Journalnr: 2019-423-0224
Resumé
I første halvår af 2019 besluttede Datatilsynet at føre tilsyn med forskellige temaer omkring kommunernes databeskyttelsesrådgivere (også ofte kaldet DPO efter den engelske betegnelse Data Protection Officer), herunder databeskyttelsesrådgiverens opgaver, ressourcer, faglige kvalifikationer og de registreredes adgang til databeskyttelsesrådgiveren.
Den ene gruppe af tilsyn fokuserede på kommuner, som delte databeskyttelsesrådgiver med andre kommuner. Den anden gruppe af tilsyn fokuserede på kommuner, som havde tilkøbt sig ydelsen hos et advokatselskab, herunder Mariagerfjord Kommune som afgørelsen nedenfor drejer sig om.
Datatilsynet fandt, at kommunernes løsninger om brug af databeskyttelsesrådgivere lå inden for rammerne af databeskyttelsesforordningen.
Det er Datatilsynets opfattelse, at den dataansvarlige og databehandleren selv er nærmest til at vurdere, hvordan den praktiske del af samarbejdet med databeskyttelsesrådgiveren skal implementeres, så samarbejdet kan foregå mest effektivt og hensigtsmæssigt i organisationen. Den dataansvarlige og databehandleren kan derfor i vidt omfang selv organisere den praktiske del af samarbejdet med databeskyttelsesrådgiveren, så længe dette sker inden for rammerne af databeskyttelsesforordningens kapitel 4.
Afgørelse
Mariagerfjord Kommune var blandt de myndigheder, som Datatilsynet i 2019 havde udvalgt til tilsyn. Datatilsynets planlagte tilsyn fokuserede særligt på databeskyttelsesrådgiverens opgaver, herunder spørgsmålet om hvorvidt databeskyttelsesrådgiveren står til rådighed for medarbejdere i kommunen og registrerede vedrørende spørgsmål om databeskyttelse, samt hvorvidt databeskyttelsesrådgiveren fører den nødvendige kontrol med kommunens behandlingsaktiviteter. Datatilsynet bemærker i den forbindelse, at databeskyttelsesrådgivere ikke er personligt ansvarlige i tilfælde af manglende overholdelse af databeskyttelsesforordningen. Ansvaret for overholdelse af databeskyttelsesbestemmelserne – herunder bestemmelserne vedrørende krav til databeskyttelsesrådgivere – påhviler den dataansvarlige og databehandleren (i nærværende sag, Mariagerfjord Kommune).
I overensstemmelse med forpligtelsen i databeskyttelsesforordningens artikel 37, stk. 7, har Mariagerfjord Kommune forinden tilsynet meddelt Datatilsynet, at en advokat fra advokatfirmaet HjulmandKaptain varetager rollen som databeskyttelsesrådgiver for kommunen. Advokaten varetager ligeledes rollen som databeskyttelsesrådgiver for bl.a. Hjørring Kommune, som Datatilsynet også har ført tilsyn med.
Mariagerfjord Kommune har til brug for tilsynet den 9. juli 2019 fremsendt et udfyldt spørgeskema, kommunens kontrakt med advokaten og øvrige relevante bilag. Endvidere har kommunen den 25. november 2019 fremsendt en supplerende udtalelse og en kopi af et kontrolskema til Datatilsynet.
På baggrund af de undersøgte forhold finder Datatilsynet, at Mariagerfjord Kommunes brug af en ekstern databeskyttelsesrådgiver ligger inden for rammerne af databeskyttelsesforordningen. Datatilsynet har i den forbindelse noteret sig følgende:
- At Mariagerfjord Kommune har udpeget en advokat fra advokatfirmaet HjulmandKaptain som databeskyttelsesrådgiver, og at hendes funktion udøves på grundlag af en tjenesteydelseskontrakt.
- At Mariagerfjord Kommunes databeskyttelsesrådgiver har de fornødne faglige kvalifikationer til at varetage rollen, jf. databeskyttelsesforordningens artikel 37, stk. 5.
- At Mariagerfjord Kommune i overensstemmelse med databeskyttelsesforordningens artikel 38, stk. 1, har sikret, at databeskyttelsesrådgiveren inddrages tilstrækkeligt og rettidigt i alle spørgsmål vedrørende beskyttelse af personoplysninger.
- At registrerede i Mariagerfjord Kommune i overensstemmelse med databeskyttelsesforordningens artikel 38, stk. 4, kan kontakte databeskyttelsesrådgiveren angående alle spørgsmål om behandling af deres oplysninger og om udøvelse af deres rettigheder i henhold til databeskyttelsesforordningen.
- At Mariagerfjord Kommunes databeskyttelsesrådgiver i overensstemmelse med databeskyttelsesforordningens artikel 39, stk. 1, litra a, underretter og rådgiver kommunen og ansatte i kommunen om deres databeskyttelsesretlige forpligtelser.
- At Mariagerfjord Kommune i overensstemmelse med databeskyttelsesforordningens artikel 39, stk. 1, litra b, har sikret, at databeskyttelsesrådgiveren overvåger kommunens overholdelse af de databeskyttelsesretlige regler, jf. databeskyttelsesforordningens artikel 39, stk. 1, litra b.
Nedenfor følger en nærmere gennemgang af Datatilsynets konklusioner.
1. Databeskyttelsesrådgiverens stilling
Det fremgår af databeskyttelsesforordningens artikel 37, stk. 6, at databeskyttelsesrådgiveren kan være den dataansvarliges eller databehandlerens medarbejder eller udføre hvervet på grundlag af en tjenesteydelseskontrakt.
Dataansvarlige og databehandlere, herunder offentlige myndigheder, har således mulighed for – i stedet for at lade en intern medarbejder varetage rollen som databeskyttelsesrådgiver – at vælge at lade databeskyttelsesrådgiverens funktion udøves på grundlag af en tjenesteydelseskontrakt, som indgås med en person eller organisation uden for den dataansvarliges eller databehandlerens organisation.
