vejledning om databeskyttelses- rådgivere · ringen af, om der er tale om en behandling af...
TRANSCRIPT
Vejledning om databeskyttelsesraringdgivere
0
t
Vejledning om
databeskyttelses-
raringdgivere
December 2017
Vejledning om databeskyttelsesraringdgivere
1
Indhold
1 Forord ____________________________________________________ 3
11 Databeskyttelsesraringdgivere ndash oslashget fokus paring ansvarlighed (rdquoaccountabilityrdquo) _____ 3
12 Andre relevante kilder ______________________________________________ 4
2 Hvad er en databeskyttelsesraringdgiver ___________________________ 5
21 Relationen mellem den dataansvarlige og databeskyttelsesraringdgiveren ________ 5
3 Privates forpligtelse til at udpege en databeskyttelsesraringdgiver ________ 6
31 Hvornaringr skal private udpege en databeskyttelsesraringdgiver _________________ 6
311 Betingelse nr 1 rdquokerneaktivitetrdquo _________________________________ 7
312 Betingelse nr 2 rdquoet stort omfangrdquo ________________________________ 8
313 Betingelse nr 3 rdquoregelmaeligssig og systematisk overvaringgningrdquo eller
rdquobehandling af foslashlsomme oplysninger eller oplysninger om strafbare forholdrdquo __ 10
32 Frivillig udnaeligvnelse af en databeskyttelsesraringdgiver ________________________ 12
33 Faeliglles databeskyttelsesraringdgiver _______________________________________ 12
34 Opsummering ______________________________________________________ 13
4 Offentlige myndigheders forpligtelse til at udpege en
databeskyttelsesraringdgiver ____________________________________ 14
41 Hvornaringr skal offentlige myndigheder udpege en databeskyttelsesraringdgiver ______ 14
42 Hvornaringr er man en offentlig myndighed _________________________________ 14
43 Faeliglles databeskyttelsesraringdgiver for offentlige myndigheder __________________ 15
Kommuner _____________________________________________________ 17
Eksempel - Ministerier og underordnede myndigheder ____________________ 18
Eksempel - Selvejende institutioner __________________________________ 19
44 Opsummering ______________________________________________________ 19
5 Databeskyttelsesraringdgiveren __________________________________ 20
51 Krav til faglige kvalifikationer ________________________________________ 20
52 Hvem kan vaeligre databeskyttelsesraringdgiver ____________________________ 20
Intern medarbejder _______________________________________________ 20
Faeliglles databeskyttelsesraringdgiver_____________________________________ 21
Ekstern medarbejder ______________________________________________ 22
53 Databeskyttelsesraringdgiverens opgaver ________________________________ 22
54 Krav til organisationen ndash rettidig og tilstraeligkkelig inddragelse af
databeskyttelsesraringdgiveren ________________________________________ 25
I hvilke tilfaeliglde skal databeskyttelsesraringdgiveren inddrages _______________ 25
Vejledning om databeskyttelsesraringdgivere
2
Hvordan skal databeskyttelsesraringdgiveren inddrages ____________________ 26
Hvornaringr er inddragelsen rettidig ____________________________________ 26
Hvornaringr er inddragelsen tilstraeligkkelig ________________________________ 27
Ressourcer og adgang ____________________________________________ 27
Uafhaeligngighed __________________________________________________ 28
55 Beskyttelse af databeskyttelsesraringdgiveren _____________________________ 28
56 Opsummering ___________________________________________________ 29
Vejledning om databeskyttelsesraringdgivere
3
1 Forord
Denne vejledning har til formaringl at redegoslashre for kravene i forordningen til at udpege en databe-
skyttelsesraringdgiver dennes opgaver kvalifikationer stilling og inddragelse
Databeskyttelsesforordningen og databeskyttelsesloven finder anvendelse i Danmark og resten
af EU fra den 25 maj 2018 Forordningen stiller blandt andet krav om at offentlige myndigheder
og organer er forpligtede til at udpege en databeskyttelsesraringdgiver Private er derimod kun i faring
tilfaeliglde forpligtet til at udpege en databeskyttelsesraringdgiver
I det omfang en organisation er forpligtet til at udpege en databeskyttelsesraringdgiver skal dette
senest ske fra den 25 maj 2018
Afsnit 2 omhandler en beskrivelse af databeskyttelsesraringdgiveren
Afsnit 3 omhandler hvornaringr private er forpligtet til at udpege en databeskyttelsesraringdgiver mu-
ligheden for at udpege en faeliglles databeskyttelsesraringdgiver og frivillig udnaeligvnelse af en databe-
skyttelsesraringdgiver
Afsnit 4 omhandler offentlige myndigheder og organers forpligtelse til at udpege en databeskyt-
telsesraringdgiver og muligheden for at udpege en faeliglles databeskyttelsesraringdgiver
Afsnit 5 omhandler selve funktionen som databeskyttelsesraringdgiver herunder kravene til dennes
faglige kvalifikationer stilling opgaver og inddragelse i organisationen
11 Databeskyttelsesraringdgivere ndash oslashget fokus paring ansvarlighed (rdquoaccountabilityrdquo)
Forpligtelsen til at skulle udpege en databeskyttelsesraringdgiver kan ses som et element i databe-
skyttelsesforordningens fokus paring ansvarlighed naringr det kommer til efterlevelse af databeskyttel-
sesreglerne
Alle dataansvarlige skal saringledes uanset om de er underlagt forpligtelsen til at udpege en data-
beskyttelsesraringdgiver eller ej efterleve kravene i forordningens artikel 24 der generelt fastlaeliggger
den dataansvarliges forpligtelser
Endvidere er det en forudsaeligtning for at kunne overholde de grundlaeligggende principper om be-
handling af personoplysninger i forordningens artikel 5 at alle dataansvarlige og databehandlere
har et overblik over hvilke personoplysninger der behandles og hvordan disse behandles i orga-
nisationen
Som foslashlge af princippet om ansvarlighed boslashr alle organisationer baringde private og offentlige data-
ansvarlige og databehandlere uanset om de er forpligtede til at udpege en databeskyttelsesraringd-
giver derfor tage stilling til hvor i organisationen ansvaret for og haringndteringen af databeskyttel-
sessposlashrgsmaringl boslashr ligge
Vejledning om databeskyttelsesraringdgivere
4
Der kan i den forbindelse henvises til Datatilsynets vejledning om forberedelse forud for EUrsquos
databeskyttelsesforordning som er tilgaeligngelig paring tilsynets hjemmeside wwwdatatilsynetdk
Der kan ligeledes henvises til en oversigt over de oslashvrige supplerende vejledninger om databe-
skyttelsesforordningen som vil blive offentliggjort forud for at forordningen finder anvendelse
12 Andre relevante kilder
Der kan i oslashvrigt henvises til Artikel 29-gruppens udtalelser herunder om databeskyttelsesraringdgi-
verehttpeceuropaeuinformation_societynewsroomimagedocument2016-
