådgiveren bliver bistået af en kollega fra den forening, hvor hun er etableret. Denne kollega varetager rollen som databeskyttelsesrådgiver for de syv resterende kommuner i foreningen. Databeskyttelsesrådgiveren har mulighed for at sparre med denne kollega. Databeskyttelsesrådgiveren bliver endvidere bistået af en udvalgt medarbejder i kommunen.
Det er Datatilsynets opfattelse, at den dataansvarlige og databehandlere selv er nærmest til at vurdere, hvordan den praktiske del af samarbejdet med databeskyttelsesrådgiveren skal implementeres, så samarbejdet kan foregå mest effektivt og hensigtsmæssigt i organisationen. Den dataansvarlige og databehandlere kan derfor i vidt omfang selv organisere den praktiske del af samarbejdet med databeskyttelsesrådgiveren, så længe dette sker inden for rammerne af databeskyttelsesforordningens kapitel 4. Databeskyttelsesrådgiveren bør i den forbindelse spille en central rolle i at fremme en databeskyttelseskultur inden for den dataansvarliges eller databehandlerens organisation og bør som minimum bistå med implementeringen af centrale elementer i databeskyttelsesforordningen. Dette kan eksempelvis ske i form af konkret rådgivning af en udvalgt gruppe af medarbejdere i den dataansvarliges eller databehandlerens organisation, som efterfølgende selv står for den praktiske implementering under forudsætning af, at databeskyttelsesrådgiveren udøver den nødvendige kontrol med organisationens overholdelse af reglerne mv.
2. Databeskyttelsesrådgiverens ekspertise og faglige kvalifikationer
Det følger af databeskyttelsesforordningens artikel 37, stk. 5, at databeskyttelsesrådgiveren udpeges på grundlag af sine faglige kvalifikationer, navnlig ekspertise inden for databeskyttelsesret og -praksis samt evne til at udføre de opgaver, der er omhandlet i artikel 39.
Det fremgår af sagen, at databeskyttelsesrådgiveren er uddannet jurist. Databeskyttelsesrådgiveren har endvidere gennemført faget IT-sikkerhed på Copenhagen Business Academy og deltaget i kurser med fokus på databeskyttelsesret, databeskyttelsesrådgiverens rolle, teknologiforståelse og cybersikkerhed. Endvidere har databeskyttelsesrådgiveren konkret erhvervserfaring med databeskyttelsesret fra en tidligere stilling i en offentlig myndighed og har i denne stilling blandt andet forestået implementeringen af de databeskyttelsesretlige regler i den pågældende organisation
Endvidere fremgår det af sagen, at databeskyttelsesrådgiveren på tidspunktet for tilsynet var ny i sin stilling, og at den pågældende inden udpegelsen til databeskyttelsesrådgiver ikke havde et kendskab til kommunens organisation og de behandlingsaktiviteter, der udføres hos kommunen.
Datatilsynet har imidlertid i den forbindelse noteret sig det af kommunen oplyste om, at kommunen vil sikre og udvikle databeskyttelsesrådgiverens kendskab til lokale administrative regler og procedurer via et tæt samarbejde med sikkerhedskoordinatoren.
Endvidere har Datatilsynet noteret sig, at det fremgår af sagen, at databeskyttelsesrådgiveren har et generelt kendskab til administrative regler og procedurer i kommuner fra sin tidligere stilling.
Datatilsynet bemærker, at evnen til at udføre de opgaver, der påhviler databeskyttelsesrådgiveren skal ses i sammenhæng med dennes personlige kvalifikationer og viden samt dennes stilling i den dataansvarliges eller databehandlerens organisation. For så vidt angår de faglige kvalifikationer, som kræves efter databeskyttelsesforordningens artikel 37, stk. 5, bør databeskyttelsesrådgiveren foruden en indgående forståelse af de databeskyttelsesretlige regler også have kendskab til informationsteknologi og datasikkerhed samt den dataansvarliges og databehandlerens beskyttelsesbehov. Endvidere bør databeskyttelsesrådgiveren have et solidt kendskab til administrative regler og procedurer i organisationen. Kravene til databeskyttelsesrådgiverens faglige kvalifikationer skal således ses i sammenhæng med, at databeskyttelsesrådgiveren skal evne at kunne fremme en databeskyttelseskultur inden for organisationen[1].
På baggrund af sagens oplysninger er det Datatilsynets vurdering, at kommunens eksterne databeskyttelsesrådgiver har de fornødne faglige kvalifikationer til at varetage rollen som databeskyttelsesrådgiver for kommunen, og at kommunen dermed efterlever kravet i databeskyttelsesforordningens artikel 37, stk. 5.