Mariagerfjord Kommune har udpeget en advokat hos HjulmandKaptain som databeskyttelsesrådgiver for kommunen. Advokaten udøver hvervet som databeskyttelsesrådgiver for kommunen på baggrund af en tjenesteydelseskontrakt. Advokaten er ligeledes databeskyttelsesrådgiver for Hjørring Kommune. Datatilsynet har også ført tilsyn med databeskyttelsesrådgiverens funktion i denne kommune.
Ud fra sagens oplysninger i de to tilsyn fremgår det, at databeskyttelsesrådgiveren kan inddrage de øvrige 5 medarbejdere fra det persondataretlige team hos HjulmandKaptain i løsningen af konkrete, afgrænsede opgaver i det omfang, der er behov herfor. Den navngivne advokat er qua sin rolle som databeskyttelsesrådgiver imidlertid den person, som har den primære kontakt med kommunen og deltager i relevante møder mv.
Det fremgår endvidere, at hvis situationen påkræver det, har advokatfirmaet HjulmandKaptain en række medarbejdere, som kan bistå med konkrete kontrolopgaver. Herudover vil databeskyttelsesrådgiveren have mulighed for at sparre med specialister hos HjulmandKaptain inden for forskellige grænseområder, hvis det er relevant i forhold til en konkret opgaveløsning.
Databeskyttelsesrådgiveren har endvidere mulighed for at udpege en anden medarbejder hos HjulmandKaptain til midlertidigt – eksempelvis i ferieperioder – at varetage databeskyttelsesrådgiverens opgaver. I det omfang det er relevant, vil databeskyttelsesrådgiveren endvidere kunne inddrage en professor i offentlig ret i rådgivningen.
Det fremgår i øvrigt, at databeskyttelsesrådgiveren samarbejder med kommunens eget team på databeskyttelsesområdet, herunder i forbindelse med rettidig inddragelse af databeskyttelsesrådgiveren samt rådgivning af medarbejdere hos kommunen.
I forhold til fakturering af ydelsen fremgår det af det indsendte materiale, at opgaven opdeles i en henholdsvis obligatorisk og variabel del. Kommunen betaler en fast pris for den obligatoriske del, hvorimod den variable del afregnes på timebasis til en fastsat timepris.
Det er på den baggrund Datatilsynets opfattelse, at konstruktionen er i overensstemmelse med reglerne om udpegelse af en databeskyttelsesrådgiver i databeskyttelsesforordningens artikel 37.
Det er i øvrigt Datatilsynets opfattelse, at den dataansvarlige og databehandleren selv er nærmest til at vurdere, hvordan den praktiske del af samarbejdet med databeskyttelsesrådgiveren skal implementeres, så samarbejdet kan foregå mest effektivt og hensigtsmæssigt i organisationen. Den dataansvarlige og databehandleren kan derfor i vidt omfang selv organisere den praktiske del af samarbejdet med databeskyttelsesrådgiveren, så længe dette sker inden for rammerne af databeskyttelsesforordningens kapitel 4. Databeskyttelsesrådgiveren bør i den forbindelse spille en central rolle i at fremme en databeskyttelseskultur inden for den dataansvarliges eller databehandlerens organisationen og bør som minimum bistå med implementeringen af centrale elementer i databeskyttelsesforordningen. Dette kan eksempelvis ske i form af konkret rådgivning af en udvalgt gruppe af medarbejdere i den dataansvarliges eller databehandlerens organisation, som efterfølgende selv står for den praktiske implementering under forudsætning af, at databeskyttelsesrådgiveren udøver den nødvendige kontrol med organisationens overholdelse af reglerne mv.
2. Databeskyttelsesrådgiverens ekspertise og faglige kvalifikationer
Ifølge databeskyttelsesforordningens artikel 37, stk. 5, udpeges databeskyttelsesrådgiveren på grundlag af sine faglige kvalifikationer, navnlig ekspertise inden for databeskyttelsesret og –praksis samt evne til at udføre de opgaver, der er omhandlet i artikel 39.
Ud fra det oplyste i Datatilsynets tilsyn med den pågældende databeskyttelsesrådgivers funktion i de to kommuner, fremgår det, at databeskyttelsesrådgiveren har en juridisk uddannelse, og at hun siden 2017 primært har arbejdet med databeskyttelse, og at hun forud for udpegelsen har deltaget i flere kurser om databeskyttelse. Databeskyttelsesrådgiveren er endvidere certificeret CIPP/E, hvoraf informationsteknologi og de sikkerhedsmæssige aspekter af databeskyttelse er en del heraf.
Det fremgår endvidere at databeskyttelsesrådgiveren tidligere har rådgivet offentlige myndigheder i en række forskellige sammenhænge, hvorved hun generelt har fået kendskab til kommuners organisation, administrative regler, procedurer og de behandlingsaktiviteter, der udføres i kommuner, og at databeskyttelsesrådgiveren har fået kendskab til organisationer på et teoretisk plan igennem sin diplomuddannelse (HD i organisation og ledelse).
Databeskyttelsesrådgiveren havde ikke forud for udpegelsen kendskab til den konkrete organisation i kommunen og de konkrete procedurer i kommunen. Databeskyttelsesrådgiveren har dog umiddelbart efter tiltrædelsen deltaget i møder med center- og fagchefer samt nøglemedarbejdere på samtlige fagområder og dermed fået kendskab til kommunens organisering og behandlingsaktiviteter.
Datatilsynet bemærker, at evnen til at udføre de opgaver, der påhviler databeskyttelsesrådgiveren skal ses i sammenhæng med dennes personlige kvalifikationer og viden samt dennes stilling i den dataansvarlige eller databehandlerens organisationen. For så vidt angår de faglige kvalifikationer, som kræves efter databeskyttelsesforordningens artikel 37, stk. 5, bør databeskyttelsesrådgiveren foruden en indgående forståelse af de databeskyttelsesretlige regler også have kendskab til informationsteknologi og datasikkerhed samt den dataansvarliges og databehandlerens beskyttelsesbehov. Endvidere bør databeskyttelsesrådgiveren have et solidt kendskab til administrative regler og procedurer i organisationen. Kravene til databeskyttelsesrådgiverens faglig kvalifikationer skal således ses i sammenhæng med, at databeskyttelsesrådgiveren skal evne at kunne fremme en databeskyttelseskultur inden for organisationen[1].
