Tilsyn med databeskyttelsesrådgiverens opgavevaretagelse i Fredensborg Kommune

Dato: 17-03-2021

På baggrund af de undersøgte forhold finder Datatilsynet, at Fredensborg Kommunes brug af eksterne databeskyttelsesrådgivere ligger inden for rammerne af databeskyttelsesforordningen.

Journalnr: 2019-423-0219 

Resumé

I første halvår af 2019 besluttede Datatilsynet at føre tilsyn med forskellige temaer omkring kommunernes databeskyttelsesrådgivere (også ofte kaldet DPO efter den engelske betegnelse Data Protection Officer), herunder databeskyttelsesrådgiverens opgaver, ressourcer, faglige kvalifikationer og de registreredes adgang til databeskyttelsesrådgiveren.

Den ene gruppe af tilsyn fokuserede på kommuner, som delte databeskyttelsesrådgiver med andre kommuner, herunder Fredensborg Kommune, som afgørelsen nedenfor drejer sig om. Den anden gruppe af tilsyn fokuserede på kommuner, som havde tilkøbt sig ydelsen hos et advokatselskab.

Datatilsynet fandt, at kommunernes løsninger om brug af databeskyttelsesrådgivere lå inden for rammerne af databeskyttelsesforordningen.

Det er Datatilsynets opfattelse, at den dataansvarlige og databehandleren selv er nærmest til at vurdere, hvordan den praktiske del af samarbejdet med databeskyttelsesrådgiveren skal implementeres, så samarbejdet kan foregå mest effektivt og hensigtsmæssigt i organisationen. Den dataansvarlige og databehandleren kan derfor i vidt omfang selv organisere den praktiske del af samarbejdet med databeskyttelsesrådgiveren, så længe dette sker inden for rammerne af databeskyttelsesforordningens kapitel 4.

Afgørelse

Fredensborg Kommune var blandt de myndigheder, som Datatilsynet i 2019 havde udvalgt til tilsyn. Datatilsynets planlagte tilsyn fokuserede på databeskyttelsesrådgiverens faglige kvalifikationer, ressourcer og opgaver. Datatilsynet bemærker i den forbindelse, at databeskyttelsesrådgivere ikke er personligt ansvarlige i tilfælde af manglende overholdelse af databeskyttelsesforordningen. Ansvaret for overholdelse af databeskyttelsesreglerne – herunder reglerne vedrørende krav til databeskyttelsesrådgivere – påhviler den dataansvarlige og databehandleren (i nærværende sag, Fredensborg Kommune).

I overensstemmelse med forpligtelsen i databeskyttelsesforordningens artikel 37, stk. 7, har Fredensborg Kommune forinden tilsynet meddelt Datatilsynet, at to eksterne personer varetager rollen som databeskyttelsesrådgiver for kommunen.

Datatilsynet har noteret sig, at de to personer er tilknyttet kommunen som databeskyttelsesrådgivere på individuelle ansættelseskontrakter. Datatilsynet har endvidere noteret sig, at de to personer er tilknyttet det Nordsjællandske Digitaliseringssamarbejde, der er et samarbejde mellem Fredensborg Kommune, Gribskov Kommune, Frederikksund Kommune, Helsingør Kommune, Hillerød Kommune, Hørsholm Kommune og Halsnæs Kommune, og at de to personer i øvrigt agerer som databeskyttelsesrådgivere for alle de pågældende kommuner.

Fredensborg Kommune har til brug for tilsynet den 28. juni 2019 fremsendt et udfyldt spørgeskema og kommunens kontrakt med de to personer. Endvidere har kommunen den 12. november 2019 fremsendt en supplerende udtalelse med bilag til Datatilsynet.

På baggrund af de undersøgte forhold finder Datatilsynet, at Fredensborg Kommunes brug af eksterne databeskyttelsesrådgivere ligger inden for rammerne af databeskyttelsesforordningen. Datatilsynet har i den forbindelse noteret sig følgende:

  1. At Fredensborg Kommune har udpeget to eksterne databeskyttelsesrådgivere til at varetage rollen, og at deres funktion udøves på grundlag af en tjenesteydelseskontrakt.
  2. At Fredensborg Kommunes databeskyttelsesrådgivere har de fornødne faglige kvalifikationer til at varetage rollen, jf. databeskyttelsesforordningens artikel 37, stk. 5.
  3. At Fredensborg Kommune i overensstemmelse med databeskyttelsesforordningens artikel 38, stk. 1, har sikret, at databeskyttelsesrådgiverne inddrages tilstrækkeligt og rettidigt i alle spørgsmål vedrørende beskyttelse af personoplysninger.
  4. At Fredensborg Kommune tilvejebringer de ressourcer, der er nødvendige for, at databeskyttelsesrådgiverne kan varetage de i artikel 39 nævnte opgaver, jf. databeskyttelsesforordningens artikel 38, stk. 2.
  5. At registrerede i Fredensborg Kommune i overensstemmelse med databeskyttelsesforordningens artikel 38, stk. 4 kan kontakte databeskyttelsesrådgiverne angående alle spørgsmål om behandling af deres oplysninger og om udøvelse af deres rettigheder i henhold til databeskyttelsesforordningen.
  6. At Fredensborg Kommunes databeskyttelsesrådgivere i overensstemmelse med artikel 39, stk. 1, litra a, i fornødent omfang underretter og rådgiver Fredensborg Kommune og ansatte i kommunen om deres forpligtelser i henhold til databeskyttelsesforordningen.
  7. At Fredensborg Kommune i overensstemmelse med databeskyttelsesforordningens artikel 39, stk. 1, litra b, har sikret, at databeskyttelsesrådgiverne overvåger kommunens overholdelse af de databeskyttelsesretlige regler. 