51wp243_en_40855pdf Artikel 29-gruppen er raringdgivende og uafhaeligngig og bestaringr af en repraelig-
sentant fra hvert af medlemsstaternes tilsynsmyndighed
Vejledning om databeskyttelsesraringdgivere
5
2 Hvad er en databeskyttelsesraringdgiver
En databeskyttelsesraringdgiver er en raringdgiverfunktion i en organisation der skal inddrages i alle
sposlashrgsmaringl om databeskyttelse og raringdgive om de databeskyttelsesretlige regler
Databeskyttelsesraringdgiverens funktion er at understoslashtte at den dataansvarlige overholder reg-
lerne i databeskyttelsesforordningen Databeskyttelsesraringdgiveren er en integreret del af den da-
taansvarliges organisation der efter omstaeligndighederne kan have andre opgaver for den data-
ansvarlige Databeskyttelsesraringdgiveren er altsaring ikke en del af Datatilsynet og fungerer heller
ikke som tilsynets repraeligsentant
Databeskyttelsesraringdgiveren har dog en saeligrlig stilling i forhold til Datatilsynet idet databeskyttel-
sesraringdgiveren er kontaktled til og skal samarbejde med Datatilsynet Databeskyttelsesraringdgive-
ren kan paring den maringde bla vaeligre opdateret om og tage bestik af nye afgoslashrelser vejledninger mv
Forpligtelsen til i visse tilfaeliglde at skulle udpege en databeskyttelsesraringdgiver er et element i da-
tabeskyttelsesforordningens fokus paring ansvarlighed naringr det kommer til at overholde databeskyt-
telsesreglerne
21 Relationen mellem den dataansvarlige og databeskyttelsesraringdgiveren
Det er den dataansvarlige der har ansvaret for at sikre at databeskyttelsesforordningen og da-
tabeskyttelseslovens regler overholdes
Den dataansvarlige udpeger databeskyttelsesraringdgiveren Det er databeskyttelsesraringdgiverens
opgave at raringdgive den dataansvarlige om de databeskyttelsesretlige regler og raringdgiveren kan
saringledes paring bedste vis understoslashtte en god databeskyttelse hos den dataansvarlige
Den dataansvarlige skal tage hoslashjde for databeskyttelsesraringdgiverens opfattelse af en given situ-
ation men det er den dataansvarlige der skal overholde reglerne Det er saringledes ogsaring den da-
taansvarlige der i sidste ende afgoslashr til hvilke formaringl og med hvilke hjaeliglpemidler der maring foreta-
ges behandling af personoplysninger Det er ligeledes den dataansvarlige som sanktioneres
saringfremt reglerne ikke overholdes ogsaring selvom dette skyldes ukorrekt raringdgivning fra databeskyt-
telsesraringdgiverens side
Vejledning om databeskyttelsesraringdgivere
6
3 Privates forpligtelse til at udpege en
databeskyttelsesraringdgiver
I de fleste tilfaeliglde skal private ikke udpege en databeskyttelsesraringdgiver
31 Hvornaringr skal private udpege en databeskyttelsesraringdgiver
I de fleste tilfaeliglde skal den private sektor ikke udpege en databeskyttelsesraringdgiver Kun private
virksomheder der som deres kerneaktivitet behandler foslashlsomme oplysninger eller oplysninger
om strafbare forhold i et stort omfang eller foretager regelmaeligssig og systematisk overvaringgning af
personer i stort omfang er forpligtede til at udpege en databeskyttelsesraringdgiver Forpligtelsen for
private virksomheder til at udpege en databeskyttelsesraringdgiver gaeliglder baringde den dataansvarlige
og databehandleren
Det betyder at de fleste private virksomheder i Danmark der foretager rdquogaeligngsrdquo behandling af
personoplysninger herunder administration af HR-oplysninger kundeoplysninger online
bookingsystemer mv ikke er forpligtede til at udpege en databeskyttelsesraringdgiver
Konkret skal en virksomhed opfylde tre betingelser for at vaeligre forpligtet til at udpege en databe-
skyttelsesraringdgiver (se nedenfor)
Alle betingelser skal vaeligre opfyldt og en virksomhed der feks kun opfylder eacuten eller to af betin-
gelserne ud af de tre vil ikke vaeligre forpligtet til at udpege en databeskyttelsesraringdgiver
Generelt kan det bemaeligrkes om betingelserne at de knytter sig til hvilke personoplysninger man
har og hvordan disse behandles i virksomheden
Foslashlgende tre betingelser skal alle vaeligre opfyldt
1 Behandling af personoplysninger skal vaeligre
virksomhedens kerneaktivitet
2 Der skal behandles personoplysninger i et
stort omfang
3 Behandlingsaktiviteten bestaringr i regelmaeligssig
og systematisk overvaringgning af personer eller
behandlingen vedroslashrer foslashlsomme oplysnin-
ger eller oplysninger om strafbare forhold
Vejledning om databeskyttelsesraringdgivere
7
311 Betingelse nr 1 rdquokerneaktivitetrdquo
Behandling af personoplysninger skal vaeligre virksomhedens kerneaktivitet Med rdquokerneaktivitetrdquo
forstarings ikke den gaeligngse behandling af personoplysninger som de fleste virksomheder foretager
Alle virksomheder behandler saringledes personoplysninger i et vist omfang for at virksomheden kan
fungere Det drejer sig navnlig om behandling af HR-oplysninger og kundeoplysninger i forbin-
delse med kontakt salg og support mv Virksomhedens behandling af disse oplysninger er en
forudsaeligtning for at virksomheden kan udoslashve sin hovedaktivitet feks udbyde tjenesteydelser
eller saeliglge et produkt
Disse almindelige behandlinger af personoplysninger udgoslashr ikke i sig selv en rdquokerneaktivitetrdquo De
kan i stedet anses for en rdquobiaktivitetrdquo idet oplysningerne behandles for at kunne understoslashtte virk-
somhedens hovedaktivitet
Naringr en virksomhed behandler personoplysninger som en biaktivitet vil virksomheden ikke vaeligre
forpligtet til at udpege en databeskyttelsesraringdgiver
Omfattet af begrebet rdquokerneaktivitetrdquo
Behandling af personoplysninger skal vaeligre virksomhedens rdquohovedaktivitetrdquo foslashr det kan anses for
omfattet af begrebet kerneaktivitet
Eksempler paring behandling der udgoslashr rdquobiaktivitetrdquo
Kundekontakt- eller support
HR-oplysninger
Salg
Kundekartotek
Online bookingsystem
Bonuskort
Behandling af klientoplysninger (revi-sorer advokater ingenioslashrer mv)
IT-support
Eksempler paring brancher der som udgangspunkt ikke
har behandling af personoplysninger som kerneakti-
vitet
Privatskoler og doslashgninstitutioner
Forsyningsselskaber
Haringndvaeligrksfaget
Hotel- og restaurationsbranchen
Servicebranchen
Detailhandel
Vejledning om databeskyttelsesraringdgivere
8
Det betyder at virksomheder hvis produkt eller tjeneste direkte bestaringr i behandling af personop-
lysninger kan anses som kerneaktivitet Det kan feks vaeligre virksomheder der udbyder marke-
tingsundersoslashgelser som er baseret paring personoplysninger eller cloud-virksomheder naringr det in-
debaeligrer lagring af personoplysninger
Paring samme maringde kan virksomheder hvis produkt eller tjeneste er uloslashseligt forbundet med be-