På baggrund af sagens oplysninger finder Datatilsynet, at den pågældende advokat hos Hjulmand Kaptajn har de fornødne faglige kvalifikationer til at varetage rollen som databeskyttelsesrådgiver for kommunen, og at kommunen dermed efterlever kravet i databeskyttelsesforordningens artikel 37, stk. 5.
Datatilsynet har i den forbindelse lagt vægt på, at databeskyttelsesrådgiveren har relevante uddannelses- og erhvervsmæssige erfaringer med det databeskyttelsesretlige og informationsteknologiske område, at databeskyttelsesrådgiveren – til trods for at hun før udpegelsen ikke havde kendskab til den konkrete organisering og procedurerne i kommunen – umiddelbart efter tiltrædelsen har deltaget i interne møder i kommunen, hvorved hun har fået et gennemgående og konkret kendskab til kommunens organisering og behandlingsaktiviteter, og at databeskyttelsesrådgiveren generelt – forinden tiltrædelsen – havde et kendskab til kommuners organisation, administrative regler, procedurer og behandlingsaktiviteter, der er kendetegnene for kommuner.
3. Inddragelse af databeskyttelsesrådgiveren
Databeskyttelsesforordningens artikel 38, stk. 1, stiller krav om, at den dataansvarlige og databehandleren sikrer, at databeskyttelsesrådgiveren inddrages tilstrækkeligt og rettidigt i alle spørgsmål vedrørende beskyttelse af personoplysninger.
Ud fra det oplyste i Datatilsynets tilsyn med den pågældende databeskyttelsesrådgivers funktion i de to kommuner fremgår det, at databeskyttelsesrådgiveren deltager fast i en række møder hos kommunen. Databeskyttelsesrådgiveren er en del af sikkerhedsudvalget og inddrages i den forbindelse i centrale beslutninger med en række udvalgte nøglemedarbejdere. På møderne yder databeskyttelsesrådgiveren vejledning og drøfter udvalgte databeskyttelsesretlige emner – eksempelvis de registreredes rettigheder –, hvormed databeskyttelsesrådgiveren kan følge den overordnede udvikling samt udvalgte problemstillinger og projekter i kommunen. Databeskyttelsesrådgiveren bliver endvidere inddraget til orientering i andre sammenhænge, eksempelvis i forbindelse med byrådsmøder. Databeskyttelsesrådgiveren bliver endvidere altid orienteret om sikkerhedsbrud. Herudover inddrager kommunen databeskyttelsesrådgiveren, når det i øvrigt er relevant.
Det er Datatilsynets opfattelse, at databeskyttelsesrådgiveren skal inddrages i alle de overvejelser og vurderinger, som det forudsættes, at den dataansvarlige eller databehandleren har gjort sig og foretaget med henblik på at overholde de databeskyttelsesretlige regler. Dette indebærer blandt andet, at databeskyttelsesrådgiveren bør inddrages i overvejelser vedrørende efterlevelsen af de registreredes rettigheder og fastlæggelse af passende sikkerhedsforanstaltninger. Databeskyttelsesrådgiveren skal inddrages i så god tid, som det er muligt og relevant, forud for iværksættelse af behandlingsaktiviteter.
Efter en gennemgang af sagens oplysninger er det Datatilsynets vurdering, at kommunens databeskyttelsesrådgiver inddrages tilstrækkeligt og rettidigt i alle spørgsmål vedrørende databeskyttelse.
Datatilsynet har særligt lagt vægt på, at databeskyttelsesrådgiveren jævnligt og fast deltager i en række møder hos kommunen, hvorved databeskyttelsesrådgiveren holdes orienteret om databeskyttelsesretlige forhold i kommunen og hermed har mulighed for løbende at give sine input til databeskyttelsesretlige tiltag og problemstillinger.
Datatilsynet har endvidere lagt vægt på, at databeskyttelsesrådgiveren altid inddrages i forbindelse med sikkerhedsbrud, og at medarbejdere i kommunen sikrer, at databeskyttelsesrådgiveren i øvrigt inddrages, når det er relevant.
Datatilsynet finder på baggrund af ovenstående, at kommunen overholder kravet i databeskyttelsesforordningens artikel 38, stk. 1.
4. Registreredes kontakt til databeskyttelsesrådgiveren
Databeskyttelsesforordningens artikel 38, stk. 4, stiller krav om, at registrerede kan kontakte databeskyttelsesrådgiveren angående alle spørgsmål om behandling af deres oplysninger og om udøvelse af deres rettigheder i henhold til databeskyttelsesforordningen.
Det fremgår af sagens oplysninger, at de registrerede til enhver tid har mulighed for at kontakte databeskyttelsesrådgiveren, og at databeskyttelsesrådgiveren har til opgave at varetage henvendelser fra de registrerede, som vedrører spørgsmål af databeskyttelsesretlig karakter.
Datatilsynet har noteret sig, at kommunen organisatorisk har indrettet sig således, at indkomne henvendelser i et vist omfang modtages og behandles af kommunale medarbejdere. Datatilsynet lægger i den forbindelse til grund, at der alene er tale om, at databeskyttelsesrådgiveren bistås af kommunens medarbejdere i forhold til at foretage en indledende screening af henvendelser med henblik på at sikre, at alene relevante henvendelser besvares af databeskyttelsesrådgiveren.
Det fremgår endvidere, at alle borgerhenvendelser skal besvares inden 7 arbejdsdage, hvor borgeren som minimum skal informeres om, hvornår denne kan forvente et svar på sin henvendelse. Der er ikke aftalt særlige tidsrum, hvor databeskyttelsesrådgiveren skal stå til rådighed for de registrerede.
Det fremgår i øvrigt, at til trods for at der endnu ikke har været en spidsbelastningssituation, hvor mange registrerede ønsker at komme i kontakt med databeskyttelsesrådgiveren, har kommunen og databeskyttelsesrådgiveren drøftet en række forholdsregler, som kan tages i tilfælde heraf.