Nedenfor følger en nærmere gennemgang af Datatilsynets konklusioner.

1. Databeskyttelsesrådgiverens stilling

Det fremgår af databeskyttelsesforordningens artikel 37, stk. 6, at databeskyttelsesrådgiveren kan være den dataansvarliges eller databehandlerens medarbejder eller udføre hvervet på grundlag af en tjenesteydelseskontrakt.

Dataansvarlige og databehandlere, herunder offentlige myndigheder, har således mulighed for – i stedet for at lade en intern medarbejder varetage rollen som databeskyttelsesrådgiver – at vælge at lade databeskyttelsesrådgiverens funktion udøves på grundlag af en tjenesteydelseskontrakt, som indgås med en person eller organisation uden for den dataansvarliges eller databehandlerens organisation.

Af det indsendte materiale fremgår, at databeskyttelsesrådgiverne er ansat på fuld tid. Det fremgår endvidere, at funktionen udøves i syv samarbejdskommuner (Fredensborg Kommune, Frederikssund Kommune, Gribskov Kommune, Helsingør Kommune, Hillerød Kommune, Hørsholm Kommune og Halsnæs Kommune). Opgaverne for hver kommune varetages løbende, og der er således ikke afsat bestemte dage til hver kommune. 

Det fremgår endvidere, at databeskyttelsesrådgiverne bliver bistået af kommunens medarbejder, der har til opgave at forankre arbejdet med databeskyttelse i organisationen, og at det praktiske arbejde med implementering af forordningens krav er forankret i kommunens forvaltningsenheder.

Herudover har Datatilsynet noteret sig, at kommunen har fremsendt to selvstændige kontrakter med de to eksterne databeskyttelsesrådgivere og dermed ikke en organisation som sådan. Datatilsynet har på den baggrund forstået aftaleforholdet således, at de to personer på lige fod varetager rollen som databeskyttelsesrådgiver.

Det er Datatilsynets opfattelse, at i nærværende sag er denne konstruktion i overensstemmelse med reglerne om udpegelse af en databeskyttelsesrådgiver i databeskyttelsesforordningens artikel 37.

Datatilsynet har i den konkrete sag herved lagt vægt på, at de to personer ud fra det oplyste samarbejder om funktionen som databeskyttelsesrådgiver, og at de hver især bidrager med selvstændige kompetencer, som supplerer hinanden i opgaveløsningen, og dermed sikrer en kvalificeret varetagelse af funktionen som databeskyttelsesrådgiver hos kommunen.

Det fremgår imidlertid efter Datatilsynets opfattelse ikke af det indsendte materiale, hvorvidt kommunen har en primær kontaktperson, som er den primære ansvarsperson for aftaleforholdet, ligesom det ikke fremgår, hvorvidt der er en fast rollefordeling i forhold til opgaverne.

De databeskyttelsesretlige regler indeholder en forpligtelse for offentlige myndigheder til at udpege en databeskyttelsesrådgiver dog med mulighed for, at en organisation også kan udpeges til at varetage rollen. Datatilsynet anbefaler i sådanne tilfælde, at der er en klar fordeling af opgaver i organisationen, og at der udpeges en person, som er overordnet ansvarlig og fungerer som kontaktperson for den offentlige myndighed. 

På den baggrund henstiller Datatilsynet til, at kommunen – i det omfang det ikke allerede er tilfældet – sørger for at etablere en klar rollefordeling mellem databeskyttelsesrådgiverne i forhold til opgaverne, og at kommunen udnævner en af databeskyttelsesrådgiverne som den primære ansvarsperson.

Det er i øvrigt Datatilsynets opfattelse, at den dataansvarlige og databehandleren selv er nærmest til at vurdere, hvordan den praktiske del af samarbejdet med databeskyttelsesrådgiveren skal implementeres, så samarbejdet kan foregå mest effektivt og hensigtsmæssigt i organisationen. Den dataansvarlige og databehandleren kan derfor i vidt omfang selv organisere den praktiske del af samarbejdet med databeskyttelsesrådgiveren, så længe dette sker inden for rammerne af databeskyttelsesforordningens kapitel 4. Databeskyttelsesrådgiveren bør i den forbindelse spille en central rolle i at fremme en databeskyttelseskultur inden for den dataansvarliges eller databehandlerens organisation og bør som minimum bistå med implementeringen af centrale elementer i databeskyttelsesforordningen. Dette kan eksempelvis ske i form af konkret rådgivning af en udvalgt gruppe af medarbejdere i den dataansvarliges eller databehandlerens organisation, som efterfølgende selv står for den praktiske implementering under forudsætning af, at databeskyttelsesrådgiveren udøver den nødvendige kontrol med organisationens overholdelse af reglerne mv.

2. Databeskyttelsesrådgiverens ekspertise og faglige kvalifikationer

Ifølge databeskyttelsesforordningens artikel 37, stk. 5, udpeges databeskyttelsesrådgiveren på grundlag af sine faglige kvalifikationer, navnlig ekspertise inden for databeskyttelsesret og – praksis samt evne til at udføre de opgaver, der er omhandlet i artikel 39.

Kommunen har i den konkrete sag organiseret aftaleforholdet med databeskyttelsesrådgiverne således, at de to personer i vidt omfang samarbejder om rollen og derved lader deres kompetencer supplere hinanden. På denne måde kan databeskyttelsesrådgivernes individuelle færdigheder og styrker kombineres. Den ene er uddannet jurist og har herigennem erfaring med de databeskyttelsesretlige regler. Den anden har heroverfor uddannet sig inden for administration og databeskyttelse med særlig fokus på IT og har haft halvandet års erfaring med implementering af de databeskyttelsesretlige regler i to forskellige organisationer.