handlingen af personoplysninger anses for at have behandling af personoplysninger som deres
kerneaktivitet Det kan feks vaeligre forsikringsselskaber der saeliglger forsikringer til sine kunder
bla paring baggrund af personoplysninger indsamlet om kommende og nuvaeligrende kunder Et an-
det eksempel kan vaeligre privathospitaler
Virksomheder hvis kerneaktivitet bestaringr af behandling af personoplysninger skal dog ogsaring op-
fylde de to oslashvrige betingelser inden virksomheden er forpligtet til at udpege en databeskyttelses-
raringdgiver
312 Betingelse nr 2 rdquoet stort omfangrdquo
Hvis behandlingen af personoplysninger er virksomhedens kerneaktivitet er det ogsaring en betin-
gelse at behandlingen af personoplysninger sker i rdquoet stort omfangrdquo foslashr virksomheden er forplig-
tet til at udpege en databeskyttelsesraringdgiver
Artikel 29-gruppen1 anbefaler i deres udtalelse om databeskyttelsesraringdgivere at der ved vurde-
ringen af om der er tale om en behandling af personoplysninger rdquoi et stort omfangrdquo laeliggges vaeliggt
paring fire kriterier
1 Antallet af personer der behandles oplysninger om ndash enten det specifikke antal personer
eller som andel af den relevante population (befolkningen)
1 Artikel 29-gruppens udtalelse nr 162016 om rdquoGuidelines on Data Protection Officers (rsquoDPOsrsquo)rdquo (WP 243 rev01)
Eksempler paring behandling der udgoslashr rdquokerneaktivitetrdquo
Cloud-computing
Hosting af hjemmesiderdata
Privathospitaler
Forsikringsselskaber
Reklamebureauer der udbyder marke-
tingsundersoslashgelser
Soslashgemaskiner
Tele- eller internetudbydere
Applikationermobile tjenester baseret
paring personoplysninger
Stillingsbesaeligttende virksomhed
Vejledning om databeskyttelsesraringdgivere
9
2 Volumen af personoplysninger ogeller de forskellige typer af personoplysninger der bli-
ver behandlet
3 Tidsperioden der behandles oplysninger i samt hvorvidt behandlingen er permanent
4 Den geografiske udstraeligkning af behandlingsaktiviteterne
Eksempel ndash mindre forsikringsselskab
Et mindre forsikringsselskab der feks kun udbyder sin forretning til en bestemt mindre landsdel
vil formentlig behandle et saring begraelignset omfang af oplysninger at det ikke kan anses for at vaeligre
i et stort omfang Det skyldes at der ikke behandles en stor maeligngde af personoplysninger om et
stort antal personer samt den begraelignsede geografiske udstraeligkning
I modsaeligtning hertil vil et landsdaeligkkende forsikringsselskab anses for at behandle personoplys-
ninger i et stort omfang baringde som foslashlge af maeligngden af oplysninger antallet af personer og den
geografiske udstraeligkning
Eksempel ndash laeliggepraksis
Behandling af patientdata i en laeliggepraksis med et begraelignset antal laeligger tilknyttet kan som foslashlge
af den begraelignsede maeligngde oplysninger der behandles heller ikke anses for at behandle per-
sonoplysninger i et stort omfang
Omvendt vil en stor laeliggepraksis med mange laeligger tilknyttet formentlig behandle en stor maeligngde
personoplysninger om deres patienter Her vil maeligngden af oplysninger der behandles medfoslashre
at der foretages behandling af personoplysninger i et stort omfang
I overvejelserne om fastlaeligggelse af stoslashrrelsen af en privat laeliggepraksisklinikhospital er det rele-
vant at foretage en vurdering af baringde antallet af patienter og af tilknyttede laeligger
Behandling af personoplysninger rdquoi et stort omfangrdquo kan saring-
ledes indebaeligre behandling af
en stor maeligngde af personoplysninger
oplysninger om et stort antal personer
lang varighed herunder permanent
stor geografisk udstraeligkning af behandlingsaktivite-
ter
Vejledning om databeskyttelsesraringdgivere
10
Virksomheder hvis kerneaktivitet bestaringr af behandling af personoplysninger i et stort omfang
skal dog opfylde eacuten af de to sidste betingelser inden virksomheden er forpligtet til at udpege en
databeskyttelsesraringdgiver
313 Betingelse nr 3 rdquoregelmaeligssig og systematisk overvaringgningrdquo eller rdquobehandling af
foslashlsomme oplysninger eller oplysninger om strafbare forholdrdquo
Virksomheder hvis kerneaktivitet bestaringr af behandling af personoplysninger i et stort omfang skal
enten
foretage regelmaeligssig og systematisk overvaringgning af registrerede personer
eller
behandle foslashlsomme oplysningeroplysninger om strafbare forhold
for at vaeligre forpligtede til at udpege en databeskyttelsesraringdgiver
Regelmaeligssig og systematisk overvaringgning af registrerede personer
Regelmaeligssig og systematisk overvaringgning af de registrerede omfatter en virksomheds sporringer
(tracking) eller profilering bla via internettet
Det kan bla omfatte drift af telenet eller services forbundet hermed profilering i forbindelse med
risikovurdering herunder kreditvurderinger vurdering af forsikringspraeligmie lokationstracking via
applikationer og adfaeligrdsbaseret annoncering
Eksempel ndash marketingsfima
Et marketingsfirma der foretager marketingsundersoslashgelser hvor der indgaringr personoplysninger i
et stort omfang og undersoslashgelsen er baseret paring adfaeligrdsbaseret annoncering er omfattet da de
foretager en regelmaeligssig og systematisk overvaringgning af de registrerede personer
Behandling af foslashlsomme oplysninger eller oplysninger om strafbare forhold
Oplysninger kan anses for foslashlsomme hvis de omhandler oplysninger om
Behandling i et stort omfang
Eksempler paring virksomheder der behandler
personoplysninger rdquoi et stort omfangrdquo
Privathospitaler
Stoslashrre forsikringsselskaber
Sporing via feks rejsekort
Soslashgemaskines behandling af
personoplysninger
Tele- eller internetudbydere
Vejledning om databeskyttelsesraringdgivere
11
race eller etnisk oprindelse
politisk religioslashs eller filosofisk overbevisning
fagforeningsmaeligssigt tilhoslashrsforhold
behandling af genetisk data eller biometrisk data med det formaringl entydigt at iden-
tificere en fysisk person
helbredsoplysninger
oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering
Oplysninger om strafbare forhold omfatter oplysninger om straffedomme og lovovertraeligdelser
Eksempel ndash skadesforsikringsselskaber
Skadesforsikringsselskaber kan man opdele i de selskaber der behandler foslashlsomme oplysninger
og de selskaber der ikke (eller i begraelignset omfang) behandler foslashlsomme oplysninger
For saring vidt angaringr de selskaber der ikke behandler denne type oplysninger kan naeligvnes special-
selskaber som typisk forsikrer ting (feks glasforsikring) og ikke risiko for personskader Forsik-
ringsselskaber der i begraelignset omfang jf betingelsen ovenfor behandler de omhandlede op-