Det er Datatilsynets opfattelse, at en databeskyttelsesrådgiver i overensstemmelse med databeskyttelsesforordningens artikel 38, stk. 4, kan samarbejde med udvalgte og kvalificerede medarbejdere i den dataansvarliges eller databehandlerens organisation til at varetage opgaven med at besvare henvendelser fra registrerede med henblik på at sikre en effektiv håndtering af henvendelserne. Der skal dog være en reel mulighed for, at den registrerede kan kontakte databeskyttelsesrådgiveren, når situationen påkræver det.
På baggrund af sagens oplysninger er det Datatilsynets umiddelbare vurdering, at kommunen efterlever kravet i databeskyttelsesforordningens artikel 38, stk. 4.
Datatilsynet har herved lagt vægt på, at kommunen har organiseret sig på en måde, hvor de registrerede har mulighed for at rette henvendelse til databeskyttelsesrådgiveren om behandling af deres oplysninger og om udøvelse af deres rettigheder i henhold til databeskyttelsesforordningen, og at henvendelsen besvares inden for rimelig tid.
Datatilsynet bemærker afslutningsvis, at databeskyttelsesforordningens artikel 38, stk. 4 hænger sammen med kravet i databeskyttelsesforordningens artikel 37, stk. 7 om, at kontaktoplysninger for databeskyttelsesrådgiveren skal offentliggøres.
Formålet med kravet om offentliggørelse er blandt andet, at de registrerede skal kunne komme i kontakt med den pågældende dataansvarlige eller databehandlers databeskyttelsesrådgiver.
Den registrerede skal have mulighed for at kontakte databeskyttelsesrådgiveren – som uafhængig part – blandt andet for at gøre databeskyttelsesrådgiveren bekendt med en behandlingsaktivitet, der ikke overholder reglerne.
Hvis øvrige medarbejdere i den dataansvarliges eller en databehandlers organisation bistår databeskyttelsesrådgiveren med håndteringen af henvendelser fra de registrerede, bør en sådan bistand dermed alene være accessorisk i forhold til databeskyttelsesrådgiverens varetagelse af opgaven, og det fulde ansvar for visitering af indkomne henvendelser fra registrerede bør ikke tildeles medarbejderne.
5. Underretning og rådgivning af kommunen og kommunens ansatte
Det følger af databeskyttelsesforordningens artikel 39, stk. 1, litra a, at databeskyttelsesrådgiveren har til opgave at underrette og rådgive den dataansvarlige eller databehandleren og de ansatte, der behandler personoplysninger, om deres forpligtelser i henhold til databeskyttelsesforordningen og anden EU-ret eller national ret i medlemsstaterne om databeskyttelse. Databeskyttelsesrådgiveren skal i forbindelse hermed tage behørigt hensyn til den risiko, der er forbundet med behandlingsaktiviteter, under hensyntagen til den pågældende behandlings karakter, omfang, sammenhæng og formål, jf. artikel 39, stk. 2.
Databeskyttelsesforordningens artikel 39, stk. 1, litra a skal ses i sammenhæng med artikel 38, stk. 1, hvorefter den dataansvarlige sikrer, at databeskyttelsesrådgiveren inddrages tilstrækkeligt og rettidigt i alle spørgsmål vedrørende beskyttelse af personoplysninger.
Artikel 39, stk. 1, litra a indebærer efter Datatilsynets opfattelse, at databeskyttelsesrådgiveren i fornødent omfang skal stå til rådighed for organisationen og organisationens medarbejdere for at kunne yde den fornødne rådgivning. Det er dermed påkrævet, at databeskyttelsesrådgiveren er tilgængelig for organisationen og medarbejderne.
For så vidt angår en ekstern databeskyttelsesrådgiver, der varetager rollen for flere forskellige organisationer, bør der særligt tages højde for, at databeskyttelsesrådgiveren er i stand til at stå til rådighed for den enkelte organisation til trods for udpegelsen for flere organisationer.
Datatilsynet har som led i dette tilsyn derfor også haft særlig fokus på, om databeskyttelsesrådgiveren i fornødent omfang er tilgængelig for kommunens medarbejdere (afsnit 5.1) og kommunen (afsnit 5.2), og om databeskyttelsesrådgiverne i fornødent omfang bistår kommunen med implementering af centrale elementer i databeskyttelsesforordningen.
5.1. Kommunens medarbejdere
Ud fra det oplyste i Datatilsynets tilsyn med den pågældende databeskyttelsesrådgivers funktion i de to kommuner, fremgår det, at databeskyttelsesrådgiveren står til rådighed for kommunens medarbejdere, når medarbejderne har behov for databeskyttelsesrådgiverens bidrag, og at medarbejderne er blevet orienteret herom.
Det fremgår endvidere, at databeskyttelsesrådgiveren alene skal besvare henvendelser af databeskyttelsesretlig karakter, hvis en kvalificeret medarbejder i kommunerne ikke selv kan besvare spørgsmålet.
Medarbejderne opfordres derfor til i første omgang at kontakte en udvalgt og kvalificeret medarbejder i kommunen for at mindske antallet af henvendelser, hvor det er nødvendigt at inddrage databeskyttelsesrådgiveren. Kommunen har dog oplyst, at databeskyttelsesrådgiveren selv kan vælge at tage en henvendelse op, og at enhver medarbejder har ret til at kontakte databeskyttelsesrådgiveren direkte, hvis der er et behov herfor.
Kommunikationen foregår således ved, at den kvalificerede medarbejder hos kommunen i første omgang håndterer henvendelsen. Hvis medarbejderen har spørgsmål til henvendelsen, kontakter medarbejderen databeskyttelsesrådgiveren herom, hvorefter den ansattes henvendelse besvares af medarbejderen.
Det er Datatilsynets opfattelse, at dataansvarlige og databehandlere selv er nærmest til at vurdere, hvordan samarbejdet med databeskyttelsesrådgiveren kan implementeres mest hensigtsmæssigt i organisationen. Det er herunder muligt og i visse tilfælde en fordel at lade medarbejdere bistå databeskyttelsesrådgiveren. Der kan i relation til medarbejderhenvendelser eksempelvis være tilfælde, hvor det af organisatoriske hensyn kan være en fordel at lade personale – som i øvrigt assisterer databeskyttelsesrådgiveren – bistå databeskyttelsesrådgiveren, hvis de pågældende medarbejdere er kvalificerede hertil. Der skal dog være en reel mulighed for, at medarbejdere kan kontakte databeskyttelsesrådgiveren, når situationen påkræver det.