Kommunen har i henhold til databeskyttelsesrådgivernes forudgående kenskab til kommunens organisation og de behandlingsaktiviteter, der udføres hos kommunen, oplyst, at databeskyttelsesrådgiverne alene har haft et grundlæggende kendskab til den kommunale organisatoriske struktur og dens funktioner, herunder generelle behandlingsaktiviteter, men at databeskyttelsesrådgiverne ikke har haft konkret kendskab til kommunens organisation og behandlingsaktiviteter. Databeskyttelsesrådgiverne har ligeledes ikke haft solidt kendskab til administrative regler og procedurer i kommunen, men alene et generelt kendskab til forvaltningsretlige regler.

Kommunen har imidlertid oplyst, at kommunen har sikret databeskyttelsesrådgiverens kenskab til administrative regler og procedurer i kommunen ved at lade databeskyttelsesrådgiveren deltage i relevante kurser, herunder generelle kurser i relation til behandling af personoplysninger i den offentlige forvaltning. Herudover er databeskyttelsesrådgiverne inddraget i tværgående arbejdsgrupper og netværk for databeskyttelsesrådgivere.

Datatilsynet bemærker, at evnen til at udføre de opgaver, der påhviler databeskyttelsesrådgiveren, skal ses i sammenhæng med dennes personlige kvalifikationer og viden samt dennes stilling i den dataansvarliges eller databehandlerens organisation. For så vidt angår de faglige kvalifikationer, som kræves efter databeskyttelsesforordningens artikel 37, stk. 5, bør databeskyttelsesrådgiveren foruden en indgående forståelse af de databeskyttelsesretlige regler også have kendskab til informationsteknologi og datasikkerhed samt den dataansvarliges og databehandlerens beskyttelsesbehov. Endvidere bør databeskyttelsesrådgiveren have et solidt kendskab til administrative regler og procedurer i organisationen. Kravene til databeskyttelsesrådgiverens faglige kvalifikationer skal således ses i sammenhæng med, at databeskyttelsesrådgiveren skal evne at kunne fremme en databeskyttelseskultur inden for organisationen[1].

På baggrund af sagens oplysninger finder Datatilsynet, at databeskyttelsesrådgiverne i den konkrete sag i forening har de fornødne faglige kvalifikationer til at varetage opgaven som databeskyttelsesrådgiver for kommunen, og at kommunen dermed efterlever kravet i databeskyttelsesforordningens artikel 37, stk. 5.

Datatilsynet har i den forbindelse lagt vægt på, at databeskyttelsesrådgiverne, i kombination, har relevante uddannelses- og erhvervsmæssige erfaringer med det databeskyttelsesretlige og informationsteknologiske område

Datatilsynet har endvidere lagt vægt på det oplyste om, at databeskyttelsesrådgiverne generelt – forinden tiltrædelsen – havde et kendskab til kommuners organisation og de administrative regler og behandlingsaktiviteter, der er kendetegnene for kommuner, og at kommunen har inddraget databeskyttelsesrådgiverne i tværgående arbejdsgrupper og netværk for databeskyttelsesrådgivere, ligesom kommunen har tilmeldt databeskyttelsesrådgiverne relevante generelle kurser i relation til offentlig forvaltning og behandling af personoplysninger i den offentlige forvaltning.

Datatilsynet skal dog bemærke, at hvis en databeskyttelsesrådgiver ikke ved tiltrædelsen har et forudgående konkret kendskab til den pågældende organisation, bør den dataansvarlige eller databehandleren sikre et sådan kendskab i umiddelbar forlængelse af databeskyttelsesrådgiverens tiltrædelse, eksempelvis i form af opstartsmøder eller udlevering af informationsmateriale. 

3. Inddragelse af databeskyttelsesrådgiveren

Databeskyttelsesforordningens artikel 38, stk. 1, stiller krav om, at den dataansvarlige og databehandleren sikrer, at databeskyttelsesrådgiveren inddrages tilstrækkeligt og rettidigt i alle spørgsmål vedrørende beskyttelse af personoplysninger.

Det fremgår af sagen, at kommunens informationssikkerhedskoordinator er det primære led, der sikrer databeskyttelsesrådgivernes inddragelse i spørgsmål af databeskyttelsesretlig karakter, og at databeskyttelsesrådgiverne løbende er i tæt dialog med denne, blandt andet i forbindelse med informering om brud på persondatasikkerheden. Herudover afholder kommunen hver 4. uge et møde mellem databeskyttelsesrådgiverne, informationssikkerhedskoordinatoren og IT-chefen. Databeskyttelsesrådgiverne deltager endelig i relevante arbejdsgrupper.

Det er Datatilsynets opfattelse, at databeskyttelsesrådgiveren skal inddrages i alle de overvejelser og vurderinger, som det forudsættes, at den dataansvarlige eller databehandleren har gjort sig og foretaget med henblik på at overholde de databeskyttelsesretlige regler. Dette indebærer blandt andet, at databeskyttelsesrådgiveren bør inddrages i overvejelser vedrørende efterlevelsen af de registreredes rettigheder og fastlæggelse af passende sikkerhedsforanstaltninger. Databeskyttelsesrådgiveren skal inddrages i så god tid, som det er muligt og relevant, forud for iværksættelse af behandlingsaktiviteter.