lysninger vil typisk vaeligre forsikringsselskaber der tegner privatforsikringer herunder eksempelvis
indbo- og bilforsikringer eller erhvervsforsikringer for mindre virksomheder Her indhentes de
naeligvnte oplysninger i forbindelse med tegning af ulykkesforsikringer og ved behandling af per-
sonskader under ulykkesforsikringer
For saring vidt angaringr skadesforsikringsselskaber der opfylder betingelse nr 3 ndash idet de behandler
foslashlsomme oplysninger ndash kan naeligvnes specialiserede rejseforsikringsselskaber for saringvel rejsegods
som syge- og ulykkesforsikringer En betydelig del af disse selskabers forsikringer er personfor-
sikringer hvor der baringde ved tegning og ved behandlingen af personskader (ulykker og syg-
domme) indhentes foslashlsomme oplysninger Endvidere kan sygeforsikringsselskaber som daeligkker
medicin og en raeligkke andre udgifter til helbredelse naeligvnes idet der indhentes helbredsoplysnin-
ger ved optagelses- og refusionssager
Eksempel ndash HR-oplysninger
Virksomheder vil typisk behandle oplysninger om ansattes fagforeningsmaeligssige tilhoslashrsforhold
og helbredsoplysninger i forbindelse med virksomhedens HR-funktion Her er der netop tale om
foslashlsomme oplysninger men det medfoslashrer ikke i sig selv at virksomheden er forpligtet til at udpege
en databeskyttelsesraringdgiver Hertil kraeligves at behandling af personoplysninger er virksomhe-
dens kerneaktivitet og foretages i et stort omfang
Eksempler paring virksomheder der kan
opfylde alle tre betingelser
Privathospitaler
Stoslashrre forsikringssel-
skaber
Tele- eller internetud-
bydere
Marketingsfirma der
udbyder marketingsun-
dersoslashgelser
Eksempler paring virksomheder der blot op-
fylder nogle af betingelserne
Mindre privathospitaler
Mindre forsikringsselskab
Mindre laeliggepraksis
Stoslashrre virksomheder hvor
behandling af personop-
lysninger kun er en biakti-
vitet
Vejledning om databeskyttelsesraringdgivere
12
Eksempel ndash Livs- og pensionsforsikringsselskaberne
Store eller middelstore forsikringsselskaber der dels tegner livs- og pensionsforsikringer for en-
keltpersoner og dels firmapensionsordninger hvor de sikrede er en virksomheds ansatte indhen-
ter og behandler foslashlsomme oplysninger isaeligr helbredsoplysninger ved saringvel tegningindmeldelse
som ved behandlingen af tab af erhvervsevne doslashdsfald sygdom mv Henset til at behandling
af personoplysninger endvidere er disse forsikringsselskabers kerneaktivitet samt at de grundet
stoslashrrelse og geografiske udstraeligkning behandler personoplysningerne i stort omfang vil de som
udgangspunkt skulle udpege en databeskyttelsesraringdgiver
Det bemaeligrkes at det er vigtigt at have sig for oslashje at der er tale om betingelser der alle skal
vaeligre opfyldt Der skal altsaring vaeligre tale om at virksomhedens kerneaktivitet er behandling i stort
omfang af foslashlsomme oplysninger eller oplysninger om strafbart forhold Eller at virksomhedens
kerneaktivitet bestaringr af behandlingsaktiviteter i stort omfang af regelmaeligssig og systematisk over-
varinggning af personer
Virksomheder der ikke er forpligtede til at udpege en databeskyttelsesraringdgiver kan med fordel
dokumentere vurderingen saring denne kan fremvises til Datatilsynet
32 Frivillig udnaeligvnelse af en databeskyttelsesraringdgiver
Private kan under alle omstaeligndigheder frivilligt vaeliglge at udpege en databeskyttelsesraringdgiver
I de tilfaeliglde hvor der frivilligt udpeges en databeskyttelsesraringdgiver gaeliglder de samme krav til
databeskyttelsesraringdgiveren som hvis virksomheden var forpligtet til at udpege en databeskyttel-
sesraringdgiver
Det betyder at kravene til databeskyttelsesraringdgiverens opgaver kvalifikationer stilling beskyt-
telse og inddragelse skal efterleves
Vaeliglger en virksomhed derimod at udpege en medarbejder der feks er compliance-raringdgiver er
virksomheden ikke forpligtet til at efterleve forordningens krav til en databeskyttelsesraringdgiver
33 Faeliglles databeskyttelsesraringdgiver
En koncern har mulighed for at udpege en faeliglles databeskyttelsesraringdgiver for hele koncernen
forudsat at alle etableringer af koncernen har let adgang til databeskyttelsesraringdgiveren
Andre private dataansvarlige og databehandlere end koncerner har ogsaring mulighed for at udpege
en faeliglles databeskyttelsesraringdgiver Et konsulentfirma kan udoslashve funktionen som databeskyttel-
sesraringdgiver for flere dataansvarlige paring samme tid paring baggrund af tjenesteydelseskontrakter
Det er dog en forudsaeligtning for at private kan udpege en faeliglles databeskyttelsesraringdgiver at
databeskyttelsesraringdgiveren kan efterleve forordningens krav til vedkommende naringr opgaven loslash-
Vejledning om databeskyttelsesraringdgivere
13
ses for flere private paring eacuten gang Dette maring i praksis forudsaeligtte at der feks er adgang til at kom-
munikere med databeskyttelsesraringdgiveren paring et sprog som de beroslashrte medarbejdere kan forstaring
Det maring ligeledes forudsaeligtte at der er afsat saringdanne ressourcer til databeskyttelsesraringdgiveren
at det spejler omfanget af de organisationer der skal daeligkkes Der vil derfor i praksis ikke vaeligre
noget til hinder for at feks en virksomhed udpeger en faeliglles databeskyttelsesraringdgiver paring tvaeligrs
af flere stoslashrre koncernforbundne virksomheder naringr blot de ressourcer der afsaeligttes til databe-
skyttelsesraringdgiveren i form af medarbejdere rejsebudget it-understoslashttelse mv i tilstraeligkkelig om-
fang sikrer at databeskyttelsesraringdgiveren kan moslashde sine forpligtelser
34 Opsummering
Der skal rigtig meget til foslashr en privat virksomhed er forpligtet til at udpege en da-
tabeskyttelsesraringdgiver
Helt konkret skal tre betingelser der knytter sig til en virksomheds behandling af
personoplysninger alle vaeligre opfyldt foslashr der en pligt til at udpege en databeskyt-
telsesraringdgiver
Alle virksomheder boslashr foretage en konkret vurdering af om de tre betingelser er
opfyldt Er alle tre betingelser ikke opfyldt skal der ikke udpeges en databeskyt-
telsesraringdgiver
Vejledning om databeskyttelsesraringdgivere
14
4 Offentlige myndigheders forpligtelse til
at udpege en databeskyttelsesraringdgiver
Offentlige myndigheder og offentlige organer skal altid have en databeskyttelsesraringdgiver uanset
om de er dataansvarlige eller databehandlere
41 Hvornaringr skal offentlige myndigheder udpege en databeskyttelsesraringdgiver
I det omfang behandling foretages af en offentlig myndighed eller et offentligt organ skal myndig-
heden eller organet altid have en databeskyttelsesraringdgiver hvad enten de er dataansvarlige eller