Datatilsynet finder, at kommunens organisering i forbindelse med databeskyttelsesrådgiverens håndtering af medarbejderhenvendelser er i overensstemmelse med databeskyttelsesforordningens artikel 39, stk. 1, litra a, og at databeskyttelsesrådgiveren dermed i fornødent omfang er tilgængelig for kommunens medarbejdere.
Datatilsynet har herved lagt vægt på det af kommunen oplyste om, at databeskyttelsesrådgiveren ved medarbejderhenvendelser bliver bistået af udvalgte og kvalificerede medarbejdere, og at disse udvalgte og kvalificerede medarbejdere har mulighed for at involvere databeskyttelsesrådgiveren i nødvendigt omfang. Herudover har tilsynet lagt vægt på, at enhver medarbejder har ret til at kontakte databeskyttelsesrådgiveren direkte, hvis der er et behov herfor.
5.2. Kommunen
Ud fra det oplyste i Datatilsynets tilsyn med databeskyttelsesrådgiverens funktion i de to kommuner, fremgår det, at databeskyttelsesrådgiveren på et generelt plan har til opgave at rådgive kommunen, når der opstår spørgsmål af databeskyttelsesretlig karakter, herunder i forbindelse med organisationens indkøb af IT-systemer, kravspecifikationer til leverandører, udarbejdelse af kommunens persondatapolitikker, iværksættelse af behandling af personoplysninger og overvejelser om, hvorvidt en given behandling af personoplysninger overholder de generelle behandlingsregler.
Det fremgår samtidig, at en række opgaver falder uden for den obligatoriske del af ydelsen, og at kommunen i stedet kan tilkøbe disse opgaver. Rådgivning og sparring i forbindelse med indkøb af nye IT-systemer falder blandt andet uden for den obligatoriske del af ydelsen. Kommunen har imidlertid bemærket, at databeskyttelsesrådgiveren bør indgå i drøftelserne omkring indkøb/ibrugtagning af nye systemer eller forretningsgange, som indebærer behandling af personoplysninger.
Konkret uddannelse og kurser falder ligeledes uden for den obligatoriske del af ydelsen. Kommunen forestår således primært selv oplysningskampagner og uddannelse af personale. Databeskyttelsesrådgiveren har dog vejledt og uddannet udvalgte nøglemedarbejdere i kommunen.
På baggrund af det i sagen oplyste, har Datatilsynet lagt til grund, at databeskyttelsesrådgiveren løbende skal rådgive kommunen om behovet for tilpasninger og ændringer af udarbejdet materiale, men at selve udarbejdelsen og kvalitetssikringen af materialet falder uden for den obligatoriske ydelse.
Datatilsynet har i den forbindelse endvidere lagt til grund, at databeskyttelsesrådgiveren kun i meget begrænset omgang medvirker til den administrative sagsbehandling, udarbejdelse af koncepter/vejledninger, håndtering af de registreredes rettigheder eller brud på persondatasikkerheden og lignende. Kommunen står primært selv for disse opgaver.
Kommunen anvender dog databeskyttelsesrådgiveren til sparring i forhold til indholdsmæssige og øvrige spørgsmål, som opstår i forbindelse med kommunens udarbejdelse af materialet m.v., ligesom databeskyttelsesrådgiveren bliver inddraget til orientering i flere forskellige sammenhænge, herunder om væsentlige sikkerhedsbrud.
Ved databeskyttelsesrådgiverens kontroller har databeskyttelsesrådgiveren endvidere mulighed for at gennemgå og kommentere på udvalgte skriftlige procedurer mv.
Det er Datatilsynets opfattelse, at databeskyttelsesrådgiveren spiller en central rolle i at fremme en databeskyttelseskultur inden for den dataansvarliges og databehandlerens organisation, men at det alene er et krav, at databeskyttelsesrådgiveren bistår med implementeringen af centrale elementer i databeskyttelsesforordningen. Den konkrete og praktiske opgave i forbindelse med implementering af initiativerne kan således uddelegeres til personale, der er kvalificeret hertil. Datatilsynet skal i den forbindelse understrege, at den dataansvarlige og databehandleren selv er nærmest til at vurdere, hvordan den praktiske del af samarbejdet med databeskyttelsesrådgiveren kan foregå mest effektivt og hensigtsmæssigt i organisationen. Dataansvarlige og databehandlere kan derfor i vidt omfang selv organisere den praktiske del af samarbejdet med deres databeskyttelsesrådgiver, så længe dette sker inden for rammerne af databeskyttelsesforordningens kapitel 4. Organisationen kan eksempelvis vælge at lade databeskyttelsesrådgiveren uddanne udvalgte og relevante medarbejdere i organisationen med henblik på, at disse medarbejdere videreformidler uddannelsens indhold til de øvrige medarbejdere i organisationen og foretager den praktiske udarbejdelse af vejledninger mv.
I forhold til indkøb af nye IT-systemer er det – i overensstemmelse med det oplyste i sagen – Datatilsynets opfattelse, at hvis systemerne anvendes til behandlingen af personoplysninger, bør databeskyttelsesrådgiveren altid inddrages blandt andet med henblik på at tage stilling til, om sikkerhedsniveauet i systemerne er tilstrækkeligt.
På baggrund af ovenstående finder Datatilsynet, at Mariagerfjord Kommunes organisering af varetagelsen af databeskyttelsesrådgiverens opgave med at yde bistand i form af at rådgive kommunen om de databeskyttelsesretlige regler er i overensstemmelse med databeskyttelsesforordningens artikel 39, stk. 1, litra a.
Datatilsynet har herved lagt vægt på det oplyste om, at databeskyttelsesrådgiveren varetager en rådgivende rolle over for kommunen, når der opstår spørgsmål af databeskyttelsesretlig karakter, og at kommunen kan indhente bistand fra databeskyttelsesrådgiveren i forbindelse med kommunens konkrete udarbejdelse af materiale m.v.
