Journalnr: 2019-423-0220
Resumé
I første halvår af 2019 besluttede Datatilsynet at føre tilsyn med forskellige temaer omkring kommunernes databeskyttelsesrådgivere (også ofte kaldet DPO efter den engelske betegnelse Data Protection Officer), herunder databeskyttelsesrådgiverens opgaver, ressourcer, faglige kvalifikationer og de registreredes adgang til databeskyttelsesrådgiveren.
Den ene gruppe af tilsyn fokuserede på kommuner, som delte databeskyttelsesrådgiver med andre kommuner. Den anden gruppe af tilsyn fokuserede på kommuner, som havde tilkøbt sig ydelsen hos et advokatselskab, herunder Vejle Kommune som afgørelsen nedenfor drejer sig om.
Datatilsynet fandt, at kommunernes løsninger om brug af databeskyttelsesrådgivere lå inden for rammerne af databeskyttelsesforordningen.
Det er Datatilsynets opfattelse, at den dataansvarlige og databehandleren selv er nærmest til at vurdere, hvordan den praktiske del af samarbejdet med databeskyttelsesrådgiveren skal implementeres, så samarbejdet kan foregå mest effektivt og hensigtsmæssigt i organisationen. Den dataansvarlige og databehandleren kan derfor i vidt omfang selv organisere den praktiske del af samarbejdet med databeskyttelsesrådgiveren, så længe dette sker inden for rammerne af databeskyttelsesforordningens kapitel 4.
Afgørelse
Vejle Kommune var blandt de myndigheder, som Datatilsynet i 2019 havde udvalgt til tilsyn. Datatilsynets planlagte tilsyn fokuserede særligt på databeskyttelsesrådgiverens opgaver, herunder spørgsmålet om hvorvidt databeskyttelsesrådgiveren står til rådighed for medarbejdere i kommunen og registrerede vedrørende spørgsmål om databeskyttelse, samt hvorvidt databeskyttelsesrådgiveren fører den nødvendige kontrol med kommunens behandlingsaktiviteter. Datatilsynet bemærker i den forbindelse, at databeskyttelsesrådgivere ikke er personligt ansvarlige i tilfælde af manglende overholdelse af databeskyttelsesforordningen[1]. Ansvaret for overholdelse af databeskyttelsesbestemmelserne – herunder bestemmelserne vedrørende krav til databeskyttelsesrådgivere – påhviler den dataansvarlige og databehandleren (i nærværende sag, Vejle Kommune).
I overensstemmelse med forpligtelsen i databeskyttelsesforordningens artikel 37, stk. 7, har Vejle Kommune forinden tilsynet meddelt Datatilsynet, at Bech-Bruun varetager rollen som databeskyttelsesrådgiver for kommunen. Bech-Bruun varetager ligeledes rollen som databeskyttelsesrådgiver for bl.a. Næstved Kommune, Roskilde Kommune og Vordingborg Kommune. Datatilsynet har også ført tilsyn med databeskyttelsesrådgiverens funktion i disse kommuner.
Vejle Kommune har til brug for tilsynet den 10. juli 2019 fremsendt et udfyldt spørgeskema, kommunens kontrakt med Bech-Bruun og øvrige relevante bilag. Endvidere har kommunen den 13. november 2019 fremsendt en supplerende udtalelse til Datatilsynet.
På baggrund af de undersøgte forhold finder Datatilsynet, at Vejle Kommunes brug af en ekstern databeskyttelsesrådgiver ligger inden for rammerne af databeskyttelsesforordningen. Datatilsynet har i den forbindelse noteret sig følgende:
- At Vejle Kommune har udpeget et advokatfirma – Bech-Bruun – som databeskyttelsesrådgiver for kommunen, og kommunen har fået tildelt en primær kontaktperson hos advokatfirmaet.
- At Vejle Kommunes databeskyttelsesrådgiver har de fornødne faglige kvalifikationer til at varetage rollen, jf. databeskyttelsesforordningens artikel 37, stk. 5.
- At Vejle Kommune i overensstemmelse med databeskyttelsesforordningens artikel 38, stk. 1, har sikret, at databeskyttelsesrådgiveren inddrages tilstrækkeligt og rettidigt i alle spørgsmål vedrørende beskyttelse af personoplysninger.
- At registrerede i Vejle Kommune i overensstemmelse med databeskyttelsesforordningens artikel 38, stk. 4, kan kontakte databeskyttelsesrådgiveren angående alle spørgsmål om behandling af deres oplysninger og om udøvelse af deres rettigheder i henhold til databeskyttelsesforordningen.
- At Vejle Kommunes databeskyttelsesrådgiver i overensstemmelse med databeskyttelsesforordningens artikel 39, stk. 1, litra a underretter og rådgiver kommunen og ansatte i kommunen om deres databeskyttelsesretlige forpligtelser.
- At Vejle Kommune i overensstemmelse med databeskyttelsesforordningens artikel 39, stk. 1, litra b, har sikret, at databeskyttelsesrådgiveren overvåger kommunens overholdelse af de databeskyttelsesretlige regler.
Nedenfor følger en nærmere gennemgang af Datatilsynets konklusioner.
1. Databeskyttelsesrådgiverens stilling
Det fremgår af databeskyttelsesforordningens artikel 37, stk. 6, at databeskyttelsesrådgiveren kan være den dataansvarliges eller databehandlerens medarbejder eller udføre hvervet på grundlag af en tjenesteydelseskontrakt.