Efter en gennemgang af sagens oplysninger er det Datatilsynets vurdering, at kommunens databeskyttelsesrådgivere inddrages tilstrækkeligt og rettidigt i alle spørgsmål vedrørende databeskyttelse.

Datatilsynet har særligt lagt vægt på, at databeskyttelsesrådgiverne jævnligt og fast deltager i relevante møder hos kommunen, og at databeskyttelsesrådgiverne løbende er i dialog med informationssikkerhedskoordinatoren, som sikrer, at databeskyttelsesrådgiverne inddrages i spørgsmål af databeskyttelsesretlig karakter.

Datatilsynet finder på baggrund af ovenstående, at Fredensborg Kommune overholder kravet i databeskyttelsesforordningens artikel 38, stk. 1.

4. Databeskyttelsesrådgiverens ressourcer

Af databeskyttelsesforordningens artikel 38, stk. 2, fremgår det, at den dataansvarlige og databehandleren støtter databeskyttelsesrådgiveren i forbindelse med udførelsen af de i artikel 39 nævnte opgaver ved at tilvejebringe de ressourcer, der er nødvendige for at udføre disse opgaver og opretholde databeskyttelsesrådgiverens ekspertise, samt adgang til personoplysninger og behandlingsaktiviteter.

Bestemmelsen indebærer, at den dataansvarlige og databehandleren skal stille de fornødne faciliteter og arbejdsredskaber, økonomiske ressourcer, personaleressourcer og lignende til rådighed for databeskyttelsesrådgiveren. Databeskyttelsesrådgiveren skal endvidere have tid nok til opgaverne. Har databeskyttelsesrådgiveren også andre opgaver og forpligtelser, må disse opgaver således ikke gå ud over den tid, det kræves for at udføre opgaverne som databeskyttelsesrådgiver.

Den nærmere fastlæggelse af, hvor mange ressourcer der kræves, afhænger af de organisatoriske forhold hos den dataansvarlige og databehandleren, herunder størrelsen af den dataansvarliges eller databehandlerens organisation, antallet af behandlingsaktiviteter, omfanget af de enkelte behandlingsaktiviteter, herunder antallet af registrerede og kategorierne af oplysninger, samt kompleksiteten af og de forbundne risici med disse behandlingsaktiviteter.

Det fremgår af sagen, at for så vidt angår ressourcer stiller kommunen blandt andet kontorfaciliteter, ressourcer i forhold til køb af relevant litteratur, deltagelse på kurser og netværk og elbiler til transport mellem kommunerne til rådighed for databeskyttelsesrådgiverne. Herudover har databeskyttelsesrådgiverne mulighed for at sparre med personale i kommunen.

Efter en gennemgang af sagens oplysninger finder Datatilsynet, at Fredensborg Kommune overholder kravet i databeskyttelsesforordningens artikel 38, stk. 2.

Datatilsynet har herved lagt vægt på, at de oplyste ressourcer er egnede til at støtte databeskyttelsesrådgiverne i deres arbejde, og at databeskyttelsesrådgiverne har mulighed for at sparre med personale i kommunen i forbindelse med udførelsen af deres arbejde.

Endvidere har Datatilsynet lagt vægt på, at de syv kommuner – som databeskyttelsesrådgiverne udfører rollen hos – indgår i det Nordsjællandske Digitaliseringssamarbejde, og at de opgaver, som databeskyttelsesrådgiverne udfører for kommunerne, dermed må antages at have en betydelig sammenlignelighed. Databeskyttelsesrådgiverne må hermed antages i et ikke ubetydeligt omfang at have mulighed for – ved udførelsen af opgaven i én samarbejdskommune – at drage på sin erfaring fra udførelsen af en tilsvarende opgave i en anden samarbejdskommune.

På den baggrund kan Datatilsynet i nærværende sag ikke udelukke, at kommunerne og databeskyttelsesrådgiverne har organiseret sig på en måde, hvorved databeskyttelsesrådgiverne har tid nok til rådighed for at udføre deres opgaver i de enkelte samarbejdskommuner.

Uanset at databeskyttelsesrådgiverne således varetager rollen i flere forskellige kommuner, er det således Datatilsynets vurdering, at databeskyttelsesrådgiverne får stillet fornødne ressourcer til rådighed og i øvrigt har tid nok til udførelsen af deres arbejde, jf. databeskyttelsesforordningens artikel 38, stk. 2.

5. Registreredes kontakt til databeskyttelsesrådgiveren

Databeskyttelsesforordningens artikel 38, stk. 4, stiller krav om, at registrerede kan kontakte databeskyttelsesrådgiveren angående alle spørgsmål om behandling af deres oplysninger og om udøvelse af deres rettigheder i henhold til databeskyttelsesforordningen.

Det fremgår af sagen, at kommunen har gjort databeskyttelsesrådgivernes kontaktoplysninger tilgængelige på kommunens hjemmeside. Herudover giver kommunen de registrerede oplysninger om databeskyttelsesrådgivernes kontaktoplysninger i forbindelse med kommunens iagttagelse af oplysningspligten. Databeskyttelsesrådgiverne kan kontaktes via sikker digital post, og det er tilsvarende muligt at komme i telefonisk kontakt med databeskyttelsesrådgiverne. Henvendelserne besvares løbende i hele arbejdstiden, og der er således ikke angivet et bestemt tidsrum, hvor de registrerede kan kontakte databeskyttelsesrådgiverne. De registrerede får typisk en bekræftelse på deres henvendelse inden for en arbejdsuge, og det er kun i enkelte sager, hvor svartiden er forlænget, grundet sagens kompleksitet.