Datatilsynet har i den forbindelse lagt vægt på, at databeskyttelsesrådgiveren har relevante uddannelses- og erhvervsmæssige erfaringer med det databeskyttelsesretlige og informationsteknologiske område, at kommunen – idet databeskyttelsesrådgiveren forinden tiltrædelsen ikke havde kendskab til kommunens organisation, administrative regler, procedurer og de behandlingsaktiviteter, der udføres hos kommunen – havde påtænkt at udvikle dette kendskab, og at databeskyttelsesrådgiveren generelt – forinden tiltrædelsen og fra en tidligere stilling – havde et kendskab til de administrative regler og procedurer, der er kendetegnene for kommuner.
3. Inddragelse af databeskyttelsesrådgiveren
Databeskyttelsesforordningens artikel 38, stk. 1, stiller krav om, at den dataansvarlige og databehandleren sikrer, at databeskyttelsesrådgiveren inddrages tilstrækkeligt og rettidigt i alle spørgsmål vedrørende beskyttelse af personoplysninger.
Det fremgår af sagen, at kommunen har sikret databeskyttelsesrådgiverens inddragelse ved løbende at indkalde databeskyttelsesrådgiveren til møder med kommunen om databeskyttelsesretlige forhold.
Kommunen har endvidere henvist til en intern vejledning om inddragelse af databeskyttelsesrådgiveren i kommunen, hvoraf det fremgår, at kommunen har pligt til rettidigt og i tilstrækkeligt omfang at inddrage databeskyttelsesrådgiveren, således at kommunen kan tage højde for databeskyttelsesrådgiverens rådgivning eller anbefalinger i forbindelse med kommunens beslutninger. Kommunen skal som led heri inddrage databeskyttelsesrådgiveren i kommunens overvejelser om, hvorvidt påtænkte behandlinger har en behandlingshjemmel og efterlever grundlæggende behandlingsprincipper. Kommunen har endvidere pligt til at inddrage databeskyttelsesrådgiveren i kommunens vurderinger og overvejelser i relation til de registreredes rettigheder.
Herudover har kommunen oplyst, at databeskyttelsesrådgiveren skal inddrages i kommunens vurderinger og overvejelser om overholdelsen af pligterne med hensyn til gennemførelse af fornødne sikkerhedsforanstaltninger, indgåelse af databehandleraftaler, udarbejdelse af behandlingsfortegnelser og konsekvensanalyser samt håndtering af brud på persondatasikkerheden.
Ifølge kommunen løses opgaverne bl.a. via konkret rådgivning, vejledning og overvågning ved møder og tilstedeværelse i kommunen.
Det er Datatilsynets opfattelse, at databeskyttelsesrådgiveren skal inddrages i alle de overvejelser og vurderinger, som det forudsættes, at den dataansvarlige eller databehandleren har gjort sig og foretaget med henblik på at overholde de databeskyttelsesretlige regler. Dette indebærer blandt andet, at databeskyttelsesrådgiveren bør inddrages i overvejelser vedrørende efterlevelsen af de registreredes rettigheder og fastlæggelse af passende sikkerhedsforanstaltninger. Databeskyttelsesrådgiveren skal inddrages i så god tid, som det er muligt og relevant, forud for iværksættelse af behandlingsaktiviteter.
Efter en gennemgang af sagens oplysninger er det Datatilsynets vurdering, at databeskyttelsesrådgiveren inddrages tilstrækkeligt og rettidigt i alle spørgsmål vedrørende databeskyttelse.
Datatilsynet har i den forbindelse lagt vægt på, at kommunen har nedskrevne interne retningslinjer, hvoraf det fremgår, at databeskyttelsesrådgiveren løbende gennem møder og tilstedeværelse i kommunen skal inddrages i en række konkrete tilfælde, eksempelvis ved spørgsmål om hvorvidt påtænkte behandlingsaktiviteter har en behandlingshjemmel og efterlever grundlæggende behandlingsprincipper.
Datatilsynet finder på baggrund af ovenstående, at kommunen overholder kravet i databeskyttelsesforordningens artikel 38, stk. 1.
4. Databeskyttelsesrådgiverens ressourcer
Af databeskyttelsesforordningens artikel 38, stk. 2, fremgår det, at den dataansvarlige og databehandleren støtter databeskyttelsesrådgiveren i forbindelse med udførelsen af de i artikel 39 nævnte opgaver ved at tilvejebringe de ressourcer, der er nødvendige for at udføre disse opgaver og opretholde databeskyttelsesrådgiverens ekspertise, samt adgang til personoplysninger og behandlingsaktiviteter.