Dataansvarlige og databehandlere, herunder offentlige myndigheder, har således mulighed for – i stedet for at lade en intern medarbejder varetage rollen som databeskyttelsesrådgiver – at vælge at lade databeskyttelsesrådgiverens funktion udøves på grundlag af en tjenesteydelseskontrakt, som indgås med en person eller organisation uden for den dataansvarliges eller databehandlerens organisation.
Ved valget af en organisation som databeskyttelsesrådgiver er det blandt andet muligt at kombinere individuelle færdigheder og styrker, så flere personer, der arbejder i et team, mere effektivt kan bistå den dataansvarlige eller databehandleren. Af hensyn til god organisation anbefaler Datatilsynet, at det sikres, at databeskyttelsesrådgiverens team har en klar fordeling af opgaverne, samt at der udpeges en enkelt person som overordnet kontakt og ansvarlig. Disse punkter kan med fordel fremgå af tjenesteydelseskontrakten.
Når databeskyttelsesrådgiverfunktionen udøves af et team bestående af flere personer, er det imidlertid vigtigt, at hvert enkelt medlem af organisationen, som udøver funktionerne som databeskyttelsesrådgiver, opfylder alle gældende krav i databeskyttelsesforordningen.
Det fremgår af sagen, at Bech-Bruun varetager rollen som databeskyttelsesrådgiver for kommunen, og at kommunen har fået tildelt en primær kontaktperson hos advokatfirmaet. Den primære kontaktperson suppleres af Bech-Bruuns ”DPO-team”, som består af mere end 15 medarbejdere med databeskyttelsesretlig erfaring og en administrativ medarbejder. Teamet har endvidere mulighed for at trække på øvrige ressourcer og kompetencer i Bech-Bruun, hvis opgaveløsningen nødvendiggør dette.
Det er på den baggrund Datatilsynets opfattelse, at konstruktionen er i overensstemmelse med reglerne om udpegelse af en databeskyttelsesrådgiver i databeskyttelsesforordningens artikel 37.
Det er i øvrigt Datatilsynets opfattelse, at den dataansvarlige og databehandleren selv er nærmest til at vurdere, hvordan den praktiske del af samarbejdet med databeskyttelsesrådgiveren skal implementeres, så samarbejdet kan foregå mest effektivt og hensigtsmæssigt i organisationen. Den dataansvarlige og databehandleren kan derfor i vidt omfang selv organisere den praktiske del af samarbejdet med databeskyttelsesrådgiveren, så længe dette sker inden for rammerne af databeskyttelsesforordningens kapitel 4. Databeskyttelsesrådgiveren bør i den forbindelse spille en central rolle i at fremme en databeskyttelseskultur inden for den dataansvarliges eller databehandlerens organisation og bør som minimum bistå med implementeringen af centrale elementer i databeskyttelsesforordningen. Dette kan eksempelvis ske i form af konkret rådgivning af en udvalgt gruppe af medarbejdere i den dataansvarliges eller databehandlerens organisation, som efterfølgende selv står for den praktiske implementering under forudsætning af, at databeskyttelsesrådgiveren udøver den nødvendige kontrol med organisationens overholdelse af reglerne mv.
2. Databeskyttelsesrådgiverens ekspertise og faglige kvalifikationer
Ifølge databeskyttelsesforordningens artikel 37, stk. 5, udpeges databeskyttelsesrådgiveren på grundlag af sine faglige kvalifikationer, navnlig ekspertise inden for databeskyttelsesret og –praksis, samt evne til at udføre de opgaver der er omhandlet i artikel 39.
Det fremgår af de pågældende fire tilsyn om databeskyttelsesrådgiverens funktion, at Bech-Bruuns DPO-team råder over juridiske og tekniske kompetencer inden for databeskyttelsesret, informationsteknologi, IT-ret, forvaltningsret og sundhedsret, og at teamet har erfaring med informationsteknologi og datasikkerhed.
Det fremgår også af sagen, at det er kommunens vurdering, at Bech-Bruun har et solidt kendskab til den organisatoriske struktur, de kommunale regler og procedurer, og de behandlingsaktiviteter der generelt er i en kommune, idet Bech-Bruun i en lang årrække har rådgivet adskillige kommuner.
Endvidere fremgår det, at Bech Bruun har rådgivet kommunen under implementeringen af databeskyttelsesforordningen og i den forbindelse har erhvervet indsigt i de behandlingsaktiviteter, der udføres hos kommunen.
Kommunen har i øvrigt oplyst, at Bech-Bruun forud for udpegelsen i forskellige sammenhænge har rådgivet kommunen, hvorved Bech-Bruun har erhvervet kendskab til administrative regler og procedurer i kommunen.
Kommunen har samtidig oplyst, at kommunen har afholdt flere opstartsmøder med Bech-Bruun med henblik på at sikre og udvikle databeskyttelsesrådgiverens kendskab til kommunens organisation og behandlingsaktiviteter. Databeskyttelsesrådgiveren holdes endvidere løbende opdateret om disse forhold.