databehandlere
Det betyder at der ogsaring skal udpeges en databeskyttelsesraringdgiver hvis den offentlige myndig-
hed eller organ behandler personoplysninger paring vegne af en privat eller selv outsourcer sin da-
tabehandling til en privat som ikke er forpligtet til at udpege en databeskyttelsesraringdgiver Det kan
feks vaeligre tilfaeligldet naringr offentlige myndigheder eller organer vaeliglger at overlade til en anden at
udfoslashre selve den praktiske behandling af personoplysninger paring den dataansvarliges vegne
Den eneste undtagelse hertil er domstole der ikke er forpligtede til at udpege en databeskyttel-
sesraringdgiver naringr de handler i deres egenskab af domstole
42 Hvornaringr er man en offentlig myndighed
De myndigheder der i dansk ret henregnes til den offentlige forvaltning i medfoslashr af forvaltnings-
lovens sect 1 stk 1-2 skal anses for offentlige myndigheder eller organer og er dermed forpligtede
til at udpege en databeskyttelsesraringdgiver Det fremgaringr heraf at foslashlgende virksomheder omfattes
af loven al virksomhed der udoslashves af den offentlige forvaltning og al virksomhed der udoslashves af
selvejende institutioner foreninger fonde mv der er oprettet ved lov eller i henhold til lov og
selvejende institutioner foreninger fonde mv der er oprettet paring privatretligt grundlag og som
udoslashver offentlig virksomhed af mere omfattende karakter og er undergivet intensiv offentlig regu-
lering intensivt offentlig tilsyn og intensiv offentlig kontrol
I forhold til selvejende institutioner mv oprettet paring privatretligt grundlag vil der saringledes vaeligre
nogle som omfattes af kravet om at have en databeskyttelsesraringdgiver mens andre ikke omfattes
Det vil bero paring en konkret vurdering
Selvejende institutioner mv oprettet paring privatretligt grundlag som udoslashver offentlig virksomhed
af mere omfattende karakter og er undergivet intensiv offentlig regulering intensivt offentlig tilsyn
og intensiv offentlig kontrol vil vaeligre omfattet
Det spiller endvidere ind om det offentlige har instruktionsbefoslashjelser over for institutionen om det
offentlige skal godkende institutionens vedtaeliggter og om det offentlige yder sekretariatsbistand
Vejledning om databeskyttelsesraringdgivere
15
til institutionen Herudover maring man se paring om det offentlige skal godkende institutionens regn-
skaber og om institutionens drift og virksomhed er detaljeret reguleret ved regler og retningslinjer
udstedt af det offentlige Endelig kan man tage hensyn til om det offentlige overtager institutio-
nens rettigheder og forpligtelser hvis den nedlaeliggges
Eksempler paring selvejende institutioner mv der er omfattet
- Universiteter
- Institutioner hvor kommunalbestyrelsen har indgaringet overenskomst til opfyldelse af sine forplig-
telser efter lov om social service
- Gymnasieskoler
Eksempler paring selvejende institutioner og foreninger der ikke er omfattet
- Danske Regioner og KL
- Dansk Flygtningehjaeliglp
For saring vidt angaringr statslige og kommunale institutioner der er organiseret i selskabsform feks
som aktieselskab eller interessentskab vil disse umiddelbart aldrig vaeligre omfattet Dette er ogsaring
tilfaeligldet for koncessionerede selskaber og selskaber hvori staten eller en kommune er aktionaeligr
interessent eller lignende uanset om staten eller kommunen ejer selskabet 100 Det har i den
forbindelse ingen betydning hvilke aktiviteter organet udfoslashrer ligesom det ikke i sig selv kan foslashre
til et andet resultat at selskabet maringtte vaeligre oprettet ved lov eller i henhold til lov
Dog er kommunale faeligllesskaber jf sect 60 i lov om kommunernes styrelse hvortil to eller flere
kommuner overfoslashrer opgaver til selvstaeligndig varetagelse altid offentlige myndigheder Det gaeligl-
der uanset at kommunale faeligllesskaber normalt etableres som interessentskaber Det kommu-
nale faeligllesskab er selvstaeligndigt dataansvarligt og skal udpege en databeskyttelsesraringdgiver
Eksempel paring institution der er organiseret i selskabsform der ikke er omfattet
- Staten og Kommunernes Indkoslashbs Service AS
Saringfremt der ikke er tale om en offentlig myndighed eller organ skal bedoslashmmelsen af hvorvidt
man har pligt til at udpege en databeskyttelsesraringdgiver foretages i henhold til betingelserne be-
skrevet ovenfor under punkt 3 vedroslashrende privates forpligtelse til at udpege en databeskyttel-
sesraringdgiver
43 Faeliglles databeskyttelsesraringdgiver for offentlige myndigheder
Flere myndigheder eller organer vil i mange tilfaeliglde kunne have en faeliglles databeskyttelsesraringd-
giver forudsat at det er i overensstemmelse med deres organisatoriske struktur og stoslashrrelse I
den forbindelse kan det vaeligre relevant at overveje om raringdgiveren skal fungere paring baggrund af
eacuten ansaeligttelseskontrakt for to forskellige myndigheder eller to deltidskontrakter
Herudover vil en databeskyttelsesraringdgiver kunne vaeligre ansat paring en deltidskontrakt hos eacuten myn-
dighed og ansat paring baggrund af en tjenesteydelseskontrakt i en anden myndighed eller organi-
sation
Vejledning om databeskyttelsesraringdgivere
16
Saringfremt flere myndigheder har en faeliglles databeskyttelsesraringdgiver er det dog en forudsaeligtning
at databeskyttelsesraringdgiveren kan efterleve kravene i databeskyttelsesforordningen til en data-
beskyttelsesraringdgiver herunder til dennes stilling opgaver uafhaeligngighed og tilgaeligngelighed mv
naringr denne loslashser opgaven for flere myndigheder paring eacuten gang
For saring vidt angaringr tilgaeligngelighed er der ikke et krav om fysisk tilstedevaeligrelse paring alle lokationer
saringfremt der anvendes en faeliglles databeskyttelsesraringdgiver De enkelte myndigheder har i den for-
bindelse mulighed for at aftale hvordan den fysiske tilgaeligngelighed i praksis kan loslashftes herunder
feks ved hjaeliglp af mail telefon internet mm Det er i relation til kravet om tilgaeligngelighed endvi-
dere vaeligrd at bemaeligrke at flere myndigheder som naeligvnt godt kan have en faeliglles raringdgiver men
at databeskyttelsesraringdgiveren skal kunne (naring at) varetage sin raringdgivningsopgave fyldestgoslashrende
for alle de myndigheder for hvilke den paringgaeligldende varetager opgaven som databeskyttelses-
raringdgiver Her kan det bla vaeligre relevant at se paring maeligngden af personoplysninger der behandles
i en given myndighed
I relation til uafhaeligngighedskriteriet bemaeligrkes at det kan vaeligre betaelignkeligt at lade visse myndig-
heder have en faeliglles databeskyttelsesraringdgiver jf nedenfor under afsnittet rdquoEksempel ndash Ministe-
rier og underordnede myndighederrdquo