Bestemmelsen indebærer, at den dataansvarlige og databehandleren skal stille de fornødne
faciliteter og arbejdsredskaber, økonomiske ressourcer, personaleressourcer og lignende til rådighed for databeskyttelsesrådgiveren. Databeskyttelsesrådgiveren skal endvidere have tid nok til opgaverne. Har databeskyttelsesrådgiveren også andre opgaver og forpligtelser, må disse opgaver således ikke gå ud over den tid, det kræves for at udføre opgaverne som databeskyttelsesrådgiver.
Den nærmere fastlæggelse af, hvor mange ressourcer der kræves, afhænger af de organisatoriske forhold hos den dataansvarlige og databehandleren, herunder størrelsen af den dataansvarliges eller databehandlerens organisation, antallet af behandlingsaktiviteter, omfanget af de enkelte behandlingsaktiviteter, herunder antallet af registrerede og kategorierne af oplysninger, samt kompleksiteten af og de forbundne risici med disse behandlingsaktiviteter.
Det fremgår af sagen, at databeskyttelsesrådgiveren har adgang til ressourcer inden for områderne HR, jura og it samt generel adgang til personoplysninger og behandlingsaktiviteter i kommunen. Databeskyttelsesrådgiveren har endvidere mulighed for at blive bistået af en medarbejder i kommunen til løsning af opgaver, hvor der eksempelvis er behov for et gennemgående kendskab til organiseringen. De nødvendige ressourcer afsættes gennem sparring med databeskyttelsesrådgiveren, og kommunen vurderer med jævne mellemrum, hvorvidt databeskyttelsesrådgiveren har de fornødne ressourcer.
Efter en gennemgang af sagens oplysninger finder Datatilsynet, at Albertslund Kommune overholder kravet i databeskyttelsesforordningens artikel 38, stk. 2.
Datatilsynet har herved lagt vægt på, at de oplyste ressourcer er egnede til at støtte databeskyttelsesrådgiveren i sit arbejde, at databeskyttelsesrådgiveren har mulighed for at sparre med personale i kommunen i forbindelse med udførelsen af arbejde, og at kommunen løbende vurderer, hvorvidt databeskyttelsesrådgiveren har de fornødne ressourcer.
Datatilsynet har endvidere lagt vægt på, at de fire kommuner – som databeskyttelsesrådgiveren udfører rollen hos – indgår i den Storkøbenhavnske Digitaliseringsforening, og at de opgaver, som databeskyttelsesrådgiveren udfører for kommunerne, dermed må antages at have en betydelig sammenlignelighed. Databeskyttelsesrådgiveren må hermed antages i et ikke ubetydeligt omfang at have mulighed for – ved udførelsen af opgaven i én samarbejdskommune – at drage på sin erfaring fra udførelsen af en tilsvarende opgave i en anden samarbejdskommune.
På den baggrund kan Datatilsynet i nærværende sag ikke udelukke, at kommunerne og databeskyttelsesrådgiveren har organiseret sig på en måde, hvorved databeskyttelsesrådgiverne har tid nok til rådighed for at udføre dennes opgaver i de enkelte samarbejdskommuner.
Uanset at databeskyttelsesrådgiveren således varetager rollen i flere forskellige kommuner, er det således Datatilsynets vurdering, at databeskyttelsesrådgiveren får stillet fornødne ressourcer til rådighed og i øvrigt har tilstrækkelig tid til at udføre dennes arbejde hos den enkelte kommune, jf. databeskyttelsesforordningens artikel 38, stk. 2.
5. Registreredes kontakt til databeskyttelsesrådgiveren
Databeskyttelsesforordningens artikel 38, stk. 4, stiller krav om, at registrerede kan kontakte databeskyttelsesrådgiveren angående alle spørgsmål om behandling af deres oplysninger og om udøvelse af deres rettigheder i henhold til databeskyttelsesforordningen.
Det fremgår af sagen, at kommunen har bekræftet, at registrerede konkret har mulighed for at kontakte databeskyttelsesrådgiveren angående alle spørgsmål om behandling af deres oplysninger og om udøvelse af deres rettigheder i henhold til databeskyttelsesforordningen. Kontakten sker via e-mail og telefon. Den registrerede vil som udgangspunkt få besvaret sin henvendelse samme dag eller dagen efter.
I tilfælde af eventuelle spidsbelastningssituationer, hvor mange registrerede ønsker at komme i kontakt med databeskyttelsesrådgiveren, har kommunen oplyst, at der i disse situationer træffes en konkret aftale med databeskyttelsesrådgiveren om mulighederne for at kontakte hende.