Datatilsynet bemærker, at evnen til at udføre de opgaver, der påhviler databeskyttelsesrådgiveren, skal ses i sammenhæng med dennes personlige kvalifikationer og viden samt dennes stilling i den dataansvarliges eller databehandlerens organisation. For så vidt angår de faglige kvalifikationer, som kræves efter artikel 37, stk. 5, bør databeskyttelsesrådgiveren, foruden en indgående forståelse af de databeskyttelsesretlige regler, også have kendskab til informationsteknologi og datasikkerhed samt den dataansvarliges og databehandlerens beskyttelsesbehov. Endvidere bør databeskyttelsesrådgiveren have et solidt kendskab til administrative regler og procedurer i organisationen. Kravene til databeskyttelsesrådgiverens faglige kvalifikationer skal således ses i sammenhæng med, at databeskyttelsesrådgiveren skal evne at kunne fremme en databeskyttelseskultur inden for organisationen[2].
På baggrund af sagens oplysninger finder Datatilsynet, at kommunens databeskyttelsesrådgiver har de fornødne faglige kvalifikationer til at varetage rollen som databeskyttelsesrådgiver for kommunen, og at kommunen dermed efterlever kravet i databeskyttelsesforordningens artikel 37, stk. 5.
Datatilsynet har i den forbindelse lagt vægt på, at Bech-Bruuns team bestående af flere medarbejdere, der er fælles om at varetage databeskyttelsesrådgiverens funktion, til sammen har relevante uddannelses- og erhvervsmæssige erfaringer med det databeskyttelsesretlige og informationsteknologiske område.
Datatilsynet har endvidere lagt vægt på det oplyste om, at Bech-Bruun forud for udpegelsen i forskellige sammenhænge har rådgivet kommunen, hvorved databeskyttelsesrådgiveren har erhvervet kendskab til administrative regler og procedurer i kommunen, at kommunen har holdt opstartsmøder med databeskyttelsesrådgiveren med henblik på at sikre og udvikle databeskyttelsesrådgiverens kendskab til kommunens organisation og behandlingsaktiviteter, og at Bech-Bruun generelt – forinden tiltrædelsen – havde et kendskab til kommuners organisation og de administrative regler, procedurer og behandlingsaktiviteter, der er kendetegnene for kommuner.
3. Inddragelse af databeskyttelsesrådgiveren
Databeskyttelsesforordningens artikel 38, stk. 1, stiller krav om, at den dataansvarlige og databehandleren sikrer, at databeskyttelsesrådgiveren inddrages tilstrækkeligt og rettidigt i alle spørgsmål vedrørende beskyttelse af personoplysninger.
Det fremgår af sagen, at Vejle Kommune er forpligtet til at inddrage Bech-Bruun i beslutninger og vurderinger vedrørende kommunens behandling af personoplysninger 1) inden beslutninger træffes vedrørende Privacy By Design og Privacy By Default, 2) inden udstedelse af retningslinjer og procedurer vedrørende behandling af personoplysninger, 3) før offentliggørelse af udbudsmateriale i en udbudsproces, 4) inden færdigudvikling eller indkøb af et IT-system, hvori der behandles personoplysninger, 5) inden gennemførelse af konsekvensanalyser og 6) inden større ændringer i kommunens procedurer for eksempelvis håndtering af indsigtsanmodninger fra registrerede.
Kommunen har endvidere oplyst, at samarbejdet med Bech-Bruun er forankret i en intern organisation i kommunen, og at proceduren for kommunens inddragelse af databeskyttelsesrådgiveren på denne måde sikres.
Herudover fremgår det af sagen, at Bech-Bruun assisterer Vejle Kommune ved opståede brud på persondatasikkerheden, og at denne assistance blandt andet består i at hjælpe kommunen med at vurdere, om der skal ske anmeldelse til Datatilsynet og underretning af den registrerede.
Det er Datatilsynets opfattelse, at databeskyttelsesrådgiveren skal inddrages i alle de overvejelser og vurderinger, som det forudsættes, at den dataansvarlige eller databehandleren har gjort sig og foretaget med henblik på at overholde de databeskyttelsesretlige regler. Dette indebærer blandt andet, at databeskyttelsesrådgiveren bør inddrages i overvejelser vedrørende efterlevelsen af de registreredes rettigheder og fastlæggelse af passende sikkerhedsforanstaltninger. Databeskyttelsesrådgiveren skal inddrages i så god tid, som det er muligt og relevant, forud for iværksættelse af behandlingsaktiviteter.
Efter en gennemgang af sagens oplysninger, er det Datatilsynets vurdering, at Vejle Kommunes databeskyttelsesrådgiver inddrages tilstrækkeligt og rettidigt i alle spørgsmål vedrørende databeskyttelse.
Datatilsynet har herved lagt vægt på, at samarbejdet med databeskyttelsesrådgiveren og kommunen sikrer en rettidig inddragelse af databeskyttelsesrådgiveren, og at kommunen i øvrigt i en række tilfælde er forpligtet til at involvere databeskyttelsesrådgiveren.
Datatilsynet finder på baggrund af ovenstående, at Vejle Kommune overholder kravet i databeskyttelsesforordningens artikel 38, stk. 1.
4. Registreredes kontakt til databeskyttelsesrådgiveren
Databeskyttelsesforordningens artikel 38, stk. 4, stiller krav om, at registrerede kan kontakte databeskyttelsesrådgiveren angående alle spørgsmål om behandling af deres oplysninger og om udøvelse af deres rettigheder i henhold til databeskyttelsesforordningen.