Der henvises i oslashvrigt til afsnit 5 i denne vejledning
Det er endvidere et krav at der er eacuten der er personligt ansvarlig for hvervet som databeskyttel-
sesraringdgiver
Som foslashlge af kravet om at udpegningen af en faeliglles databeskyttelsesraringdgiver skal vaeligre i over-
ensstemmelse med myndigheden eller organets organisatoriske struktur og stoslashrrelse stilles der
krav til selve ansaeligttelsen af databeskyttelsesraringdgiveren
Den retlige graelignse for at dele en databeskyttelsesraringdgiver vil i et saringdan tilfaeliglde vaeligre de gaeligl-
dende standarder om offentlige ansattes bierhverv de almindelige habilitetsregler og muligheden
for at efterleve kravene i forordningen herunder tilstraeligkkelige ressourcer i forhold til at udfoslashre
hvervet
Vejledning om databeskyttelsesraringdgivere
17
Kommuner
Det antages ikke at vaeligre i overensstemmelse med en offentlig myndigheds struktur eller stoslashr-
relse hvis en databeskyttelsesraringdgiver fungerer paring baggrund af eacuten ansaeligttelseskontrakt i to for-
skellige kommuner Det antages derimod omvendt at vaeligre i overensstemmelse hermed saring-
fremt raringdgiveren udoslashver sin funktion paring baggrund af to deltidskontrakter i to kommuner paring
samme tid
Eksempel ndash En kommune
En kommune vil typisk vaeligre dataansvarlig for alle de behandlinger af personoplysninger som
foretages inden for den kommunale enhedsforvaltning Derfor er en kommune ikke forpligtet til at
udpege eacuten databeskyttelsesraringdgiver for de enkelte forvaltninger men vil kunne udpege eacuten data-
beskyttelsesraringdgiver for hele kommunen
Eksempel ndash organer med selvstaeligndig kompetence paring det kommunale omraringde
Det bemaeligrkes at der paring det kommunale omraringde kan vaeligre organer som ikke er en del af den
kommunale enhedsforvaltning men har selvstaeligndig kompetence paring det kommunale omraringde
feks huslejenaeligvnet ligesom der kan vaeligre kommunale organer som er en del af enhedsforvalt-
ningen der i visse henseender har en ndash i forhold til kommunalbestyrelsen ndash selvstaeligndig kompe-
tence herunder feks skoleledere
Naringr det i lovgivningen er fastsat eller forudsat at disse organer sekretariatsbetjenes af kommu-
nen og kommunen yder sekretariatsbetjening kan organerne have faeliglles databeskyttelsesraringd-
giver med kommunen og er ikke forpligtet til selvstaeligndigt at udpege en databeskyttelsesraringdgiver
ved siden af kommunens Databeskyttelsesraringdgiverens ydelser vil i den forbindelse vaeligre en del
af sekretariatsbetjeningen
Eksempel ndash Flere kommuner
Flere kommuner vil have mulighed for at dele en databeskyttelsesraringdgiver Som udgangspunkt
vurderes det at feks en gennemsnitskommune paring omkring 45000 indbyggere godt vil kunne
dele en databeskyttelsesraringdgiver med en anden tilsvarende eller en mindre kommune eller at en
lidt stoslashrre kommune vil kunne dele med en mindre kommune hvis databeskyttelsesraringdgiveren
Eksempel - Rigspolitiets databeskyttelsesenhed
Rigspolitiet har udpeget en faeliglles databeskyttelsesraringdgiver for landets 12
politikredse og Rigspolitiet for saring vidt angaringr behandlingen af personoplys-
ninger til brug for retsharingndhaeligvelsesformaringl
Den faeliglles databeskyttelsesraringdgiver understoslashttes i den forbindelse af en cen-
tral datebeskyttelsesenhed i Rigspolitiet hvor de enkelte medarbejdere be-
sidder stort kendskab til persondateretlige og forretningsmaeligssige forhold
med relevans for enhedens opgavevaretagelse Paring denne baggrund kan da-
tabeskyttelsesraringdgiveren samlet set leve op til sine forpligtelser som databe-
skyttelsesraringdgiver i medfoslashr af lov om retsharingndhaeligvende myndigheders be-
handling af personoplysninger som er lig dem der foslashlger af databeskyttel-
sesforordningen
Vejledning om databeskyttelsesraringdgivere
18
samlet set vurderes at kunne varetage opgaverne som databeskyttelsesraringdgiver Der skal saringle-
des foretages en konkret vurdering i det enkelte tilfaeliglde idet det afgoslashrende er om man som
databeskyttelsesraringdgiver kan efterleve sin funktion retmaeligssigt naringr funktionen udoslashves for flere
kommuner paring samme tid
Herudover vil to eller flere kommuner kunne oprette et kommunalt faeligllesskab til hvilket de garingr
sammen om at loslashse opgaven som databeskyttelsesraringdgiver i de deltagende kommuner
Eksempel - Regioner
En region vil typisk ogsaring vaeligre dataansvarlig for alle de behandlinger af personoplysninger der
foretages inden for regionen herunder drift af hospitaler forskning og sociale tilbud mv Hver
region vil som udgangspunkt kunne udpege eacuten databeskyttelsesraringdgiver
Eksempel - Ministerier og underordnede myndigheder
Departementer og underordnede myndigheder kan have en faeliglles databeskyttelsesraringdgiver
Dog kan der vaeligre hindringer som feks myndighedens stoslashrrelse der bevirker at man ikke kan
dele en databeskyttelsesraringdgiver Som eksempel herparing kan naeligvnes Justitsministeriet og politiet
der ikke kan have en faeliglles raringdgiver
Det skyldes at politiet anses for at vaeligre saring stor en enhed at en faeliglles databeskyttelsesraringdgiver
ikke vil kunne efterleve kravene til en databeskyttelsesraringdgiver (om bla tilgaeligngelighed) hvis
denne baringde skulle udfoslashre sin opgave for politiet som helhed og med andre myndigheder under
Justitsministeriets ressort
Dog vil politiet ndash i en ordning svarende til den ovenfor beskrevne paring retsharingndhaeligvelsesomraringdet ndash
kunne have en faeliglles databeskyttelsesraringdgiver under forordningen der udfoslashrer sin funktion for
alle politikredse
Det bemaeligrkes endvidere at forordningens krav om uafhaeligngighed skal vaeligre opfyldt for alle de
myndigheder der deler en databeskyttelsesraringdgiver
I den forbindelse ndash samt i relation til en underordnet myndigheds eventuelt saeligrlige uafhaeligngighed
ift den overordnede myndighed ndash kan der vaeligre visse situationer hvor det kan vaeligre betaelignkeligt
at lade en underordnet myndighed dele databeskyttelsesraringdgiver med et departement
Som eksempel herparing kan naeligvnes Datatilsynet og Justitsministeriets departement Dette er bla
henset til Datatilsynets funktionelle uafhaeligngighed i forhold til Justitsministeriet samt tilsynets spe-
cielle kompetence og rolle i forhold til databeskyttelsesforordningen Som et andet eksempel kan
naeligvnes Ankestyrelsens relation til (paring nuvaeligrende tidspunkt) Oslashkonomi- og Indenrigsministeriets
departement Her kan bla peges paring maeligngden og karakteren af data som behandles i Ankesty-