Det er Datatilsynets opfattelse, at kommunen bør etablere et set-up i det omfang, at kommunen ikke allerede har gjort det, til at aflaste databeskyttelsesrådgiveren i spidsbelastningsperioder. Det kan f.eks. ske ved at lade fagrelevant personale bistå databeskyttelsesrådgiveren, med henblik på at de registrerede kan blive vejledt inden for rimelig tid.
På baggrund af sagens oplysninger om den registreredes kontakt til databeskyttelsesrådgiveren, kan Datatilsynet konstatere, at det er muligt for registrerede i kommunen af kontakte databeskyttelsesrådgiverne i overensstemmelse med databeskyttelsesforordningens artikel 38, stk. 4.
6. Underretning og rådgivning af kommunen og kommunens ansatte
Det følger af databeskyttelsesforordningens artikel 39, stk. 1, litra a, at databeskyttelsesrådgiveren har til opgave at underrette og rådgive den dataansvarlige eller databehandleren og de ansatte, der behandler personoplysninger, om deres forpligtelser i henhold til databeskyttelsesforordningen og anden EU-ret eller national ret i medlemsstaterne om databeskyttelse. Databeskyttelsesrådgiveren skal i forbindelse hermed tage behørigt hensyn til den risiko, der er forbundet med behandlingsaktiviteter, under hensyntagen til den pågældende behandlings karakter, omfang, sammenhæng og formål, jf. artikel 39, stk. 2.
Databeskyttelsesforordningens artikel 39, stk. 1, litra a skal ses i sammenhæng med artikel 38, stk. 1, hvorefter den dataansvarlige sikrer, at databeskyttelsesrådgiveren inddrages tilstrækkeligt og rettidigt i alle spørgsmål vedrørende beskyttelse af personoplysninger.
Artikel 39, stk. 1, litra a indebærer efter Datatilsynets opfattelse, at databeskyttelsesrådgiveren i fornødent omfang skal stå til rådighed for organisationen og organisationens medarbejdere for at kunne yde den fornødne rådgivning. Det er dermed påkrævet, at databeskyttelsesrådgiveren er tilgængelig for organisationen og medarbejderne.
For så vidt angår databeskyttelsesrådgivere, der varetager rollen for flere forskellige organisationer, bør der særligt tages højde for, at databeskyttelsesrådgiveren er i stand til at stå til rådighed for den enkelte organisation til trods for udpegelsen for flere organisationer.
Datatilsynet har som led i dette tilsyn derfor også haft særlig fokus på, om databeskyttelsesrådgiveren i fornødent omfang er tilgængelig for kommunens medarbejdere og kommunen, og om databeskyttelsesrådgiveren i fornødent omfang bistår kommunen med implementering af centrale elementer i databeskyttelsesforordningen
Kommunen har bekræftet, at databeskyttelsesrådgiveren generelt står til rådighed for kommunens medarbejdere, når der opstår spørgsmål i relation til behandling af personoplysninger, og at alle medarbejdere kan kontakte databeskyttelsesrådgiveren direkte for at få afklaret spørgsmål vedrørende databeskyttelsesret.
På baggrund af sagens oplysninger lægger Datatilsynet herudover til grund, at databeskyttelsesrådgiveren – med afsæt i kommunens inddragelse af databeskyttelsesrådgiveren i overensstemmelse med artikel 38, stk. 1 – rådgiver kommunen om efterlevelse af de databeskyttelsesretlige regler, blandt andet i forbindelse med de møder der løbende afholdes mellem databeskyttelsesrådgiveren og kommunen, hvor databeskyttelsesrådgiveren har mulighed for at komme med input om databeskyttelsesretlige problemstillinger.
Endvidere lægger Datatilsynet på baggrund af sagens oplysninger til grund, at databeskyttelsesrådgiveren i et vis omfang bidrager til udarbejdelsen af oplysningskampagner og uddannelse af personale, der medvirker ved behandlingsaktiviteter, men at kommunen selv varetager den primære rolle for denne opgave.
Det er Datatilsynets opfattelse, at dataansvarlige og databehandlere selv er nærmest til at vurdere, hvordan samarbejdet med databeskyttelsesrådgiveren kan implementeres mest hensigtsmæssigt i organisationen. Det er herunder muligt og i visse tilfælde en fordel at lade medarbejdere bistå databeskyttelsesrådgiveren. Der kan i relation til medarbejderhenvendelser eksempelvis være tilfælde, hvor det af organisatoriske hensyn kan være en fordel at lade personale – som i øvrigt assisterer databeskyttelsesrådgiveren – bistå databeskyttelsesrådgiveren, hvis de pågældende medarbejdere er kvalificerede hertil. Der skal dog være en reel mulighed for, at medarbejdere kan kontakte databeskyttelsesrådgiveren, når situationen påkræver det. Datatilsynet har i den forbindelse noteret sig, at kommunen har vurderet, at informationssikkerhedskoordinatoren er en fagrelevant medarbejder, og tilsynet ser ikke grundlag for at tilsidesætte denne vurdering. Datatilsynet har endvidere noteret sig, at medarbejderne reelt har mulighed for at rette henvendelse til databeskyttelsesrådgiverne, når situationen påkræver det.