I tilfælde af eventuelle spidsbelastningssituationer, hvor mange registrerede ønsker at komme i kontakt med databeskyttelsesrådgiverne, har kommunen oplyst, at denne opgave vil sættes på som første prioritet med henblik på, at samtlige registrerede kan blive vejledt inden for rimelig tid. Databeskyttelsesrådgiverne vil i denne situation blive bistået af fagrelevant personale.

På baggrund af det af Fredensborg Kommune oplyste om den registreredes kontakt til databeskyttelsesrådgiverne, kan Datatilsynet konstatere, at det er muligt for registrerede i kommunen at kontakte databeskyttelsesrådgiverne i overensstemmelse med databeskyttelsesforordningens artikel 38, stk. 4.

6. Underretning og rådgivning af kommunen og kommunens ansatte

Det følger af databeskyttelsesforordningens artikel 39, stk. 1, litra a, at databeskyttelsesrådgiveren har til opgave at underrette og rådgive den dataansvarlige eller databehandleren og de ansatte, der behandler personoplysninger, om deres forpligtelser i henhold til databeskyttelsesforordningen og anden EU-ret eller national ret i medlemsstaterne om databeskyttelse. Databeskyttelsesrådgiveren skal i forbindelse hermed tage behørigt hensyn til den risiko, der er forbundet med behandlingsaktiviteter, under hensyntagen til den pågældende behandlings karakter, omfang, sammenhæng og formål, jf. artikel 39, stk. 2.

Databeskyttelsesforordningens artikel 39, stk. 1, litra a skal ses i sammenhæng med artikel 38, stk. 1, hvorefter den dataansvarlige sikrer, at databeskyttelsesrådgiveren inddrages tilstrækkeligt og rettidigt i alle spørgsmål vedrørende beskyttelse af personoplysninger.

Artikel 39, stk. 1, litra a indebærer efter Datatilsynets opfattelse, at databeskyttelsesrådgiveren i fornødent omfang skal stå til rådighed for organisationen og organisationens medarbejdere for at kunne yde den fornødne rådgivning. Det er dermed påkrævet, at databeskyttelsesrådgiveren er tilgængelig for organisationen og medarbejderne.

For så vidt angår eksterne databeskyttelsesrådgivere, der varetager rollen for flere forskellige organisationer, bør der særligt tages højde for, at databeskyttelsesrådgiveren er i stand til at stå til rådighed for den enkelte organisation til trods for udpegelsen for flere organisationer.

Datatilsynet har som led i dette tilsyn derfor også haft særlig fokus på, om databeskyttelsesrådgiverne i fornødent omfang er tilgængelig for kommunens medarbejdere (afsnit 6.1) og kommunen (afsnit 6.2), og om databeskyttelsesrådgiverne i fornødent omfang bistår kommunen med implementering af centrale elementer i databeskyttelsesforordningen.

6.1. Medarbejdere

Kommunen har oplyst, at kommunens medarbejdere generelt har mulighed for at rette henvendelse til kommunens databeskyttelsesrådgivere i relation til behandling af personoplysninger. Alle medarbejdere har i den forbindelse mulighed for at kontakte databeskyttelsesrådgiverne direkte, men vil i praksis i første omgang kontakte den lokale informationssikkerhedskoordinator.

Det er Datatilsynets opfattelse, at dataansvarlige og databehandlere selv er nærmest til at vurdere, hvordan samarbejdet med databeskyttelsesrådgiveren kan implementeres mest hensigtsmæssigt i organisationen. Det er herunder muligt og i visse tilfælde en fordel at lade medarbejdere bistå databeskyttelsesrådgiveren. Der kan i relation til medarbejderhenvendelser eksempelvis være tilfælde, hvor det af organisatoriske hensyn kan være en fordel at lade personale – som i øvrigt assisterer databeskyttelsesrådgiveren – bistå databeskyttelsesrådgiveren, hvis de pågældende medarbejdere er kvalificerede hertil. Der skal dog være en reel mulighed for, at medarbejdere kan kontakte databeskyttelsesrådgiveren, når situationen påkræver det. Datatilsynet har i den forbindelse noteret sig, at kommunen har vurderet, at informationssikkerhedskoordinatoren er en fagrelevant medarbejder, og tilsynet ser ikke grundlag for at tilsidesætte denne vurdering. Datatilsynet har endvidere noteret sig, at medarbejderne reelt har mulighed for at rette henvendelse til databeskyttelsesrådgiverne, når situationen påkræver det.

6.2. Kommunen

Det fremgår af sagen, at databeskyttelsesrådgiverne aktivt er involveret i implementeringen af databeskyttelsesforordningen. Databeskyttelsesrådgiverne har bl.a. deltaget i arbejdsgrupper vedrørende håndtering af databehandleraftaler, fastlæggelse af procedurer ved brud på persondatasikkerheden og oplæg til årshjul for opgaver inden for databeskyttelse. Databeskyttelsesrådgiverne deltager endvidere i udarbejdelsen og udformningen af oplysningskampagner og vejledninger. Kommunen har imidlertid i praksis organiseret sig ved, at opgaverne udføres af kommunerne selv.