relsen samt styrelsens faglige uafhaeligngighed af departementet
Organisatoriske aeligndringer kan ogsaring bevirke at det i visse situationer ndash af praktiske aringrsager ndash
kan vaeligre mere oplagt for en underordnet myndighed at have sin egen databeskyttelsesraringdgiver
fremfor at dele med sit departement Hvis en underordnet myndighed saringledes har sin egen data-
beskyttelsesraringdgiver kan denne blot fortsaeligtte under samme kontrakt vilkaringr mv uanset at en
Vejledning om databeskyttelsesraringdgivere
19
myndighed efter eksempelvis et regeringsskifte organisatorisk placeres under et andet ministe-
rium
Eksempel - Selvejende institutioner
I det omfang selvejende institutioner kan anses for en offentlig myndighed eller et organ vil disse
myndigheder ogsaring have mulighed for at udpege en faeliglles databeskyttelsesraringdgiver med en an-
den selvejende institution omfattet af samme lovgivning eller feks den kommune som institutio-
nen har driftsoverenskomst med i det omfang kommunen yder sekretariatsbistand til institutio-
nen
44 Opsummering
Alle offentlige myndigheder og organer skal udpege en databeskyttelsesraringdgiver
fra den 25 maj 2018
Det er i hoslashj grad muligt at udpege en faeliglles databeskyttelsesraringdgiver der funge-
rer paring vegne af flere myndigheder paring eacuten gang
Muligheden for at have en faeliglles databeskyttelsesraringdgiver begraelignses af at
denne skal kunne leve op til sine forpligtelser efter databeskyttelsesforordningen
Databeskyttelsesraringdgiveren kan understoslashttes af en enhed for at kunne udfoslashre sit
hverv i overensstemmelse med forordningens krav Dette gaeliglder uanset om da-
tabeskyttelsesraringdgiveren fungerer for eacuten myndighed eller for flere myndigheder
og organer
Vejledning om databeskyttelsesraringdgivere
20
5 Databeskyttelsesraringdgiveren
51 Krav til faglige kvalifikationer
En databeskyttelsesraringdgiver skal udpeges paring baggrund af sine faglige kvalifikationer Dette
gaeliglder navnlig evnen til at udfoslashre sine opgaver som databeskyttelsesraringdgiver og ekspertise in-
den for databeskyttelsesret- og praksis
Der er ikke krav om at en databeskyttelsesraringdgiver skal have en bestemt uddannelsesmaeligssig
baggrund feks som jurist
Dermed er det op til den enkelte organisation at vurdere hvem der er bedst egnet til at varetage
stillingen som databeskyttelsesraringdgiver
Kravene til stillingen afhaelignger til en vis grad af kompleksiteten af den behandling af personop-
lysninger som den paringgaeligldende organisation foretager Dermed kan der for nogen organisatio-
ner vaeligre behov for at ansaeligtte en databeskyttelsesraringdgiver med stor erfaring inden for feltet og
i andre tilfaeliglde kan en eksisterende medarbejder paring baggrund af diverse kurser varetage funkti-
onen
Hvis der udpeges en databeskyttelsesraringdgiver fra egen organisation kan det med fordel vaeligre
en person som i forvejen har et vist kendskab til eller indsigt i haringndtering af databeskyttelses-
retlige sposlashrgsmaringl i organisationen
52 Hvem kan vaeligre databeskyttelsesraringdgiver
Som udgangspunkt kan alle som organisationen finder kvalificeret til at vaeligre databeskyttelses-
raringdgiver varetage funktionen
Foslashlgende kan derfor vaeligre databeskyttelsesraringdgivere
En intern medarbejder
En faeliglles databeskyttelsesraringdgiver for hele eller flere organisationer
En ekstern databeskyttelsesraringdgiver
Intern medarbejder
En organisation kan vaeliglge at udpege en eksisterende medarbejder som databeskyttelsesraringdgi-
ver
Det er ikke et krav at den medarbejder der varetager funktionen som databeskyttelsesraringdgiver
udoslashver sin funktion paring fuld tid
Vejledning om databeskyttelsesraringdgivere
21
Dermed kan en intern medarbejder der varetager funktionen som databeskyttelsesraringdgiver ud-
foslashre andre opgaver og have andre pligter i organisationen
Saringledes kan en medarbejder der feks arbejder i IT-sektionen i en organisation godt varetage
funktionen som databeskyttelsesraringdgiver paring deltid eller 10 timer om ugen alt efter behovet i
den enkelte organisation
Det afgoslashrende er at den paringgaeligldende medarbejder fyldestgoslashrende kan udoslashve sit erhverv som
databeskyttelsesraringdgiver i organisationen
Den person der udpeges kan med fordel vaeligre en person som i forvejen har et vist kendskab
til eller indsigt i haringndtering af databeskyttelsesretlige sposlashrgsmaringl i organisationen
Selve vurderingen af hvor meget tid en medarbejder skal bruge paring fyldestgoslashrende at kunne ef-
terleve kravene til en databeskyttelsesraringdgiver i organisationen afhaelignger af en konkret vurde-
ring af behovet hos organisationen
Interne ansatte der ikke kan vaeligre databeskyttelsesraringdgiver
En databeskyttelsesraringdgiver skal baringde vaeligre uafhaeligngig og vaeligre i stand til at udoslashve uvildig raringd-
givning til organisationen
Derfor kan en databeskyttelsesraringdgiver ikke vaeligre den oslashverste IT-ansvarlige eller oslashverste HR-
ansvarlige i en organisation
Eksempel ndash virksomhed med faring ansatte
Virksomheder med faring ansatte herunder feks enkeltmandsvirksomheder vil have svaeligrt ved at
opfylde betingelsen om at en databeskyttelsesraringdgiver ikke kan vaeligre oslashverste IT-ansvarlige eller
oslashverste HR-ansvarlige i en organisation (forudsat at virksomheden i oslashvrigt opfylder betingelserne
for hvornaringr private skal udpege en databeskyttelsesraringdgiver jf naeligrmere om privates forpligtelse
under punkt 3) I en saringdan situation kan virksomheden enten benytte sig af muligheden for at
udpege en faeliglles databeskyttelsesraringdgiver eller anvende en konsulent til opgaven
Databeskyttelsesraringdgiverenhed
Der kan ogsaring udpeges eacuten databeskyttelsesraringdgiver for den paringgaeligldende organisation som un-
derstoslashttes af en enhed saring den paringgaeligldende kan leve op til sine forpligtelser efter forordningen jf
den ovenfor beskrevne ordning for politiet
Faeliglles databeskyttelsesraringdgiver
Saringvel private som offentlige myndigheder kan udpege en faeliglles databeskyttelsesraringdgiver af-
haeligngig af deres struktur og stoslashrrelse
Medarbejdere som ikke har det oslashverste ansvar kan vaeligre databe-
skyttelsesraringdgivere Det betyder at ledende IT-medarbejdere
compliance-officerer eller en it-sikkerheds koordinator mv kan
udoslashve funktionen som databeskyttelsesraringdgiver i organisationen
Vejledning om databeskyttelsesraringdgivere
22
Ekstern medarbejder
Man kan ogsaring vaeliglge at udpege en ekstern databeskyttelsesraringdgiver Dette kan enten vaeligre en