5.3. Sammenfatning
På baggrund af ovenstående er det Datatilsynets opfattelse, at Mariagerfjord Kommunes efterlever kravet i databeskyttelsesforordningens artikel 39, stk. 1, litra a.
6. Overvågning af overholdelsen af de databeskyttelsesretlige regler
Det følger af databeskyttelsesforordningens artikel 39, stk. 1, litra b, at databeskyttelsesrådgiveren har til opgave at overvåge overholdelsen af databeskyttelsesforordningen, af anden EU-ret eller national ret i medlemsstaterne om databeskyttelse og af den dataansvarliges eller databehandlerens politikker om beskyttelse af personoplysninger, herunder fordeling af ansvar, oplysningskampagner og uddannelse af det personale, der medvirker ved behandlingsaktiviteter, og de tilhørende revisioner. Databeskyttelsesrådgiveren skal i forbindelse hermed tage behørigt hensyn til den risiko, der er forbundet med behandlingsaktiviteter, under hensyntagen til den pågældende behandlings karakter, omfang, sammenhæng og formål, jf. artikel 39, stk. 2.
Datatilsynet bemærker, at som en del af disse opgaver med overvågning af overholdelse af de databeskyttelsesretlige regler skal databeskyttelsesrådgiveren navnlig indsamle oplysninger, der identificerer databehandlingsaktiviteter, analysere og kontrollere databehandlingsaktiviteternes overholdelse af bestemmelserne og informere, rådgive og rette henstillinger til den dataansvarlige eller databehandleren[2].
6.1.
Det fremgår af sagens oplysninger, at databeskyttelsesrådgiveren har til opgave at føre kontrol med, at de databeskyttelsesretlige regler og de vedtagne procedurer overholdes. Det er således databeskyttelsesrådgiverens ansvar at gøre kommunen opmærksom på en eventuel manglende efterlevelse af reglerne.
Endvidere fremgår det af sagen, at databeskyttelsesrådgiveren løbende orienteres om udarbejdelse af nye retningslinjer og procedurer gennem deltagelsen i møder med kommunen. Databeskyttelsesrådgiveren har herigennem mulighed for at kontrollere, om retningslinjerne og procedurerne i kommunen er i overensstemmelse med de databeskyttelsesretlige regler.
Det fremgår i øvrigt af sagen, at databeskyttelsesrådgiveren to gange årligt er forpligtet til at føre kontrol med kommunens overholdelse af de databeskyttelsesretlige regler. I forbindelse hermed har databeskyttelsesrådgiveren fremsendt et kontrolark til kommunen med et generelt overblik over de områder, databeskyttelsesrådgiveren forventer at føre tilsyn med. Kontrollerne, herunder den efterfølgende rapportering til kommunens byråd, drøftes herudover løbende mellem databeskyttelsesrådgiveren og kommunen.
Det er endvidere blevet oplyst, at databeskyttelsesrådgiveren ikke er bundet af en bestemt kontrolmetode, og at hun blandt andet kan benytte sig af skriftlige kontroller, stikprøvekontroller og mundtlige kontroller. Kommunen har til brug for tilsynet fremsendt en kopi af dette kontrolskema samt eksempel på spørgeskema til Datatilsynet.
Herudover fremgår det, at databeskyttelsesrådgiveren er tovholder på inputtet fra kontrollerne, men at kommunen selv gennemfører en række af kontrollerne og registrerer konstateringerne. Nogle af kontrollerne gennemfører databeskyttelsesrådgiveren således selv i mindre grad, hvorimod kommunen forestår kontrollen, herunder den udførende del.
Det fremgår ligeledes af sagen, at kommunen i øvrigt selv foretager almindelige kontroller. Såfremt de i kontrolskemaet anførte kontroller i forvejen udføres af kommunen, skal kommunen oplyse databeskyttelsesrådgiveren herom, hvorefter databeskyttelsesrådgiveren vil notere en bekræftelse på, at kontrollen er gennemført samt hvornår og af hvem. Kommunen er ligeledes forpligtet til at dokumentere kontrolopgavens udførelse. Kontrollen gennemgås efterfølgende på et særskilt møde mellem databeskyttelsesrådgiveren og en medarbejder fra kommunen. Kontrollerne og den efterfølgende rapportering drøftes endvidere løbende mellem databeskyttelsesrådgiveren og kommunen.
Det fremgår endvidere af sagen, at databeskyttelsesrådgiveren skal medvirke til den årlige revision af kommunens informationssikkerhedspolitik, og at databeskyttelsesrådgiveren herigennem kontrollerer, at kommunen gennemfører relevante interne kontroller samt reviderer øvrige politikker og procedurer.
Det fremgår i øvrigt, at oplysningskampagner i kommunen skal drøftes med databeskyttelsesrådgiveren, og at databeskyttelsesrådgiveren herigennem kan udøve kontrol med, at oplysningskampagnerne er i overensstemmelse med de databeskyttelsesretlige regler.
Databeskyttelsesrådgiveren havde endnu ikke på tidspunktet for Datatilsynets tilsyn udført ikke-planlagte kontroller – dvs. kontroller der falder ud over de aftalte kontraktmæssige kontroller to gange årligt, samt kontroller som i øvrigt vedrører spørgsmål, der falder ud over emner behandlet i informationssikkerhedsudvalget – med kommunen. Der foreligger endvidere ikke særskilte aftalte faste procedurer mellem databeskyttelsesrådgiveren og kommunen for, hvordan, hvor ofte eller på hvilke betingelser denne type af kontrol skal udføres
For så vidt angår databeskyttelsesrådgiverens opfølgning på kontrol, fremgår det af sagen, at databeskyttelsesrådgiveren er forpligtet til at gøre kommunen opmærksom på, hvis databeskyttelsesrådgiveren konstaterer en manglende efterlevelse af de databeskyttelsesretlige regler og/eller de af kommunen vedtagne politikker og procedurer
6.2.