Det fremgår af sagen, at registrerede i kommunen har mulighed for at kontakte databeskyttelsesrådgiveren angående alle spørgsmål om behandling af deres oplysninger og om udøvelse af deres rettigheder. Databeskyttelsesrådgiveren kan kontaktes telefonisk, ved fysisk post, e-mail eller via en sikker beskedfunktion på kommunens hjemmeside. Henvendelserne bliver læst og besvaret alle hverdage mellem klokken 09:00 til 16:00, og besvarelsen vil normalt blive besvaret samme eller den følgende hverdag.
På baggrund af sagens oplysninger, er det Datatilsynets opfattelse, at kommunen overholder kravet i databeskyttelsesforordningens artikel 38, stk. 4.
5. Underretning og rådgivning af kommunen og kommunens ansatte
Det følger af databeskyttelsesforordningens artikel 39, stk. 1, litra a, at databeskyttelsesrådgiveren har til opgave at underrette og rådgive den dataansvarlige eller databehandleren og de ansatte, der behandler personoplysninger, om deres forpligtelser i henhold til databeskyttelsesforordningen og anden EU-ret eller national ret i medlemsstaterne om databeskyttelse. Databeskyttelsesrådgiveren skal i forbindelse hermed tage behørigt hensyn til den risiko, der er forbundet med behandlingsaktiviteter, under hensyntagen til den pågældende behandlings karakter, omfang, sammenhæng og formål, jf. artikel 39, stk. 2.
Databeskyttelsesforordningens artikel 39, stk. 1, litra a skal ses i sammenhæng med artikel 38, stk. 1, hvorefter den dataansvarlige sikrer, at databeskyttelsesrådgiveren inddrages tilstrækkeligt og rettidigt i alle spørgsmål vedrørende beskyttelse af personoplysninger.
Artikel 39, stk. 1, litra a, indebærer efter Datatilsynets opfattelse, at databeskyttelsesrådgiveren i fornødent omfang skal stå til rådighed for organisationen og organisationens medarbejdere for at kunne yde den fornødne rådgivning. Det er således påkrævet, at databeskyttelsesrådgiveren er tilgængelig for organisationen og medarbejderne.
For så vidt angår eksterne databeskyttelsesrådgivere, der også varetager andre opgaver ud over rollen som databeskyttelsesrådgiver for en given organisation, bør der særligt tages højde for, om databeskyttelsesrådgiveren er i stand til at stå til rådighed for den pågældende organisation til trods herfor.
Datatilsynet har som led i dette tilsyn derfor også haft særligt fokus på, om databeskyttelsesrådgiveren i fornødent omfang er tilgængelig for kommunens medarbejdere (afsnit 5.1) og kommunen (afsnit 5.2), og om databeskyttelsesrådgiveren i fornødent omfang bistår kommunen med implementeringen af centrale elementer i databeskyttelsesforordningen.
5.1. Kommunens medarbejdere
Vejle Kommune har oplyst, at databeskyttelsesrådgiveren generelt står til rådighed for medarbejdere i kommunen, og at medarbejderne ikke er udelukket fra at henvende sig til databeskyttelsesrådgiveren.
Endvidere har kommunen oplyst, at af hensyn til at eskalere og kvalificere den forespørgsel, der om nødvendigt sendes til databeskyttelsesrådgiveren, er kommunens medarbejdere blevet orienteret om, at de som udgangspunkt skal henvende sig til kommunens GDPR-organisation. Hvis GDPR-organisationen kan afklare medarbejderens spørgsmål, eksempelvis fordi der er tale om et gentagende spørgsmål, eller hvis spørgsmålet kan afklares med henvisning til kommunens interne procedurer og retningslinjer, inddrager kommunen ikke databeskyttelsesrådgiveren. Kommunen har endvidere oplyst, at formålet med denne ordning også er at sikre udbredelsen af erfaringer, der skabes i de enkelte afdelinger i kommunen.
Det er Datatilsynets opfattelse, at dataansvarlige og databehandlere selv er nærmest til at vurdere, hvordan samarbejdet med databeskyttelsesrådgiveren kan implementeres mest hensigtsmæssigt i organisationen. Det er herunder muligt og i visse tilfælde en fordel at lade medarbejdere bistå databeskyttelsesrådgiveren. Der kan i relation til medarbejderhenvendelser eksempelvis være tilfælde, hvor det af organisatoriske hensyn kan være en fordel at lade personale – som i øvrigt assisterer databeskyttelsesrådgiveren – bistå databeskyttelsesrådgiveren, såfremt de pågældende medarbejdere er kvalificerede hertil. Der skal dog være en reel mulighed for, at medarbejdere kan kontakte databeskyttelsesrådgiveren, når situationen påkræver det.
Datatilsynet finder, at kommunens organisering i forbindelse med databeskyttelsesrådgiverens håndtering af medarbejderhenvendelser er i overensstemmelse med databeskyttelsesforordningens artikel 39, stk. 1, litra a, og at databeskyttelsesrådgiveren dermed i fornødent omfang er tilgængelig for kommunens medarbejdere.
Datatilsynet har herved lagt vægt på det af Vejle Kommune oplyste om, at GDPR-organisationen involverer databeskyttelsesrådgiveren, hvis organisationen ikke selv kan besvare henvendelsen fra medarbejdere, og at medarbejderne reelt har mulighed for direkte at kontakte databeskyttelsesrådgiveren.
