Ikke alle havde styr på det formelle krav om udpegning af en databeskyttelsesrådgiver mv.

Publiceret 24-06-2019
Nyhed

Datatilsynet har ført tilsyn med kravet i databeskyttelsesforordningen om udpegning af en databeskyttelsesrådgiver, og det har resulteret i 2 udtalelser, hvor Datatilsynet har udtalt alvorlig kritik, og 37 udtalelser, hvor Datatilsynet har udtalt kritik.

Datatilsynet besluttede i 2018 – på baggrund af et fælles tilsynsinitiativ mellem datatilsynene i de nordiske lande – bl.a. at føre tilsyn med, om offentlige myndigheder og en række private virksomheder senest den 25. maj 2018 havde udpeget en databeskyttelsesrådgiver og meddelt dennes kontaktoplysninger til Datatilsynet.

Databeskyttelsesrådgiverens funktion er bl.a. at rådgive den dataansvarlige myndighed eller virksomhed om de databeskyttelsesretlige regler og på bedste vis understøtte en god databeskyttelse hos den dataansvarlige.

Databeskyttelsesrådgiveren skal endvidere være i stand til at vejlede den person, der behandles oplysninger om. Det betyder, at databeskyttelsesrådgiveren skal være i stand til at vejlede registrerede personer om, hvilke rettigheder de har, og hvordan rettighederne kan udnyttes.

Herudover har databeskyttelsesrådgiveren en særlig stilling i forhold til Datatilsynet, idet databeskyttelsesrådgiveren er kontaktled til og skal samarbejde med Datatilsynet angående alle spørgsmål om behandling af personoplysninger for de personer, myndigheden eller virksomheden behandler oplysninger om. Databeskyttelsesrådgiveren skal eksempelvis inddrages i tilfælde af, at konkrete klagersager indbringes for Datatilsynet, eller hvis Datatilsynet beslutter at gennemføre et tilsyn hos myndigheden eller virksomheden. Det er derfor vigtigt, at offentlige myndigheder og alle relevante virksomheder har sørget for at få udpeget en databeskyttelsesrådgiver og meddelt kontaktoplysningerne på denne til Datatilsynet.

Resultatet af tilsynene

På baggrund af tilsynene har Datatilsynet udtalt alvorlig kritik af to private virksomheder, som ikke havde en databeskyttelsesrådgiver senest den 25. maj 2018.

Endvidere har Datatilsynet udtalt kritik af 31 kommuner, to ministerier og fire private virksomheder, som havde en databeskyttelsesrådgiver senest den 25. maj 2018, men som ikke havde meddelt rådgiverens kontaktoplysninger til Datatilsynet eller som ikke havde en databeskyttelsesrådgiver.

Følgende offentlige myndigheder og private virksomheder har modtaget en udtalelse fra Datatilsynet med alvorlig kritik:

  • Kysthospitalet Skodsborg A/S og Privathospitalet Danmark A/S

Følgende offentlige myndigheder og private virksomheder har modtaget en udtalelse fra Datatilsynet med kritik:

  • Ballerup Kommune, Brønderslev Kommune, Fanø Kommune, Faxe Kommune, Fredensborg Kommune, Frederikshavn Kommune, Faaborg-Midtfyn Kommune, Gentofte Kommune, Glostrup Kommune, Gribskov Kommune, Haderslev Kommune, Hillerød Kommune, Hjørring Kommune, Ikast-Brande Kommune, Jammerbugt Kommune, Kerteminde Kommune, Kolding Kommune, Lemvig Kommune, Lyngby-Taarbæk Kommune, Læsø Kommune, Norddjurs Kommune, Rudersdal Kommune, Rødovre Kommune, Samsø Kommune, Skive Kommune, Solrød Kommune, Stevns Kommune, Tønder Kommune, Varde Kommune, Vejen Kommune Ærø Kommune, Transport-, Bygnings- og Boligministeriet, Kirkeministeriet, Aleris Hamlet Hospitaler A/S, Aleris Hamlet Ringsted A/S, Capio CFR A/S og GHP Gildhøj Privathospital ApS

Øvrige 18 ministerier, 67 kommuner og samtlige regioner har modtaget en udtalelse fra Datatilsynet uden kritik. Samtlige private virksomheder, som Datatilsynet har ført tilsyn med, har modtaget en udtalelse med enten alvorlig kritik eller kritik.

Hvis du vil vide mere

Du kan læse mere om, hvornår der er pligt til at udpege en databeskyttelsesrådgiver her.