Datatilsynet med positiv udmelding: Kommunerne er lykkedes

Datatilsynet har gennemført 17 planlagte tilsyn med kommuners databeskyttelsesrådgivere og har konstateret, at kommunernes løsninger er i overensstemmelse med reglerne for databeskyttelse. Læs med, og find ud af, hvad Datatilsynet fokuserede på, og hvordan kommunerne – med to forskellige tilgange – er lykkedes med at leve op til reglerne.

I forbindelse med sine tilsyn har Datatilsynet blandt andet undersøgt, om kommunernes databeskyttelsesrådgivere (DPO'ere) lever op til databeskyttelsesforordningens krav til DPO'ens:

 

  • opgavevaretagelse
  • ressourcer
  • faglige kvalifikationer. 

 

To veje til målet

Blandt kommunerne er der etableret to former for DPO-konstruktioner med det til fælles, at der er tale om en outsourcing af DPO-funktionen. Begge konstruktioner er ifølge Datatilsynet i overensstemmelse med databeskyttelsesforordningens regler om udpegelse af en DPO.

Nogle kommuner har udpeget fælles DPO i kommunale fællesskaber, så udvalgte personer varetager digitaliseringssamarbejdet på tværs af kommunerne.

Andre kommuner har udpeget advokatselskaber til at varetage rollen som DPO.

I begge typer konstruktioner har kommunerne indgået tjenestemandskontrakter med de eksterne DPO'ere i overensstemmelse med databeskyttelsesforordningens artikel 37, stk. 6.

Datatilsynets afgørelser

Efter at have gennemført sine tilsyn har Datatilsynet offentliggjort to afgørelser om de respektive DPO-konstruktioner. Læs afgørelserne om: 

 

 

Organiseringsfrihed

På baggrund af tilsynene slår Datatilsynet fast, at dataansvarlige og databehandlere selv er bedst til at vurdere, hvordan den praktiske del af samarbejdet med databeskyttelsesrådgiveren kan implementeres i organisationen. 

Den dataansvarlige og databehandleren har derfor i vidt omfang organiseringsfrihed, så længe organiseringen af samarbejdet med databeskyttelsesrådgiveren sker inden for rammerne af databeskyttelsesforordningens kapitel 4.

I forbindelse med en outsourcing af DPO-funktionen understreger Datatilsynet dog, at det skal sikres, at databeskyttelsesrådgiverens team har en klar fordeling af opgaverne, og at en enkelt person er udpeget som overordnet kontakt og ansvarlig. Datatilsynet anbefaler, at disse punkter fremgår af tjenesteydelseskontrakten.

Datatilsynet bemærker også, at DPO'en bør spille en central rolle i at fremme en databeskyttelseskultur inden for den dataansvarliges eller databehandlerens organisation, og som minimum bør bistå med implementeringen af centrale elementer i databeskyttelsesforordningen. Det kan eksempelvis være ved at yde konkret rådgivning af en udvalgt gruppe af medarbejdere, der efterfølgende selv kan stå for den praktiske implementering, som DPO'en løbende kontrollerer. 


Læs Datatilsynets nyhed.

 

Læs Datatilsynets vejledning om databeskyttelsesrådgivere.