5.2. Kommunen
Vejle Kommune har oplyst, at databeskyttelsesrådgiveren rådgiver om implementeringen af centrale elementer i databeskyttelsesforordningen, men at databeskyttelsesrådgiveren ikke forestår den praktiske implementering. Hensynet bag denne ordning er at sikre databeskyttelsesrådgiverens uafhængighed, således at databeskyttelsesrådgiveren ikke kommer til at evaluere sit eget arbejde.
Det fremgår endvidere af det indsendte materiale, at databeskyttelsesrådgiveren og kommunen afholder 6 årlige møder om databeskyttelse af to timers varighed, hvor databeskyttelsesrådgiveren udøver konkret rådgivning om databeskyttelse herunder i forhold til kommunens behandlingsaktiviteter.
Herudover har Vejle Kommune oplyst, at databeskyttelsesrådgiveren understøtter kommunen i udarbejdelse og afholdelse af afdelingsvise oplysningskampagner og undervisningssessioner. Databeskyttelsesrådgiveren tilbyder ét halvårligt fysisk uddannelseskursus af 3 timers varighed, hvor kommunens medarbejdere har mulighed for at deltage.
Det er Datatilsynets opfattelse, at databeskyttelsesrådgiveren spiller en central rolle i at fremme en databeskyttelseskultur inden for den dataansvarliges og databehandlerens organisation, men at det alene er et krav, at databeskyttelsesrådgiveren bistår med implementeringen af centrale elementer i databeskyttelsesforordningen. Den konkrete og praktiske opgave i forbindelse med implementering af initiativerne kan således uddelegeres til personale, der er kvalificeret hertil. Datatilsynet skal i den forbindelse understrege, at den dataansvarlige og databehandleren selv er nærmest til at vurdere, hvordan den praktiske del af samarbejdet med databeskyttelsesrådgiveren kan foregå mest effektivt og hensigtsmæssigt i organisationen. Dataansvarlige og databehandlere kan derfor i vidt omfang selv organisere den praktiske del af samarbejdet med deres databeskyttelsesrådgiver, så længe dette sker inden for rammerne af databeskyttelsesforordningens kapitel 4. Organisationen kan eksempelvis vælge at lade databeskyttelsesrådgiveren uddanne udvalgte og relevante medarbejdere i organisationen med henblik på, at disse medarbejdere videreformidler uddannelsens indhold til de øvrige medarbejdere i organisationen og foretager den praktiske udarbejdelse af vejledninger mv.
På baggrund af ovenstående finder Datatilsynet, at kommunens organisering af varetagelsen af databeskyttelsesrådgiverens opgave med at yde bistand i form af at rådgive kommunen om de databeskyttelsesretlige regler er i overensstemmelse med databeskyttelsesforordningens artikel 39, stk. 1, litra a.
Datatilsynet har herved lagt vægt på, at databeskyttelsesrådgiveren rådgiver om implementering af centrale databeskyttelsesretlige elementer, hvorefter kommunen forestår den praktiske implementeringen på baggrund af den rådgivning, som databeskyttelsesrådgiveren har udøvet.
I forhold til sikringen af databeskyttelsesrådgiverens uafhængighed, jf. databeskyttelsesforordningens artikel 38, stk. 3, bemærker Datatilsynet, at databeskyttelsesrådgiveren – uanset at den dataansvarlige og databehandleren ikke kan bestemme, hvordan databeskyttelsesrådgiveren skal behandle en sag, og hvilket resultat databeskyttelsesrådgiveren skal komme frem til – efter reglerne i artikel 39 er forpligtet til at bistå med rådgivning, når der er behov herfor. Databeskyttelsesrådgiverens eventuelle praktiske implementering af vejledninger mv. vil umiddelbart ikke være i konflikt med artikel 38, stk. 3, og der kan være situationer, hvor denne løsning er mest hensigtsmæssig.
5.3. Sammenfatning
På baggrund af det af Vejle Kommune oplyste, er det Datatilsynets opfattelse, at kommunens databeskyttelsesrådgiver opfylder kravet i databeskyttelsesforordningens artikel 39, stk. 1, litra a.
6. Overvågning af overholdelse af de databeskyttelsesretlige regler
Det følger af databeskyttelsesforordningens artikel 39, stk. 1, litra b, at databeskyttelsesrådgiveren har til opgave at overvåge overholdelsen af databeskyttelsesforordningen, af anden EU-ret eller national ret i medlemsstaterne om databeskyttelse og af den dataansvarliges eller databehandlerens politikker om beskyttelse af personoplysninger, herunder fordeling af ansvar, oplysningskampagner og uddannelse af det personale, der medvirker ved behandlingsaktiviteter, og de tilhørende revisioner. Databeskyttelsesrådgiveren skal i forbindelse hermed tage behørigt hensyn til den risiko, der er forbundet med behandlingsaktiviteter, under hensyntagen til den pågældende behandlings karakter, omfang, sammenhæng og formål, jf. artikel 39, stk. 2.
Datatilsynet bemærker, at som en del af opgaven med at overvåge overholdelsen af de databeskyttelsesretlige regler, skal databeskyttelsesrådgiveren navnlig indsamle oplysninger, der identificerer databehandlingsaktiviteter, analysere og kontrollere databehandlingsaktiviteternes overholdelse af bestemmelserne og informere, rådgive og rette henstillinger til den dataansvarlige eller databehandleren[3].
6.1.