Det er Datatilsynets opfattelse, at databeskyttelsesrådgiveren spiller en central rolle i at fremme en databeskyttelseskultur inden for den dataansvarliges og databehandlerens organisation, men at det alene er et krav, at databeskyttelsesrådgiveren bistår med implementeringen af centrale elementer i databeskyttelsesforordningen. Den konkrete og praktiske opgave i forbindelse med implementering af initiativerne kan således uddelegeres til personale, der er kvalificeret hertil. Datatilsynet skal i den forbindelse understrege, at den dataansvarlige og databehandleren selv er nærmest til at vurdere, hvordan den praktiske del af samarbejdet med databeskyttelsesrådgiveren kan foregå mest effektivt og hensigtsmæssigt i organisationen. Dataansvarlige og databehandlere kan derfor i vidt omfang selv organisere den praktiske del af samarbejdet med deres databeskyttelsesrådgiver, så længe dette sker inden for rammerne af databeskyttelsesforordningens kapitel 4. Organisationen kan eksempelvis vælge at lade databeskyttelsesrådgiveren uddanne udvalgte og relevante medarbejdere i organisationen med henblik på, at disse medarbejdere videreformidler uddannelsens indhold til de øvrige medarbejdere i organisationen og foretager den praktiske udarbejdelse af vejledninger mv.  

6.3. Sammenfatning

På baggrund af ovenstående er det Datatilsynets vurdering, at Fredensborg Kommune efterlever kravet i databeskyttelsesforordningens artikel 39, stk. 1, litra a.

7. Overvågning af overholdelsen af de databeskyttelsesretlige regler

Det følger af databeskyttelsesforordningens artikel 39, stk. 1, litra b, at databeskyttelsesrådgiveren har til opgave at overvåge overholdelsen af databeskyttelsesforordningen, af anden EU-ret eller national ret i medlemsstaterne om databeskyttelse og af den dataansvarliges eller databehandlerens politikker om beskyttelse af personoplysninger, herunder fordeling af ansvar, oplysningskampagner og uddannelse af det personale, der medvirker ved behandlingsaktiviteter, og de tilhørende revisioner. Databeskyttelsesrådgiveren skal i forbindelse hermed tage behørigt hensyn til den risiko, der er forbundet med behandlingsaktiviteter, under hensyntagen til den pågældende behandlings karakter, omfang, sammenhæng og formål, jf. artikel 39, stk. 2.

Datatilsynet bemærker, at som en del af disse opgaver med at overvåge overholdelsen af de databeskyttelsesretlige regler skal databeskyttelsesrådgiveren navnlig indsamle oplysninger, der identificerer databehandlingsaktiviteter, analysere og kontrollere databehandlingsaktiviteternes overholdelse af bestemmelserne og informere, rådgive og rette henstillinger til den dataansvarlige eller databehandleren[2].

7.1.

Kommunen har oplyst, at der afholdes statusmøder hver eller hver anden måned med databeskyttelsesrådgiverne og udvalgte medarbejdere i kommunen.

På møderne gennemgås en række væsentlige punkter i forhold til kommunens overholdelse af databeskyttelsesreglerne, herunder en drøftelse af kommunens fortegnelse, IT-systemer, kommunens retningslinjer og procedurer samt tiltag som kommunen har gennemført i forbindelse med awareness-træning. På møderne gennemgås endvidere aktuelle opståede problemstillinger.

I tilfælde af sikkerhedsbrud kontakter en udvalgt medarbejder databeskyttelsesrådgiverne for drøftelse af hændelsen. Sikkerhedshændelsen bliver endvidere registreret på en samlet oversigt over sikkerhedshændelser hos kommunen, og databeskyttelsesrådgiverne gennemgår løbende skemaerne.  

Kommunen har endvidere bemærket, at databeskyttelsesrådgiverne i øvrigt får indblik i kommunens overholdelse af de databeskyttelsesretlige regler gennem løbende rådgivning af kommunens medarbejdere, ved vurderinger af kommunens databeskyttelsesretlige problemstillinger, sparring med kommunens jurister og informationssikkerhedskoordinator samt ved udarbejdelse af notater, retningslinjer og vejledninger mv.

I forhold til ikke-planlagte kontroller har kommunen oplyst, at kommunen ikke gør brug heraf. Kommunen er imidlertid ved at udarbejde en plan for yderligere tilsyn og kontrol, herunder stikprøvekontroller. Kommunen har endvidere nedsat en arbejdsgruppe med henblik på at få en mere formaliseret tilgang til interne hensyn ud over den overvågning, som databeskyttelsesrådgiverne udfører.

Kommunen har endvidere anført, at databeskyttelsesrådgiverne i tilfælde af, at databeskyttelsesrådgiverne kan konstatere, at der er mangelfuld overholdelse af databeskyttelsesreglerne, uden unødigt ophold tager kontakt til kommunen om det konstaterede forhold. Databeskyttelsesrådgiverne rådgiver og vejleder herefter kommunen, således at de eventuelle fejl og mangler bliver tilrettet, herunder også fremadrettet.

Herudover har kommunen anført, at databeskyttelsesrådgiverne hvert år afgiver en rapport til kommunens direktion og byråd om kommunens overholdelse af databeskyttelsesreglerne.

7.2.

Datatilsynet finder, at kravet til at overvåge overholdelsen af de databeskyttelsesretlige regler i artikel 39, stk. 1, litra b skal ses i sammenhæng med, at databeskyttelsesrådgiveren skal have kendskab til de behandlingsaktiviteter, der foregår i organisationen. Databeskyttelsesrådgiveren kan herved underrette den dataansvarlige eller databehandleren i tilfælde af, at databeskyttelsesrådgiveren konstaterer en manglende overholdelse af reglerne med henblik på, at fejlen bliver rettet. Databeskyttelsesrådgiveren kan blandt andet sikre et sådant varigt kendskab og overblik over den dataansvarliges eller databehandlerens organisation ved jævnlige møder, kvalitetskontroller af retningslinjer og standardskabeloner, afrapportering, stikprøvekontroller mv.