Endvidere er det Datatilsynets opfattelse, at databeskyttelsesrådgiveren spiller en central rolle i at fremme en databeskyttelseskultur inden for den dataansvarliges og databehandlerens organisation, men at det alene er et krav, at databeskyttelsesrådgiveren bistår med implementeringen af centrale elementer i databeskyttelsesforordningen. Den konkrete og praktiske opgave i forbindelse med implementering af initiativerne kan således uddelegeres til personale, der er kvalificeret hertil. Datatilsynet skal i den forbindelse understrege, at den dataansvarlige og databehandleren selv er nærmest til at vurdere, hvordan den praktiske del af samarbejdet med databeskyttelsesrådgiveren kan foregå mest effektivt og hensigtsmæssigt i organisationen. Den dataansvarlige og databehandlere kan derfor i vidt omfang selv organisere den praktiske del af samarbejdet med deres databeskyttelsesrådgiver, så længe dette sker inden for rammerne af databeskyttelsesforordningens kapitel 4. Organisationen kan herunder eksempelvis vælge at lade databeskyttelsesrådgiveren uddanne udvalgte og relevante medarbejdere i organisationen med henblik på at disse medarbejdere videreformidler uddannelsens indhold til de øvrige medarbejdere i organisationen og foretager den praktiske udarbejdelse af vejledninger mv.
På baggrund af ovenstående er det Datatilsynets vurdering, at Albertslund Kommune overholder kravet i databeskyttelsesforordningens artikel 39, stk. 1, litra a.
7. Overvågning af overholdelse af de databeskyttelsesretlige regler
Det følger af databeskyttelsesforordningens artikel 39, stk. 1, litra b, at databeskyttelsesrådgiveren har til opgave at overvåge overholdelsen af databeskyttelsesforordningen, af anden EU-ret eller national ret i medlemsstaterne om databeskyttelse og af den dataansvarliges eller databehandlerens politikker om beskyttelse af personoplysninger, herunder fordeling af ansvar, oplysningskampagner og uddannelse af det personale, der medvirker ved behandlingsaktiviteter, og de tilhørende revisioner. Databeskyttelsesrådgiveren skal i forbindelse hermed tage behørigt hensyn til den risiko, der er forbundet med behandlingsaktiviteter, under hensyntagen til den pågældende behandlings karakter, omfang, sammenhæng og formål jf. artikel 39, stk. 2.
Datatilsynet bemærker, at som en del af disse opgaver med at overvåge overholdelsen af de databeskyttelsesretlige regler skal databeskyttelsesrådgiveren navnlig indsamle oplysninger, der identificerer databehandlingsaktiviteter, analysere og kontrollere databehandlingsaktiviteternes overholdelse af bestemmelserne og informere, rådgive og rette henstillinger til den dataansvarlige eller databehandleren[2].
7.1.
Det fremgår af sagen, at databeskyttelsesrådgiveren udfører tre planlagte kontroller om året. Databeskyttelsesrådgiveren fører endvidere kontrol ved udarbejdelse af ”modenhedsmålinger” i forbindelse med drift og implementering af de databeskyttelsesretlige regler i kommunen og selvejende institutioner. Databeskyttelsesrådgiveren foretager i øvrigt ad-hoc kontroller i form af tilsyn, som iværksættes som følge af konkret viden.
De tre planlagte årlige kontroller udvælges blandt andet på baggrund af resultaterne fra modenhedsmålingerne, risici for de registrerede og eventuelle resultater fra tidligere audits, herunder Datatilsynets fokusområder og tilsynspraksis.
Modenhedsmålingen har tidligere – og af den forhenværende databeskyttelsesrådgiver, som også var tilknyttet den Storkøbenhavnske Digitaliseringsforening – været gennemført ved at interviewe udvalgte medarbejdere i kommunen, hvor databeskyttelsesrådgiveren har indsamlet data om status vedrørende implementering og drift af databeskyttelse i kommunen. Databeskyttelsesrådgiveren har på baggrund af interviewet udarbejdet en rapport til kommunen med konklusion, anbefalinger og resultater.