Kommunen har oplyst, at kommunen kontraktretligt har taget højde for, at databeskyttelsesrådgiveren opfylder databeskyttelsesrådgiverens opgave om at føre kontrol med kommunen. Kommunen har imidlertid ikke udarbejdet faste procedurer og retningslinjer for databeskyttelsesrådgiverens kontrol med kommunens overholdelse af de databeskyttelsesretlige regler, da kommunen ikke mener, at dette vil være foreneligt med databeskyttelsesforordningens artikel 38, stk. 3, hvorefter kommunen er forpligtet til at sikre, at databeskyttelsesrådgiveren ikke modtager instrukser vedrørende udførelsen af sine opgaver.
Endvidere har kommunen oplyst, at kommunen har et internt controllerteam, som fører kontrol med kommunens overholdelse af databeskyttelseslovgivningen. Databeskyttelsesrådgiveren rådgiver controllerteamet og bliver præsenteret for resultaterne af kommunens interne kontroller, som efterfølgende sanktioneres gennem dialog. Datatilsynet har lagt til grund, at sanktioneringen sker af controllerteamet, da der er tale om en supplerende kontrol til databeskyttelsesrådgiverens kontrol.
Af sagens oplysninger i de fire tilsyn fremgår det herudover, at databeskyttelsesrådgiveren foretager planlagte kontroller inden for en række overordnede kontroltemaer, der udvælges af databeskyttelsesrådgiveren. De planlagte kontroller er baseret på forskellige metoder, herunder stikprøvekontrol af systemer og behandlingsaktiviteter, besvarelse af databeskyttelsesrådgiverens mundtlige eller skriftlige spørgsmål til kommunen samt kommunens fremlagte dokumentation. På baggrund af den valgte metodik udarbejder databeskyttelsesrådgiveren en skriftlig rapport, som danner grundlag for rapportering til kommunens ledelse.
Det fremgår endvidere, at databeskyttelsesrådgiverens kendskab til og indsigt i kommunen indgår som en del af den foretagne kontrol, herunder eksempelvis i forbindelse med rådgivning af kommunens medarbejdere og besvarelse af henvendelser af registrerede. Herudover vil databeskyttelsesrådgiveren, i forbindelse med sikkerhedsbrud, gennem opfølgende spørgsmål få klarlagt årsagen til hændelsen og på denne måde føre kontrol med kommunens interne retningslinjer og procedurer, uddannelse og træning af medarbejdere samt opmærksomhedsskabende aktiviteter. Kommunens ikke-planlagte kontroller foretages således som en fast del af databeskyttelsesrådgiverens opgavevaretagelse.
Hvis databeskyttelsesrådgiveren i medfør af sin øvrige opgavevaretagelse konstaterer, at kommunens behandling af personoplysninger ikke sker i overensstemmelse med de databeskyttelsesretlige regler, vil databeskyttelsesrådgiveren reagere. Reaktionens form vil afhænge af den konkrete situation.
6.2.
Datatilsynet finder, at kravet om at overvåge overholdelsen af databeskyttelsesretlige regler i artikel 39, stk. 1, litra b, skal ses i sammenhæng med, at databeskyttelsesrådgiveren skal have kendskab til de behandlingsaktiviteter, der foregår i organisationen. Databeskyttelsesrådgiveren kan herved underrette den dataansvarlige eller databehandleren i tilfælde af, at databeskyttelsesrådgiveren konstaterer en manglende overholdelse af reglerne med henblik på, at fejlen bliver rettet. Databeskyttelsesrådgiveren kan blandt andet sikre et sådant varigt kendskab og overblik over den dataansvarliges eller databehandlerens organisation ved jævnlige møder, kvalitetskontroller af retningslinjer og standardskabeloner, afrapportering, stikprøvekontroller mv.
Det er samtidig Datatilsynets opfattelse, at databeskyttelsesrådgiverens kontakt med de registrerede og vejledning generelt understøtter databeskyttelsesrådgiverens opgave med at overvåge overholdelsen af de databeskyttelsesretlige regler, jf. artikel 39, stk. 1, litra b. Ved kontakten med de registrerede kan databeskyttelsesrådgiveren blive gjort opmærksom på behandlinger, der ikke overholder reglerne, eller procedurer, der ikke fungerer efter hensigten.
Det er ligeledes Datatilsynets opfattelse, at den kontrol, som databeskyttelsesrådgiveren skal foretage af den dataansvarlige eller databehandleren i medfør af databeskyttelsesforordningens artikel 39, stk. 1, litra b, afhænger af den internt valgte organisering af databeskyttelsesrådgiverens opgaver. Hvis organisationen i højere grad overlader den konkrete udførelse af opgaver til andre medarbejdere end databeskyttelsesrådgiveren, er det Datatilsynets opfattelse, at databeskyttelsesrådgiveren som udgangspunkt bør føre en højere grad af kontrol med, hvordan disse opgaver bliver udformet, og om det sker i overensstemmelse med de databeskyttelsesretlige regler.
I tilfælde af at den dataansvarlige eller databehandleren eksempelvis i et væsentligt omfang selv bistår med at rådgive medarbejdere i relation til databeskyttelsesretlige spørgsmål, er det således Datatilsynets opfattelse, at der er et skærpet krav i forhold til de øvrige kontrolforanstaltninger, som databeskyttelsesrådgiveren skal foretage. Databeskyttelsesrådgiveren skal således sikre, at kontrollen – som ville kunne have været foretaget i forbindelse med medarbejderhenvendelser – sikres på anden vis.