Det er samtidig Datatilsynets opfattelse, at databeskyttelsesrådgiverens kontakt med de registrerede og vejledning generelt understøtter databeskyttelsesrådgiverens opgave med at overvåge overholdelsen af de databeskyttelsesretlige regler, jf. artikel 39, stk. 1, litra b. Ved kontakten med de registrerede kan databeskyttelsesrådgiveren blive gjort opmærksom på behandlinger, der ikke overholder reglerne, eller procedurer, der ikke fungerer efter hensigten.

Det er ligeledes Datatilsynets opfattelse, at den kontrol, som databeskyttelsesrådgiveren skal foretage af den dataansvarlige eller databehandleren i medfør af databeskyttelsesforordningens artikel 39, stk. 1, litra b, afhænger af den internt valgte organisering af databeskyttelsesrådgiverens opgaver. Hvis organisationen i højere grad overlader den konkrete udførelse af opgaver til andre medarbejdere end databeskyttelsesrådgiveren, er det Datatilsynets opfattelse, at databeskyttelsesrådgiveren som udgangspunkt bør føre en højere grad af kontrol med, hvordan disse opgaver bliver udformet, og om det sker i overensstemmelse med de databeskyttelsesretlige regler.

Efter en gennemgang af det af Fredensborg Kommune oplyste, er det Datatilsynets vurdering, at kommunens databeskyttelsesrådgivere i fornødent omfang foretager den nødvendige kontrol af kommunens behandlingsaktiviteter i overensstemmelse med databeskyttelsesforordningens artikel 39, stk. 1, litra b.

Datatilsynet har i den forbindelse lagt vægt på det oplyste om, at databeskyttelsesrådgiverne forestår rådgivningen af de registrerede, og herigennem får kendskab til en eventuel manglende efterlevelse af reglerne, og at databeskyttelsesrådgiverne ved håndtering af medarbejderhenvendelser og sparringen med kommunens jurister og informationssikkerhedskoordinator også har mulighed for at blive gjort bekendt med kommunens manglende overholdelse af de databeskyttelsesretlige regler.

Datatilsynet har endvidere lagt vægt på, at databeskyttelsesrådgiverne er involverede i udarbejdelsen af vejledninger, retningslinjer og oplysningskampagner i kommunen, og herigennem ligeledes har mulighed for at føre kontrol med kommunens overholdelse af de databeskyttelsesretlige regler. Endvidere har Datatilsynet lagt vægt på det oplyste om, at der løbende afholdes statusmøder mellem databeskyttelsesrådgiverne og medarbejdere i kommunen, og at databeskyttelsesrådgiverne kontaktes i tilfælde af sikkerhedsbrud. Datatilsynet har endelig lagt vægt på det oplyste om, at databeskyttelsesrådgiverne uden unødigt ophold tager kontakt til kommunen i tilfælde af, at det konstateres, at der er en manglende efterlevelse af reglerne.

Datatilsynet har i øvrigt noteret sig det oplyste om, at kommunen arbejder på en plan for yderligere tilsyn og kontrol med overholdelse af forordningen, herunder stikprøvekontroller. 

8. Konklusion

På baggrund af de undersøgte forhold finder Datatilsynet, at Fredensborg Kommunes brug af eksterne databeskyttelsesrådgivere ligger inden for rammerne af databeskyttelsesforordningen. Datatilsynet har i den forbindelse noteret sig følgende:

1.     At Fredensborg Kommune har udpeget to eksterne databeskyttelsesrådgivere til at varetage rollen, og at deres funktion udøves på grundlag af en tjenesteydelseskontrakt.

2.     At Fredensborg Kommunes databeskyttelsesrådgivere har de fornødne faglige kvalifikationer til at varetage rollen, jf. databeskyttelsesforordningens artikel 37, stk. 5.

3.     At Fredensborg Kommune i overensstemmelse med databeskyttelsesforordningens artikel 38, stk. 1, har sikret, at databeskyttelsesrådgiverne inddrages tilstrækkeligt og rettidigt i alle spørgsmål vedrørende beskyttelse af personoplysninger.

4.     At Fredensborg Kommune tilvejebringer de ressourcer, der er nødvendige for, at databeskyttelsesrådgiverne kan varetage de i artikel 39 nævnte opgaver, jf. databeskyttelsesforordningens artikel 38, stk. 2.

5.     At registrerede i Fredensborg Kommune i overensstemmelse med databeskyttelsesforordningens artikel 38, stk. 4, kan kontakte databeskyttelsesrådgiverne angående alle spørgsmål om behandling af deres oplysninger og om udøvelse af deres rettigheder i henhold til databeskyttelsesforordningen.

6.     At Fredensborg Kommunes databeskyttelsesrådgivere i overensstemmelse med artikel 39, stk. 1, litra a i fornødent omfang underretter og rådgiver Fredensborg Kommune og ansatte i kommunen om deres forpligtelser i henhold til databeskyttelsesforordningen.

7.     At Fredensborg Kommune i overensstemmelse med databeskyttelsesforordningens artikel 39, stk. 1, litra b, har sikret, at databeskyttelsesrådgiverne overvåger kommunens overholdelse af de databeskyttelsesretlige regler.  



