I første halvår af 2019 besluttede Datatilsynet at føre tilsyn med forskellige temaer omkring kommunernes databeskyttelsesrådgivere (også ofte kaldet DPO efter den engelske betegnelse Data Protection Officer), herunder databeskyttelsesrådgiverens opgaver, ressourcer, faglige kvalifikationer og de registreredes adgang til databeskyttelsesrådgiveren. Den ene gruppe af tilsyn fokuserede på kommuner, som delte databeskyttelsesrådgiver med andre kommuner. Den anden gruppe af tilsyn fokuserede på kommuner, som havde tilkøbt sig ydelsen hos et advokatselskab.
I den første gruppe af tilsyn var en række kommuner tilknyttet to personer hos det Nordsjællandske Digitaliseringssamarbejde. De to personer fungerede som databeskyttelsesrådgivere for alle de pågældende kommuner. De omhandlede kommuner var Fredensborg Kommune, Gribskov Kommune, Frederikssund Kommune, Helsingør Kommune, Hillerød Kommune, Hørsholm Kommune og Halsnæs Kommune. Andre kommuner havde udpeget en databeskyttelsesrådgiver, som var tilknyttet den Storkøbenhavnske Digitaliseringsforening. Det var tilfældet for Høje-Taastrup Kommune, Hvidovre Kommune, Dragør Kommune og Albertslund Kommune.
I den anden gruppe af tilsyn var en række kommuner tilknyttet forskellige advokatselskaber. Nogle af kommunerne havde udpeget Bech-Bruun til at varetage rollen som databeskyttelsesrådgiver. Det drejede sig om Vejle Kommune, Næstved Kommune, Roskilde Kommune og Vordingborg Kommune. Herudover havde to kommuner – Mariagerfjord Kommune og Hjørring Kommune – udpeget en advokat fra advokatfirmaet HjulmandKaptain til at varetage rollen som databeskyttelsesrådgiver.
Datatilsynets vurdering
På baggrund af tilsynene er det Datatilsynets vurdering, at kommunernes løsninger om brug af databeskyttelsesrådgivere ligger inden for rammerne af databeskyttelsesforordningen.
Det er Datatilsynets opfattelse, at den dataansvarlige og databehandleren selv er nærmest til at vurdere, hvordan den praktiske del af samarbejdet med databeskyttelsesrådgiveren skal implementeres, så samarbejdet kan foregå mest effektivt og hensigtsmæssigt i organisationen. Den dataansvarlige og databehandleren kan derfor i vidt omfang selv organisere den praktiske del af samarbejdet med databeskyttelsesrådgiveren, så længe dette sker inden for rammerne af databeskyttelsesforordningens kapitel 4.
Læs afgørelserne
Du kan læse én afgørelse for hver databeskyttelsesrådgiver-konstruktion her:
Fredensborg Kommune (del af det Nordsjællandske Digitaliseringssamarbejde)
Albertslund Kommune (del af den Storkøbenhavnske Digitaliseringsforening)
Vejle Kommune (anvender Bech-Bruun)
Mariagerfjord Kommune (anvender advokat hos HjulmandKaptain)
Hvis du vil vide mere
Datatilsynets m.fl. vejledning om databeskyttelsesrådgivere
Artikel 29-gruppens retningslinjer for databeskyttelsesrådgivere