Persondata

Multinationale virksomheder og muligheden for fælles DPO

4. juni 2018

Persondataforordningen er trådt i kraft, og det er det nye krav om, at visse private virksomheder skal udpege en databeskyttelsesrådgiver (”DPO”) også. Reglerne giver mulighed for, at en koncern kan udnævne en fælles DPO forudsat, at alle virksomhederne har let adgang til rådgiveren. Det er dog usikkert, om virksomheder med aktiviteter i flere EU-lande kan udpege en fælles DPO, der opfylder alle forordningens krav. I nyhedsbrevet stiller vi skarpt på multinationale virksomheders muligheder for at udnævne en fælles DPO.

Hvornår skal der udpeges en DPO?

Virksomheder, hvis kerneaktiviteter enten består af omfattende databehandlingsaktiviteter, som kræver regelmæssig og systematisk overvågning, eller hvis kerneaktiviteter består af omfattende behandling af følsomme personoplysninger skal udpege en DPO. Det gælder, uanset om virksomheden er dataansvarlig eller databehandler.

Når en koncern med aktiviteter i flere EU-lande ønsker at udnævne en fælles DPO, forudsætter det, at alle forretningsenheder har let adgang til rådgiveren og at rådgiveren effektivt kan varetage sine opgaver, selvom han eller hun har ansvar for flere virksomheder.

Minimumskrav til DPO'en

En DPO udpeges først og fremmest på baggrund af sine faglige kvalifikationer og ekspertise inden for databeskyttelsesret og evnen til at udføre følgende opgaver:

  • Underrette og rådgive virksomheden om forordningens forpligtelser.
  • Overvåge gennemførelse og anvendelse af virksomhedens regler for beskyttelse af persondata – både fra EU og nationalt.
  • Uddanne medarbejdere, der medvirker ved behandlingsaktiviteter.
  • Kontrollere og rådgive virksomheden om gennemførelse og opfyldelse af DPIA.
  • Samarbejde med tilsynsmyndigheden.
  • Fungere som kontaktpunkt for koncernens etableringer og de registrerede datasubjekter.

Ét fælles kontaktpunkt

Udover kravene til DPO'ens kvalifikationer stilles en række krav til DPO'ens rolle, som kan få betydning for virksomhedens mulighed for at udpege en fælles DPO:

  • DPO'en skal være let tilgængelig.
  • Kommunikationen mellem DPO’en og den registrerede skal ske på en klar og letforståelig måde.
  • DPO'en skal have kendskab til forordningen samt de relevante EU-landes nationale implementering af forordningen.

Kravet om tilgængelighed stiller ikke nødvendigvis et krav om fysisk tilstedeværelse. Det vil formenligt være muligt at opfylde kravene ved at etablere hotlines og andre tekniske løsninger, som vil blive opfattet som tilstrækkelige.

Kravet om en klar og letforståelig kommunikation er i flere sammenhænge også blevet opfattet som et krav om at kommunikere på datasubjekternes sprog. I hvert fald i de situationer, hvor virksomheden iøvrigt kommunikerer på lokalt sprog. I en virksomhed er det eksempelvis nærliggende at stille et krav om, at DPO'en kan kommunikere om medarbejdernes rettigheder under forordningen på medarbejdernes eget lokale sprog.

Kravet om, at DPO'en skal have kendskab til de nationale implementeringer af forordningen, er i flere landet blevet tolket som et krav om, at DPO'en nødvendigvis må være uddannet i de lokale regler og dermed, at det vil være vanskeligt for en fælles DPO at opfylde dette krav.

Samlet set kan det altså ikke udelukkes, at en fælles DPO kan opfylde kravene i forordningen. Men på grund af de krav, der stilles til DPO'ens rolle, vil det i praksis være vanskeligt for DPO'en at opfylde alle kravene, hvis DPO'en har ansvar for flere EU-lande.

Kan min virksomhed outsource DPO-opgaven?

En virksomhed kan også vælge at outsource DPO-opgaven til eksempelvis et advokatfirma. Det kræver selvfølgelig, at virksomheden opfylder alle forordningens krav til stilling, opgaver, uafhængighed og tilgængelighed.

IUNO mener

Virksomheder skal være opmærksomme på, at en fælles DPO opfylder forordningens krav. Det kræver, at DPO'en har kendskab til alle relevante EU-landes nationale databeskyttelsesregler og kan besvare generelle og specifikke henvendelser fra registrerede – i videst muligt omfang og under hensyn til virksomhedens ressourcer - på deres eget lokale sprog.

IUNO anbefaler, at virksomheder, der vælger at outsource DPO-opgaven, sikrer sig, at den virksomhed, der skal varetage opgaven, opfylder alle forordningens krav, at kontrakten mellem parterne effektivt fordeler ansvaret, og at der udpeges en kontaktperson i den eksterne virksomhed, der kan føre opsyn med, at opgaverne bliver varetaget rettidigt og effektivt.

Hvornår skal der udpeges en DPO?

Virksomheder, hvis kerneaktiviteter enten består af omfattende databehandlingsaktiviteter, som kræver regelmæssig og systematisk overvågning, eller hvis kerneaktiviteter består af omfattende behandling af følsomme personoplysninger skal udpege en DPO. Det gælder, uanset om virksomheden er dataansvarlig eller databehandler.