Databeskyttelsesrådgiveren har endvidere udarbejdet en ny ”modenhedsmålingsmodel”, hvor databeskyttelsesrådgiveren ud fra spørgeskemaundersøgelser af udvalgte medarbejdere fra kommunen, kontrollerer kommunens overholdelse af de databeskyttelsesretlige regler. Kontrollen er udført i september 2019 og består af en vurdering af kommunens overholdelse af reglerne ud fra 40 kriterier. Kriterierne vedrører hovedsageligt krav direkte efter databeskyttelsesforordningen samt andre forhold af væsentlig betydning for implementering og drift af de databeskyttelsesretlige regler.
Målingen består af en række spørgsmål fordelt på enkelte databeskyttelsesretlige områder, hvor den pågældende medarbejder – ud fra en række forskellige valgmuligheder – skal besvare, i hvilket omfang kommunen efterlever områderne. Medarbejderen skal således, eksempelvis i forhold til opbevaringsbegrænsning, ud fra 5 valgmuligheder angive i hvilket omfang, der er en procedure i fagområdet, der sikrer, at personoplysninger ikke opbevares i længere tid end nødvendigt for opfyldelse af det formål, som oplysningerne i første omfang blev indsamlet til.
Kontrollen udmøntes i en rapport, som indeholder resultaterne af kontrollen, et ledelsesresume og anbefalinger til kommunen. Databeskyttelsesrådgiveren sender i første omgang en foreløbig rapport til den sikkerhedsansvarlige i kommunen, hvorefter databeskyttelsesrådgiveren og kommunen afholder et møde for at drøfte målingens resultater, hvor kommunen endvidere redegør for påtænkt handling i anledning af resultaterne og databeskyttelsesrådgiverens anbefalinger. Den endelige rapport vil herefter blive sendt til kommunaldirektøren samt til den sikkerhedsansvarlige i kommunen.
Det fremgår af sagen, at ”modenhedsmålingerne” som minimum foretages en gang om året i de afdelinger i kommunen, som har ansvaret for de mål, rammer og foranstaltninger, som omfattes af databeskyttelsesforordningen, herunder i kommunens fagcentre, som har det daglige ansvar for overholdelse af bestemmelserne i databeskyttelsesforordningen. Målingen foretages endvidere en gang årligt af selvejende institutioner, råd, nævn og udvalg.
I forhold til udførte ikke-planlagte kontroller fremgår det af sagen, at databeskyttelsesrådgiveren på baggrund af konkret viden eksempelvis fra klagesager eller resultater fra modenhedsmålinger kan foretage ad hoc tilsyn, hvis databeskyttelsesrådgiveren skønner, at dette er nødvendigt.
For så vidt angår databeskyttelsesrådgiverens reaktion i tilfælde af konstateret manglende overholdelse af de databeskyttelsesretlige regler, har kommunen anført, at databeskyttelsesrådgiveren i disse tilfælde vil underrette de ansvarlige i kommunen (direktionen) og kommunalbestyrelsen.
7.2.
Datatilsynet finder, at kravet til at overvåge overholdelsen af de databeskyttelsesretlige regler i artikel 39, stk. 1, litra b skal ses i sammenhæng med, at databeskyttelsesrådgiveren skal have kendskab til de behandlingsaktiviteter, der foregår i organisationen. Databeskyttelsesrådgiveren kan herved underrette den dataansvarlige eller databehandleren i tilfælde af, at databeskyttelsesrådgiveren konstaterer en manglende overholdelse af reglerne med henblik på, at fejlen bliver rettet. Databeskyttelsesrådgiveren kan blandt andet sikre et sådant varigt kendskab og overblik over den dataansvarliges eller databehandlerens organisation ved jævnlige møder, kvalitetskontroller af retningslinjer og standardskabeloner, afrapportering, stikprøvekontroller mv.
Det er samtidig Datatilsynets opfattelse, at databeskyttelsesrådgiverens kontakt med de registrerede og vejledning generelt understøtter databeskyttelsesrådgiverens opgave med at overvåge overholdelsen af de databeskyttelsesretlige regler, jf. artikel 39, stk. 1, litra b. Ved kontakten med de registrerede kan databeskyttelsesrådgiveren blive gjort opmærksom på behandlinger, der ikke overholder reglerne, eller procedurer, der ikke fungerer efter hensigten.
Det er ligeledes Datatilsynets opfattelse, at den kontrol, som databeskyttelsesrådgiveren skal foretage af den dataansvarlige eller databehandleren i medfør af databeskyttelsesforordningens artikel 39, stk. 1, litra b, afhænger af den internt valgte organisering af databeskyttelsesrådgiverens opgaver. Hvis organisationen i højere grad overlader den konkrete udførelse af opgaver til andre medarbejdere end databeskyttelsesrådgiveren, er det Datatilsynets opfattelse, at databeskyttelsesrådgiveren som udgangspunkt bør føre en højere grad af kontrol med, hvordan disse opgaver bliver udformet, og om det sker i overensstemmelse med de databeskyttelsesretlige regler.