Datatilsynet skal bemærke, at opgaven med at føre kontrol med kommunens overholdelse af de databeskyttelsesretlige regler ikke må uddelegeres til andre medarbejdere i kommunen i et væsentligt omfang. Dette hænger ifølge tilsynet sammen med databeskyttelsesrådgiverens særlige stilling, herunder databeskyttelsesrådgiverens uafhængighed. Opgaven med at overvåge overholdelsen af forordningen muliggøres netop ved, at databeskyttelsesrådgiveren qua sin stilling kan handle uafhængigt og nyder tilstrækkelig beskyttelse ved udførslen af opgaven.
Datatilsynet finder endvidere, at kravet om at overvåge overholdelsen af de databeskyttelsesretlige regler i artikel 39, stk. 1, litra b, skal ses i sammenhæng med, at databeskyttelsesrådgiveren skal have kendskab til de behandlingsaktiviteter, der foregår i organisationen. Databeskyttelsesrådgiveren kan herved underrette den dataansvarlige eller databehandleren i tilfælde af, at databeskyttelsesrådgiveren konstaterer en manglende overholdelse af reglerne med henblik på, at fejlen bliver rettet. Databeskyttelsesrådgiveren kan blandt andet sikre et sådant varigt kendskab og overblik over den dataansvarliges eller databehandlerens organisation ved jævnlige møder, kvalitetskontroller af retningslinjer og standardskabeloner, afrapportering, stikprøvekontroller mv.
Det er samtidig Datatilsynets opfattelse, at databeskyttelsesrådgiverens kontakt med de registrerede og vejledning generelt understøtter databeskyttelsesrådgiverens opgaver, herunder opgaven med at overvåge overholdelsen af de databeskyttelsesretlige regler, jf. artikel 39, stk. 1, litra b. Ved kontakten med de registrerede kan databeskyttelsesrådgiveren blive gjort opmærksom på behandlinger, der ikke overholder reglerne, eller procedurer, der ikke fungerer efter hensigten.
Det er i øvrigt Datatilsynets opfattelse, at den kontrol, som databeskyttelsesrådgiveren skal foretage af den dataansvarlige eller databehandleren i medfør af databeskyttelsesforordningens artikel 39, stk. 1, litra b, afhænger af den internt valgte organisering af databeskyttelsesrådgiverens opgaver. Hvis organisationen i højere grad overlader den konkrete udførelse af opgaver til andre medarbejdere end databeskyttelsesrådgiveren, er det Datatilsynets opfattelse, at databeskyttelsesrådgiveren som udgangspunkt bør føre en højere grad af kontrol med, hvordan disse opgaver bliver udformet, og om det sker i overensstemmelse med de databeskyttelsesretlige regler.
I tilfælde af at den dataansvarlige eller databehandleren i et væsentligt omfang selv bistår med at rådgive medarbejdere i relation til databeskyttelsesretlige spørgsmål, er der ifølge Datatilsynet et skærpet krav i forhold til de øvrige kontrolforanstaltninger, som databeskyttelsesrådgiveren skal foretage. Databeskyttelsesrådgiveren skal således sikre, at kontrollen – som ville kunne have været foretaget i forbindelse med medarbejderhenvendelser – sikres på anden vis.
Efter en gennemgang af sagens oplysninger, er det imidlertid Datatilsynets vurdering, at kommunens organisering af databeskyttelsesrådgiverens forpligtelse til at overvåge kommunens overholdelse af de databeskyttelsesretlige regler sker inden for rammerne af databeskyttelsesforordningens artikel 39, stk. 1, litra b.
Datatilsynet har herved lagt særlig vægt på, at databeskyttelsesrådgiveren foretager en fast, planlagt, halvårlig kontrol med kommunen, og at databeskyttelsesrådgiveren – på trods af at kommunen i et vis omfang selv udfører kontrollen – er tovholder og ansvarlig for de inputs, som kontrollen afføder.
Datatilsynet har herudover lagt vægt på, at databeskyttelsesrådgiveren medvirker til den årlige revision af kommunens informationssikkerhedspolitik, og at databeskyttelsesrådgiveren herigennem kontrollerer, at kommunen gennemfører relevante interne kontroller samt reviderer øvrige politikker og procedurer.
Datatilsynet har endvidere lagt vægt på, at databeskyttelsesrådgiveren har mulighed for at føre kontrol i yderligere omfang, blandt andet som led i databeskyttelsesrådgiverens deltagelse i møder i kommunen, hvor databeskyttelsesrådgiveren blandt andet præsenteres for opståede databeskyttelsesretlige problemstillinger og udarbejdet materiale.
7. Konklusion
På baggrund af de undersøgte forhold finder Datatilsynet, at Mariagerfjord Kommunes brug af en ekstern databeskyttelsesrådgiver ligger inden for rammerne af databeskyttelsesforordningen. Datatilsynet har i den forbindelse noteret sig følgende:
- At Mariagerfjord Kommune har udpeget en advokat fra advokatfirmaet HjulmandKaptain som databeskyttelsesrådgiver, og at hendes funktion udøves på grundlag af en tjenesteydelseskontrakt.
- At Mariagerfjord Kommunes databeskyttelsesrådgiver har de fornødne faglige kvalifikationer til at varetage rollen, jf. databeskyttelsesforordningens artikel 37, stk. 5.
- At Mariagerfjord Kommune i overensstemmelse med databeskyttelsesforordningens artikel 38, stk. 1, har sikret, at databeskyttelsesrådgiveren inddrages tilstrækkeligt og rettidigt i alle spørgsmål vedrørende beskyttelse af personoplysninger.
- At registrerede i Mariagerfjord Kommune i overensstemmelse med databeskyttelsesforordningens artikel 38, stk. 4, kan kontakte databeskyttelsesrådgiveren angående alle spørgsmål om behandling af deres oplysninger og om udøvelse af deres rettigheder i henhold til databeskyttelsesforordningen.
- At Mariagerfjord Kommunes databeskyttelsesrådgiver i overensstemmelse med databeskyttelsesforordningens artikel 39, stk. 1, litra a, underretter og rådgiver kommunen og ansatte i kommunen om deres databeskyttelsesretlige forpligtelser.