Når en koncern med aktiviteter i flere EU-lande ønsker at udnævne en fælles DPO, forudsætter det, at alle forretningsenheder har let adgang til rådgiveren og at rådgiveren effektivt kan varetage sine opgaver, selvom han eller hun har ansvar for flere virksomheder.

Minimumskrav til DPO'en

En DPO udpeges først og fremmest på baggrund af sine faglige kvalifikationer og ekspertise inden for databeskyttelsesret og evnen til at udføre følgende opgaver:

  • Underrette og rådgive virksomheden om forordningens forpligtelser.
  • Overvåge gennemførelse og anvendelse af virksomhedens regler for beskyttelse af persondata – både fra EU og nationalt.
  • Uddanne medarbejdere, der medvirker ved behandlingsaktiviteter.
  • Kontrollere og rådgive virksomheden om gennemførelse og opfyldelse af DPIA.
  • Samarbejde med tilsynsmyndigheden.
  • Fungere som kontaktpunkt for koncernens etableringer og de registrerede datasubjekter.

Ét fælles kontaktpunkt

Udover kravene til DPO'ens kvalifikationer stilles en række krav til DPO'ens rolle, som kan få betydning for virksomhedens mulighed for at udpege en fælles DPO:

  • DPO'en skal være let tilgængelig.
  • Kommunikationen mellem DPO’en og den registrerede skal ske på en klar og letforståelig måde.
  • DPO'en skal have kendskab til forordningen samt de relevante EU-landes nationale implementering af forordningen.

Kravet om tilgængelighed stiller ikke nødvendigvis et krav om fysisk tilstedeværelse. Det vil formenligt være muligt at opfylde kravene ved at etablere hotlines og andre tekniske løsninger, som vil blive opfattet som tilstrækkelige.

Kravet om en klar og letforståelig kommunikation er i flere sammenhænge også blevet opfattet som et krav om at kommunikere på datasubjekternes sprog. I hvert fald i de situationer, hvor virksomheden iøvrigt kommunikerer på lokalt sprog. I en virksomhed er det eksempelvis nærliggende at stille et krav om, at DPO'en kan kommunikere om medarbejdernes rettigheder under forordningen på medarbejdernes eget lokale sprog.

Kravet om, at DPO'en skal have kendskab til de nationale implementeringer af forordningen, er i flere landet blevet tolket som et krav om, at DPO'en nødvendigvis må være uddannet i de lokale regler og dermed, at det vil være vanskeligt for en fælles DPO at opfylde dette krav.

Samlet set kan det altså ikke udelukkes, at en fælles DPO kan opfylde kravene i forordningen. Men på grund af de krav, der stilles til DPO'ens rolle, vil det i praksis være vanskeligt for DPO'en at opfylde alle kravene, hvis DPO'en har ansvar for flere EU-lande.

Kan min virksomhed outsource DPO-opgaven?

En virksomhed kan også vælge at outsource DPO-opgaven til eksempelvis et advokatfirma. Det kræver selvfølgelig, at virksomheden opfylder alle forordningens krav til stilling, opgaver, uafhængighed og tilgængelighed.

IUNO mener

Virksomheder skal være opmærksomme på, at en fælles DPO opfylder forordningens krav. Det kræver, at DPO'en har kendskab til alle relevante EU-landes nationale databeskyttelsesregler og kan besvare generelle og specifikke henvendelser fra registrerede – i videst muligt omfang og under hensyn til virksomhedens ressourcer - på deres eget lokale sprog.

IUNO anbefaler, at virksomheder, der vælger at outsource DPO-opgaven, sikrer sig, at den virksomhed, der skal varetage opgaven, opfylder alle forordningens krav, at kontrakten mellem parterne effektivt fordeler ansvaret, og at der udpeges en kontaktperson i den eksterne virksomhed, der kan føre opsyn med, at opgaverne bliver varetaget rettidigt og effektivt.

Modtag vores nyhedsbrev

Anders

Etgen Reitz

Partner

Søren

Hessellund Klausen

Partner

Kathrine

Skøtt Jespersen

Advokat

Kirsten

Astrup

Advokatfuldmægtig

Lignende nyt

logo
Persondata HR-jura

12. april 2019

Manglende træning af virksomhedens medarbejdere kan udløse bøder

logo
HR-jura Persondata

22. februar 2019

Er vikarer og konsulenter databehandlere?

logo
Persondata

28. januar 2019

Uklart samtykke og manglende gennemsigtighed koster dyrt

logo
Persondata Corporate

22. januar 2019

Har din virksomhed styr på persondata inden revisionen?

logo
Persondata

18. januar 2019

Husk oplysningspligten

logo
Persondata

8. januar 2019

Behandling af persondata i frivillige foreninger

Events

logo
HR-jura Persondata
17. januar 2018

Morgenmøde om den nye persondataforordning

logo
HR-jura Persondata
17. januar 2018

Morgenmøde om den nye persondataforordning (webinar)

logo
HR-jura Persondata
10. november 2015

Morgenmøde om persondata

logo
HR-jura Persondata
11. november 2014

Nordic Seminar i København om privacy og databeskyttelse i de nordiske lande

logo
HR-jura Persondata
25. april 2012

Morgenmøde om HR-persondataret