Efter en gennemgang af det af kommunen oplyste, er det Datatilsynets vurdering, at kommunens databeskyttelsesrådgiver i fornødent omfang foretager den nødvendige kontrol af kommunens behandlingsaktiviteter i overensstemmelse med databeskyttelsesforordningens artikel 39, stk. 1, litra b.
Datatilsynet har i den forbindelse lagt vægt på det oplyste om, at databeskyttelsesrådgiveren forestår rådgivningen af de registrerede, og herigennem får kendskab til en eventuel manglende efterlevelse af reglerne, og at databeskyttelsesrådgiverne ved håndtering af medarbejderhenvendelser også har mulighed for at blive gjort bekendt med kommunens manglende overholdelse af de databeskyttelsesretlige regler. Datatilsynet har endvidere lagt vægt på det oplyste om databeskyttelsesrådgiverens planlagte og ikke-planlagte kontroller.
8. Konklusion
På baggrund af de undersøgte forhold finder Datatilsynet, at Albertslund Kommunes brug af
en ekstern databeskyttelsesrådgiver ligger inden for rammerne af databeskyttelsesforordningen. Datatilsynet har i den forbindelse noteret sig følgende:
1. At Albertslund Kommune har udpeget en ekstern person til at varetage rollen som databeskyttelsesrådgiver, og at funktionen udøves på baggrund af en tjenesteydelseskontrakt.
2. At Albertslund Kommunes databeskyttelsesrådgiver har de fornødne faglige kvalifikationer til at varetage rollen, jf. databeskyttelsesforordningens artikel 37, stk. 5.
3. At Albertslund Kommune i overensstemmelse med databeskyttelsesforordningens artikel 38, stk. 1, har sikret, at databeskyttelsesrådgiveren inddrages tilstrækkeligt og rettidigt i alle spørgsmål vedrørende beskyttelse af personoplysninger.
4. At Albertslund Kommune tilvejebringer de ressourcer, der er nødvendige for, at databeskyttelsesrådgiveren kan varetage de i artikel 39 nævnte opgaver, jf. databeskyttelsesforordningens artikel 38, stk. 2.
5. At registrerede i Albertslund Kommune i overensstemmelse med databeskyttelsesforordningens artikel 38, stk. 4 kan kontakte databeskyttelsesrådgiverne angående alle spørgsmål om behandling af deres oplysninger og om udøvelse af deres rettigheder i henhold til databeskyttelsesforordningen.
6. At Albertslund Kommunes databeskyttelsesrådgiver i overensstemmelse med artikel 39, stk. 1, litra a i fornødent omfang underretter og rådgiver Albertslund Kommune og ansatte i kommunen om deres forpligtelser i henhold til databeskyttelsesforordningen.
7. At Albertslund Kommune i overensstemmelse med databeskyttelsesforordningens artikel 39, stk. 1, litra b har sikret, at databeskyttelsesrådgiverne overvåger kommunens overholdelse af de databeskyttelsesretlige regler.
[1] Artikel 29-gruppens retningslinjer for databeskyttelsesrådgivere, vedtaget den 13. december 2016, senest revideret og vedtaget den 5. april 2017, s. 12 og 24.
[2] Artikel 29-gruppens retningslinjer for databeskyttelsesrådgivere, vedtaget den 13. december 2016, senest revideret og vedtaget den 5. april 2017, s. 18
Bilag: Relevante retsregler i databeskyttelsesforordningens kapitel 4
Artikel 37
Udpegelse af en databeskyttelsesrådgiver
1. Den dataansvarlige og databehandleren udpeger altid en databeskyttelsesrådgiver, når:
a) behandling foretages af en offentlig myndighed eller et offentligt organ, undtagen domstole, der handler i deres egenskab af domstol
b) den dataansvarliges eller databehandlerens kerneaktiviteter består af behandlingsaktiviteter, der i medfør af deres karakter, omfang og/eller formål kræver regelmæssig og systematisk overvågning af registrerede i stort omfang, eller
c) den dataansvarliges eller databehandlerens kerneaktiviteter består af behandling i stort omfang af særlige kategorier af oplysninger, jf. artikel 9, og personoplysninger vedrørende straffedomme og lovovertrædelser, jf. artikel 10.
2. En koncern kan udnævne en fælles databeskyttelsesrådgiver, forudsat at alle etableringer har let adgang til databeskyttelsesrådgiveren.