- At Mariagerfjord Kommune i overensstemmelse med databeskyttelsesforordningens artikel 39, stk. 1, litra b, har sikret, at databeskyttelsesrådgiveren overvåger kommunens overholdelse af de databeskyttelsesretlige regler, jf. databeskyttelsesforordningens artikel 39, stk. 1, litra b.
[1] Artikel 29-gruppens retningslinjer for databeskyttelsesrådgivere, vedtaget den 13. december 2016, senest revideret og vedtaget den 5. april 2017, s. 12.
[2] Artikel 29-gruppens retningslinjer for databeskyttelsesrådgivere, vedtaget den 13. december 2016, senest revideret og vedtaget den 5. april 2017, s. 18
Bilag: Relevante retsregler i databeskyttelsesforordningens kapitel 4
Artikel 37
Udpegelse af en databeskyttelsesrådgiver
1. Den dataansvarlige og databehandleren udpeger altid en databeskyttelsesrådgiver, når:
a) behandling foretages af en offentlig myndighed eller et offentligt organ, undtagen domstole, der handler i deres egenskab af domstol
b) den dataansvarliges eller databehandlerens kerneaktiviteter består af behandlingsaktiviteter, der i medfør af deres karakter, omfang og/eller formål kræver regelmæssig og systematisk overvågning af registrerede i stort omfang, eller
c) den dataansvarliges eller databehandlerens kerneaktiviteter består af behandling i stort omfang af særlige kategorier af oplysninger, jf. artikel 9, og personoplysninger vedrørende straffedomme og lovovertrædelser, jf. artikel 10.
2. En koncern kan udnævne en fælles databeskyttelsesrådgiver, forudsat at alle etableringer har let adgang til databeskyttelsesrådgiveren.
3. Hvis den dataansvarlige eller databehandleren er en offentlig myndighed eller et offentligt organ, kan en fælles databeskyttelsesrådgiver udpeges for flere af sådanne myndigheder eller organer i overensstemmelse med deres organisatoriske struktur og størrelse.
4. I andre tilfælde end de i stk. 1 omhandlede kan eller, når det kræves i henhold til EU-retten eller medlemsstaternes nationale ret, skal den dataansvarlige eller databehandleren eller sammenslutninger og andre organer, som repræsenterer kategorier af dataansvarlige eller databehandlere, udpege en databeskyttelsesrådgiver. Databeskyttelsesrådgiveren kan handle på vegne af sådanne sammenslutninger og andre organer, som repræsenterer dataansvarlige eller databehandlere.
5. Databeskyttelsesrådgiveren udpeges på grundlag af sine faglige kvalifikationer, navnlig ekspertise inden for databeskyttelsesret og -praksis samt evne til at udføre de opgaver, der er omhandlet i artikel 39.
6. Databeskyttelsesrådgiveren kan være den dataansvarliges eller databehandlerens medarbejder eller kan udføre hvervet på grundlag af en tjenesteydelseskontrakt.
7. Den dataansvarlige eller databehandleren offentliggør kontaktoplysninger for databeskyttelsesrådgiveren og meddeler disse til tilsynsmyndigheden.
Artikel 38
Databeskyttelsesrådgiverens stilling
1. Den dataansvarlige og databehandleren sikrer, at databeskyttelsesrådgiveren inddrages tilstrækkeligt og rettidigt i alle spørgsmål vedrørende beskyttelse af personoplysninger.
2. Den dataansvarlige og databehandleren støtter databeskyttelsesrådgiveren i forbindelse med udførelsen af de i artikel 39 omhandlede opgaver ved at tilvejebringe de ressourcer, der er nødvendige for at udføre disse opgaver og opretholde databeskyttelsesrådgiverens ekspertise, samt adgang til personoplysninger og behandlingsaktiviteter.
3. Den dataansvarlige og databehandleren sikrer, at databeskyttelsesrådgiveren ikke modtager instrukser vedrørende udførelsen af disse opgaver. Den pågældende må ikke afskediges eller straffes af den dataansvarlige eller databehandleren for at udføre sine opgaver. Databeskyttelsesrådgiveren rapporterer direkte til det øverste ledelsesniveau hos den dataansvarlige eller databehandleren.
4. Registrerede kan kontakte databeskyttelsesrådgiveren angående alle spørgsmål om behandling af deres oplysninger og om udøvelse af deres rettigheder i henhold til denne forordning.
5. Databeskyttelsesrådgiveren er underlagt tavshedspligt eller fortrolighed vedrørende udførelsen af sine opgaver i overensstemmelse med EU-retten eller medlemsstaternes nationale ret.
6. Databeskyttelsesrådgiveren kan udføre andre opgaver og have andre pligter. Den dataansvarlige eller databehandleren sikrer, at sådanne opgaver og pligter ikke medfører en interessekonflikt.
Artikel 39
Databeskyttelsesrådgiverens opgave
1. Databeskyttelsesrådgiveren har som minimum følgende opgaver:
a) at underrette og rådgive den dataansvarlige eller databehandleren og de ansatte, der behandler personoplysninger, om deres forpligtelser i henhold til denne forordning og anden EU-ret eller national ret i medlemsstaterne om databeskyttelse
b) at overvåge overholdelsen af denne forordning, af anden EU-ret eller national ret i medlemsstaterne om databeskyttelse og af den dataansvarliges eller databehandlerens politikker om beskyttelse af personoplysninger, herunder fordeling af ansvar, oplysningskampagner og uddannelse af det personale, der medvirker ved behandlingsaktiviteter, og de tilhørende revisioner
c) at rådgive, når der anmodes herom, med hensyn til konsekvensanalysen vedrørende databeskyttelse og overvåge dens opfyldelse i henhold til artikel 35
d) at samarbejde med tilsynsmyndigheden
e) at fungere som tilsynsmyndighedens kontaktpunkt i spørgsmål vedrørende behandling, herunder den forudgående høring, der er omhandlet i artikel 36, og at høre tilsynsmyndigheden, når det er hensigtsmæssigt, om eventuelle andre spørgsmål.
2. Databeskyttelsesrådgiveren tager under udførelsen af sine opgaver behørigt hensyn til den risiko, der er forbundet med behandlingsaktiviteter, under hensyntagen til den pågældende behandlings karakter, omfang, sammenhæng og formål.