Efter en gennemgang af sagens oplysninger er det imidlertid Datatilsynets vurdering, at kommunens organisering af databeskyttelsesrådgiverens forpligtelse til at overvåge kommunens overholdelse af de databeskyttelsesretlige regler sker inden for rammerne af databeskyttelsesforordningens artikel 39, stk. 1, litra b.
Datatilsynet har i den forbindelse særligt lagt vægt på det oplyste om, at databeskyttelsesrådgiveren foretager planlagte kontroller med kommunen om udvalgte emner, og at kontrollen danner grundlag for en kontrolrapport, som herefter danner grundlag for rapportering til kommunens ledelse.
Datatilsynet har i øvrigt lagt vægt på, at databeskyttelsesrådgiveren ved sin øvrige opgavevaretagelse i kommunen, herunder i forbindelse med inddragelse i møder, besvarelse af henvendelser fra de registrerede og bistand i forbindelse med uddannelse af medarbejdere i kommunen, har mulighed for at blive gjort bekendt med databeskyttelsesretlige problemstillinger og hermed at føre kontrol med kommunens overholdelse af reglerne, og at databeskyttelsesrådgiveren ud fra det oplyste i nødvendigt omfang reagerer, hvis denne konstaterer en overtrædelse af reglerne.
Datatilsynet har endvidere noteret, at databeskyttelsesrådgiveren bidrager til de kontroller der føres internt af en gruppe af medarbejdere i kommunen, og at der dermed er tale om et supplement til databeskyttelsesrådgiverens øvrige tilsyn.
Datatilsynet bemærker afslutningsvis, at det ikke i sig selv er i strid med kravet i databeskyttelsesforordningens artikel 38, stk. 3 om at sikre databeskyttelsesrådgiverens uafhængighed, at den dataansvarlige eller databehandleren udarbejder vejledninger og retningslinjer, som skal sikre at databeskyttelsesrådgiveren efterlever kravet om at overvåge kommunens overholdelse af de databeskyttelsesretlige regler. Kravet i artikel 38, stk. 3, indebærer derimod, at databeskyttelsesrådgiveren under opfyldelse af dennes opgaver efter artikel 39 ikke må modtage instruktioner om, hvordan den skal behandle en sag. Dette kan eksempelvis være hvilket resultat, der skal opnås, hvordan en sag skal undersøges mv. Generelle retningslinjer og vejledninger, som fastlægger rammerne for, hvordan det sikres, at databeskyttelsesrådgiveren efterlever kravet i artikel 39, stk. 1, litra a vil ikke være i strid med kravet i artikel 38, stk. 3. Det er endvidere Datatilsynets opfattelse, at sådanne retningslinjer kan bidrage til at give den dataansvarlige et overblik over, i hvilket omfang databeskyttelsesrådgiveren efterlever opgaverne i artikel 39.
7. Konklusion
På baggrund af de undersøgte forhold finder Datatilsynet, at Vejle Kommunes brug af en ekstern databeskyttelsesrådgiver ligger inden for rammerne af databeskyttelsesforordningen. Datatilsynet har i den forbindelse noteret sig følgende:
- At Vejle Kommune har udpeget et advokatfirma – Bech-Bruun – som databeskyttelsesrådgiver for kommunen, og kommunen har fået tildelt en primær kontaktperson hos advokatfirmaet.
- At Vejle Kommunes databeskyttelsesrådgiver har de fornødne faglige kvalifikationer til at varetage rollen, jf. databeskyttelsesforordningens artikel 37, stk. 5.
- At Vejle Kommune i overensstemmelse med databeskyttelsesforordningens artikel 38, stk. 1, har sikret, at databeskyttelsesrådgiveren inddrages tilstrækkeligt og rettidigt i alle spørgsmål vedrørende beskyttelse af personoplysninger.
- At registrerede i Vejle Kommune i overensstemmelse med databeskyttelsesforordningens artikel 38, stk. 4, kan kontakte databeskyttelsesrådgiveren angående alle spørgsmål om behandling af deres oplysninger og om udøvelse af deres rettigheder i henhold til databeskyttelsesforordningen.
- At Vejle Kommunes databeskyttelsesrådgiver i overensstemmelse med databeskyttelsesforordningens artikel 39, stk. 1, litra a, underretter og rådgiver kommunen og ansatte i kommunen om deres databeskyttelsesretlige forpligtelser.
- At Vejle Kommune i overensstemmelse med databeskyttelsesforordningens artikel 39, stk. 1, litra b, har sikret, at databeskyttelsesrådgiveren overvåger kommunens overholdelse af de databeskyttelsesretlige regler.
[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).
[2] Artikel 29-gruppens retningslinjer for databeskyttelsesrådgivere, vedtaget den 13. december 2016, senest revideret og vedtaget den 5. april 2017, s. 12.
[3] Artikel 29-gruppens retningslinjer for databeskyttelsesrådgivere, vedtaget den 13. december 2016, senest revideret og vedtaget den 5. april 2017, s. 18.