3. Hvis den dataansvarlige eller databehandleren er en offentlig myndighed eller et offentligt organ, kan en fælles databeskyttelsesrådgiver udpeges for flere af sådanne myndigheder eller organer i overensstemmelse med deres organisatoriske struktur og størrelse.
4. I andre tilfælde end de i stk. 1 omhandlede kan eller, når det kræves i henhold til EU-retten eller medlemsstaternes nationale ret, skal den dataansvarlige eller databehandleren eller sammenslutninger og andre organer, som repræsenterer kategorier af dataansvarlige eller databehandlere, udpege en databeskyttelsesrådgiver. Databeskyttelsesrådgiveren kan handle på vegne af sådanne sammenslutninger og andre organer, som repræsenterer dataansvarlige eller databehandlere.
5. Databeskyttelsesrådgiveren udpeges på grundlag af sine faglige kvalifikationer, navnlig ekspertise inden for databeskyttelsesret og -praksis samt evne til at udføre de opgaver, der er omhandlet i artikel 39.
6. Databeskyttelsesrådgiveren kan være den dataansvarliges eller databehandlerens medarbejder eller kan udføre hvervet på grundlag af en tjenesteydelseskontrakt.
7. Den dataansvarlige eller databehandleren offentliggør kontaktoplysninger for databeskyttelsesrådgiveren og meddeler disse til tilsynsmyndigheden.
Artikel 38
Databeskyttelsesrådgiverens stilling
1. Den dataansvarlige og databehandleren sikrer, at databeskyttelsesrådgiveren inddrages tilstrækkeligt og rettidigt i alle spørgsmål vedrørende beskyttelse af personoplysninger.
2. Den dataansvarlige og databehandleren støtter databeskyttelsesrådgiveren i forbindelse med udførelsen af de i artikel 39 omhandlede opgaver ved at tilvejebringe de ressourcer, der er nødvendige for at udføre disse opgaver og opretholde databeskyttelsesrådgiverens ekspertise, samt adgang til personoplysninger og behandlingsaktiviteter.
3. Den dataansvarlige og databehandleren sikrer, at databeskyttelsesrådgiveren ikke modtager instrukser vedrørende udførelsen af disse opgaver. Den pågældende må ikke afskediges eller straffes af den dataansvarlige eller databehandleren for at udføre sine opgaver. Databeskyttelsesrådgiveren rapporterer direkte til det øverste ledelsesniveau hos den dataansvarlige eller databehandleren.
4. Registrerede kan kontakte databeskyttelsesrådgiveren angående alle spørgsmål om behandling af deres oplysninger og om udøvelse af deres rettigheder i henhold til denne forordning.
5. Databeskyttelsesrådgiveren er underlagt tavshedspligt eller fortrolighed vedrørende udførelsen af sine opgaver i overensstemmelse med EU-retten eller medlemsstaternes nationale ret.
6. Databeskyttelsesrådgiveren kan udføre andre opgaver og have andre pligter. Den dataansvarlige eller databehandleren sikrer, at sådanne opgaver og pligter ikke medfører en interessekonflikt.
Artikel 39
Databeskyttelsesrådgiverens opgaver
1. Databeskyttelsesrådgiveren har som minimum følgende opgaver:
a) at underrette og rådgive den dataansvarlige eller databehandleren og de ansatte, der behandler personoplysninger, om deres forpligtelser i henhold til denne forordning og anden EU-ret eller national ret i medlemsstaterne om databeskyttelse
b) at overvåge overholdelsen af denne forordning, af anden EU-ret eller national ret i medlemsstaterne om databeskyttelse og af den dataansvarliges eller databehandlerens politikker om beskyttelse af personoplysninger, herunder fordeling af ansvar, oplysningskampagner og uddannelse af det personale, der medvirker ved behandlingsaktiviteter, og de tilhørende revisioner
c) at rådgive, når der anmodes herom, med hensyn til konsekvensanalysen vedrørende databeskyttelse og overvåge dens opfyldelse i henhold til artikel 35
d) at samarbejde med tilsynsmyndigheden
e) at fungere som tilsynsmyndighedens kontaktpunkt i spørgsmål vedrørende behandling, herunder den forudgående høring, der er omhandlet i artikel 36, og at høre tilsynsmyndigheden, når det er hensigtsmæssigt, om eventuelle andre spørgsmål.
2. Databeskyttelsesrådgiveren tager under udførelsen af sine opgaver behørigt hensyn til den risiko, der er forbundet med behandlingsaktiviteter, under hensyntagen til den pågældende behandlings karakter, omfang, sammenhæng og formål.