[1]   Artikel 29-gruppens retningslinjer for databeskyttelsesrådgivere, vedtaget den 13. december 2016, senest revideret og vedtaget den 5. april 2017, s. 12 og 24.
[2]   Artikel 29-gruppens retningslinjer for databeskyttelsesrådgivere, vedtaget den 13. december 2016, senest revideret og vedtaget den 5. april 2017, s. 18

 

Bilag: Relevante retsregler

Bilag - Relevante retsregler i databeskyttelsesforordningens kapitel 4

Artikel 37 

Udpegelse af en databeskyttelsesrådgiver

1. Den dataansvarlige og databehandleren udpeger altid en databeskyttelsesrådgiver, når:

a)     behandling foretages af en offentlig myndighed eller et offentligt organ, undtagen domstole, der handler i deres egenskab af domstol

b)     den dataansvarliges eller databehandlerens kerneaktiviteter består af behandlingsaktiviteter, der i medfør af deres karakter, omfang og/eller formål kræver regelmæssig og systematisk overvågning af registrerede i stort omfang, eller

c)     den dataansvarliges eller databehandlerens kerneaktiviteter består af behandling i stort omfang af særlige kategorier af oplysninger, jf. artikel 9, og personoplysninger vedrørende straffedomme og lovovertrædelser, jf. artikel 10.

2. En koncern kan udnævne en fælles databeskyttelsesrådgiver, forudsat at alle etableringer har let adgang til databeskyttelsesrådgiveren.

3. Hvis den dataansvarlige eller databehandleren er en offentlig myndighed eller et offentligt organ, kan en fælles databeskyttelsesrådgiver udpeges for flere af sådanne myndigheder eller organer i overensstemmelse med deres organisatoriske struktur og størrelse.

4. I andre tilfælde end de i stk. 1 omhandlede kan eller, når det kræves i henhold til EU-retten eller medlemsstaternes nationale ret, skal den dataansvarlige eller databehandleren eller sammenslutninger og andre organer, som repræsenterer kategorier af dataansvarlige eller databehandlere, udpege en databeskyttelsesrådgiver. Databeskyttelsesrådgiveren kan handle på vegne af sådanne sammenslutninger og andre organer, som repræsenterer dataansvarlige eller databehandlere.

5. Databeskyttelsesrådgiveren udpeges på grundlag af sine faglige kvalifikationer, navnlig ekspertise inden for databeskyttelsesret og -praksis samt evne til at udføre de opgaver, der er omhandlet i artikel 39.

6. Databeskyttelsesrådgiveren kan være den dataansvarliges eller databehandlerens medarbejder eller kan udføre hvervet på grundlag af en tjenesteydelseskontrakt.

7. Den dataansvarlige eller databehandleren offentliggør kontaktoplysninger for databeskyttelsesrådgiveren og meddeler disse til tilsynsmyndigheden.

Artikel 38

Databeskyttelsesrådgiverens stilling

1. Den dataansvarlige og databehandleren sikrer, at databeskyttelsesrådgiveren inddrages tilstrækkeligt og rettidigt i alle spørgsmål vedrørende beskyttelse af personoplysninger.

2. Den dataansvarlige og databehandleren støtter databeskyttelsesrådgiveren i forbindelse med udførelsen af de i artikel 39 omhandlede opgaver ved at tilvejebringe de ressourcer, der er nødvendige for at udføre disse opgaver og opretholde databeskyttelsesrådgiverens ekspertise, samt adgang til personoplysninger og behandlingsaktiviteter.

3. Den dataansvarlige og databehandleren sikrer, at databeskyttelsesrådgiveren ikke modtager instrukser vedrørende udførelsen af disse opgaver. Den pågældende må ikke afskediges eller straffes af den dataansvarlige eller databehandleren for at udføre sine opgaver. Databeskyttelsesrådgiveren rapporterer direkte til det øverste ledelsesniveau hos den dataansvarlige eller databehandleren.

4. Registrerede kan kontakte databeskyttelsesrådgiveren angående alle spørgsmål om behandling af deres oplysninger og om udøvelse af deres rettigheder i henhold til denne forordning.

5. Databeskyttelsesrådgiveren er underlagt tavshedspligt eller fortrolighed vedrørende udførelsen af sine opgaver i overensstemmelse med EU-retten eller medlemsstaternes nationale ret.

6. Databeskyttelsesrådgiveren kan udføre andre opgaver og have andre pligter. Den dataansvarlige eller databehandleren sikrer, at sådanne opgaver og pligter ikke medfører en interessekonflikt.

Artikel 39

Databeskyttelsesrådgiverens opgaver

1. Databeskyttelsesrådgiveren har som minimum følgende opgaver:

a)     at underrette og rådgive den dataansvarlige eller databehandleren og de ansatte, der behandler personoplysninger, om deres forpligtelser i henhold til denne forordning og anden EU-ret eller national ret i medlemsstaterne om databeskyttelse

b)     at overvåge overholdelsen af denne forordning, af anden EU-ret eller national ret i medlemsstaterne om databeskyttelse og af den dataansvarliges eller databehandlerens politikker om beskyttelse af personoplysninger, herunder fordeling af ansvar, oplysningskampagner og uddannelse af det personale, der medvirker ved behandlingsaktiviteter, og de tilhørende revisioner

c)     at rådgive, når der anmodes herom, med hensyn til konsekvensanalysen vedrørende databeskyttelse og overvåge dens opfyldelse i henhold til artikel 35

d)     at samarbejde med tilsynsmyndigheden

e)     at fungere som tilsynsmyndighedens kontaktpunkt i spørgsmål vedrørende behandling, herunder den forudgående høring, der er omhandlet i artikel 36, og at høre tilsynsmyndigheden, når det er hensigtsmæssigt, om eventuelle andre spørgsmål.

2. Databeskyttelsesrådgiveren tager under udførelsen af sine opgaver behørigt hensyn til den risiko, der er forbundet med behandlingsaktiviteter, under hensyntagen til den pågældende behandlings karakter, omfang, sammenhæng og formål.