Bilag: Relevante retsregler i databeskyttelsesforordningens kapitel 4
Artikel 37
Udpegelse af en databeskyttelsesrådgiver
1. Den dataansvarlige og databehandleren udpeger altid en databeskyttelsesrådgiver, når:
a) behandling foretages af en offentlig myndighed eller et offentligt organ, undtagen domstole, der handler i deres egenskab af domstol
b) den dataansvarliges eller databehandlerens kerneaktiviteter består af behandlingsaktiviteter, der i medfør af deres karakter, omfang og/eller formål kræver regelmæssig og systematisk overvågning af registrerede i stort omfang, eller
c) den dataansvarliges eller databehandlerens kerneaktiviteter består af behandling i stort omfang af særlige kategorier af oplysninger, jf. artikel 9, og personoplysninger vedrørende straffedomme og lovovertrædelser, jf. artikel 10.
2. En koncern kan udnævne en fælles databeskyttelsesrådgiver, forudsat at alle etableringer har let adgang til databeskyttelsesrådgiveren.
3. Hvis den dataansvarlige eller databehandleren er en offentlig myndighed eller et offentligt organ, kan en fælles databeskyttelsesrådgiver udpeges for flere af sådanne myndigheder eller organer i overensstemmelse med deres organisatoriske struktur og størrelse.
4. I andre tilfælde end de i stk. 1 omhandlede kan eller, når det kræves i henhold til EU-retten eller medlemsstaternes nationale ret, skal den dataansvarlige eller databehandleren eller sammenslutninger og andre organer, som repræsenterer kategorier af dataansvarlige eller databehandlere, udpege en databeskyttelsesrådgiver. Databeskyttelsesrådgiveren kan handle på vegne af sådanne sammenslutninger og andre organer, som repræsenterer dataansvarlige eller databehandlere.
5. Databeskyttelsesrådgiveren udpeges på grundlag af sine faglige kvalifikationer, navnlig ekspertise inden for databeskyttelsesret og -praksis samt evne til at udføre de opgaver, der er omhandlet i artikel 39.
6. Databeskyttelsesrådgiveren kan være den dataansvarliges eller databehandlerens medarbejder eller kan udføre hvervet på grundlag af en tjenesteydelseskontrakt.
7. Den dataansvarlige eller databehandleren offentliggør kontaktoplysninger for databeskyttelsesrådgiveren og meddeler disse til tilsynsmyndigheden.
Artikel 38
Databeskyttelsesrådgiverens stilling
1. Den dataansvarlige og databehandleren sikrer, at databeskyttelsesrådgiveren inddrages tilstrækkeligt og rettidigt i alle spørgsmål vedrørende beskyttelse af personoplysninger.
2. Den dataansvarlige og databehandleren støtter databeskyttelsesrådgiveren i forbindelse med udførelsen af de i artikel 39 omhandlede opgaver ved at tilvejebringe de ressourcer, der er nødvendige for at udføre disse opgaver og opretholde databeskyttelsesrådgiverens ekspertise, samt adgang til personoplysninger og behandlingsaktiviteter.
3. Den dataansvarlige og databehandleren sikrer, at databeskyttelsesrådgiveren ikke modtager instrukser vedrørende udførelsen af disse opgaver. Den pågældende må ikke afskediges eller straffes af den dataansvarlige eller databehandleren for at udføre sine opgaver. Databeskyttelsesrådgiveren rapporterer direkte til det øverste ledelsesniveau hos den dataansvarlige eller databehandleren.
4. Registrerede kan kontakte databeskyttelsesrådgiveren angående alle spørgsmål om behandling af deres oplysninger og om udøvelse af deres rettigheder i henhold til denne forordning.
5. Databeskyttelsesrådgiveren er underlagt tavshedspligt eller fortrolighed vedrørende udførelsen af sine opgaver i overensstemmelse med EU-retten eller medlemsstaternes nationale ret.
6. Databeskyttelsesrådgiveren kan udføre andre opgaver og have andre pligter. Den dataansvarlige eller databehandleren sikrer, at sådanne opgaver og pligter ikke medfører en interessekonflikt.
Artikel 39
Databeskyttelsesrådgiverens opgaver
1. Databeskyttelsesrådgiveren har som minimum følgende opgaver:
a) at underrette og rådgive den dataansvarlige eller databehandleren og de ansatte, der behandler personoplysninger, om deres forpligtelser i henhold til denne forordning og anden EU-ret eller national ret i medlemsstaterne om databeskyttelse
b) at overvåge overholdelsen af denne forordning, af anden EU-ret eller national ret i medlemsstaterne om databeskyttelse og af den dataansvarliges eller databehandlerens politikker om beskyttelse af personoplysninger, herunder fordeling af ansvar, oplysningskampagner og uddannelse af det personale, der medvirker ved behandlingsaktiviteter, og de tilhørende revisioner
c) at rådgive, når der anmodes herom, med hensyn til konsekvensanalysen vedrørende databeskyttelse og overvåge dens opfyldelse i henhold til artikel 35
d) at samarbejde med tilsynsmyndigheden
e) at fungere som tilsynsmyndighedens kontaktpunkt i spørgsmål vedrørende behandling, herunder den forudgående høring, der er omhandlet i artikel 36, og at høre tilsynsmyndigheden, når det er hensigtsmæssigt, om eventuelle andre spørgsmål.
2. Databeskyttelsesrådgiveren tager under udførelsen af sine opgaver behørigt hensyn til den risiko, der er forbundet med behandlingsaktiviteter, under hensyntagen til den pågældende behandlings karakter, omfang, sammenhæng og formål.