raringdgiver (konsulentvirksomhed) saringsom en bestemt advokat eller revisor eller andre kvalifice-
rede eksterne parter Udoslashvelsen af hvervet som databeskyttelsesraringdgiver vil dog i sagens natur
alene kunne udoslashves i det omfang dette er foreneligt med eventuelle regler ndash herunder etiske
krav ndash for den relevante type af raringdgivervirksomhed mv
53 Databeskyttelsesraringdgiverens opgaver
Databeskyttelsesraringdgiveren funktion bestaringr i at raringdgive den dataansvarlige og hjaeliglpe med at
organisationen efterlever de databeskyttelsesretlige regler
En databeskyttelsesraringdgiver skal desuden prioritere sine opgaver og fokusere paring de behandlin-
ger af personoplysninger i den paringgaeligldende organisation som konkret indebaeligrer en hoslashjere ri-
siko for brud paring de databeskyttelsesretlige regler Dog skal oslashvrige databeskyttelsesretlige omraring-
der som indebaeligrer en lavere grad af risiko ikke undlades
Der er en raeligkke opgaver som databeskyttelsesraringdgiveren som minimum skal varetage Der er
dog ikke noget til hinder for at der overlades flere opgaver til databeskyttelsesraringdgiveren Da-
tabeskyttelsesraringdgiverens rolle som central raringdgivningsfigur i organisationen samt dennes op-
gaver kan med fordel beskrives naeligrmere i en (ansaeligttelses)aftale
Nedenfor foslashlger en naeligrmere beskrivelse af de opgaver som databeskyttelsesraringdgiveren som
minimum skal varetage i en organisation
Underrette og raringdgive organisationen og de ansatte om databeskyttelse
Det indebaeligrer
Konkret raringdgivning om beskyttelse af personoplysninger i organisationen samt
overvejelser og beslutninger om hvordan compliance sikres mv feks i forbin-
delse med foslashlgende
Organisationens indkoslashb af nyt IT-system
kravsspecifikationer til leverandoslashrer
udarbejdelse af organisationens data-politikker
ivaeligrksaeligttelse af behandling af personoplysninger
overvejelser om hvorvidt en given behandling af personoplysninger over-
holder de generelle behandlingsregler
Staring til raringdighed for ansatte samt ledelsen i organisationen vedroslashrende sposlashrgsmaringl
om databeskyttelse
Vejledning om databeskyttelsesraringdgivere
23
Raringdgivning i forbindelse med udarbejdelse af organisationens konsekvensanaly-
ser jf afsnit 3 nedenfor
Modtage underretning om og raringdgive organisationen i forbindelse med brud paring
persondatasikkerheden
Overvaringge overholdelsen af de databeskyttelsesretlige regler i organisationen
Det indebaeligrer bla ogsaring at overvaringge
organisationens politikker om databeskyttelse
uddannelse af personale i databeskyttelse
oplysningskampagner
fordeling af ansvar
revisioner
Det skal hertil bemaeligrkes at databeskyttelsesraringdgiverens opgave med at overvaringge overholdel-
sen af de databeskyttelsesretlige regler i organisationen ikke medfoslashrer at raringdgiveren overtager
selve ansvaret for at behandlingen af personoplysninger sker i overensstemmelse med reg-
lerne Dette ansvar ligger fortsat hos den dataansvarlige
Raringdgivning i forbindelse med udarbejdelse af organisationens konsekvensanalyser
I visse tilfaeliglde skal organisationer udarbejde en konsekvensanalyse af en planlagt behandling
af personoplysninger
I de tilfaeliglde hvor en organisation har udpeget en databeskyttelsesraringdgiver skal denne raringdfoslash-
res naringr der foretages en konsekvensanalyse
Herudover skal databeskyttelsesraringdgiveren raringdgive med hensyn til konsekvensanalysen naringr
der anmodes herom
Som led i overvaringgningsopgaven kan databeskyttel-
sesraringdgiveren foretage foslashlgende
indsamle oplysninger til at identificere
behandlingsaktiviteter
informere raringdgive og komme med an-
befalinger til den dataansvarlige og da-
tabehandleren
Vejledning om databeskyttelsesraringdgivere
24
I tilfaeliglde af uenighed mellem organisationen og databeskyttelsesraringdgiveren anbefales det at
det specifikt fremgaringr af selve konsekvensanalysen hvorfor databeskyttelsesraringdgiverens indstil-
ling ikke er blevet fulgt
Samarbejde med Datatilsynet paring vegne af organisationen
En organisation er forpligtet til at hoslashre Datatilsynet inden behandling hvis en konsekvensana-
lyse vedroslashrende databeskyttelse viser at behandlingen af personoplysninger vil foslashre til hoslashj ri-
siko i mangel af foranstaltninger truffet af organisation for at begraelignse risikoen
Det foslashlger af forordningen at databeskyttelsesraringdgiveren skal samarbejde med tilsynsmyndig-
heden og fungere som tilsynsmyndighedens kontaktperson Det kan feks vaeligre databeskyttel-
sesraringdgiveren der paring vegne af den dataansvarlige hoslashrer tilsynsmyndigheden
Vaeligre kontaktpunkt for tilsynsmyndigheden (Datatilsynet) angaringende alle sposlashrgsmaringl om behand-
ling af personoplysninger for de personer der behandles oplysninger om
Databeskyttelsesraringdgiveren skal inddrages af den dataansvarlige i tilfaeliglde af at konkrete kla-
gesager indbringes for Datatilsynet Databeskyttelsesraringdgiveren boslashr ligeledes orienteres naringr
Datatilsynet beslutter at gennemfoslashre et eventuelt tilsyn af den dataansvarlige
Herudover skal databeskyttelsesraringdgiveren ogsaring vaeligre i stand til at vejlede den person der be-
handles personoplysninger om Det betyder at databeskyttelsesraringdgiveren skal vaeligre i stand til
at vejlede om hvilke rettigheder den paringgaeligldende har og hvordan de kan udnyttes
Det indebaeligrer endvidere at den dataansvarlige skal give meddelelse om kontaktoplysninger paring
databeskyttelsesraringdgiveren
Det anbefales i oslashvrigt at organisationen i en funktionsbeskrivelse klart definerer hvilke opgaver
der paringhviler databeskyttelsesraringdgiveren En funktionsbeskrivelse vil goslashre det tydeligt hvornaringr
Raringdgivning i forhold til konsekvensanalyser kan bla indebaeligre raringdgiv-
ning vedroslashrende
om der skal gennemfoslashres en konsekvensanalyse
hvilken fremgangsmaringde der skal anvendes ved gennemfoslash-
relse af konsekvensanalysen
om konsekvensanalysen kan gennemfoslashres internt eller om
gennemfoslashrelsen kraeligver antagelse af ekstern bistand
hvilke sikkerhedsforanstaltninger (tekniske og organisatori-
ske) som skal anvendes for at begraelignse risici i forhold til
de registreredes rettigheder og interesser
om konsekvensanalysen er korrekt gennemfoslashrt og om
dens konklusioner er i overensstemmelse med de databe-
skyttelsesretlige regler
Vejledning om databeskyttelsesraringdgivere
25
den paringgaeligldende virker som databeskyttelsesraringdgiver og i denne egenskab ikke kan instrueres
Det vil samtidig blive tydeligt hvornaringr den paringgaeligldende udfoslashrer andre opgaver i sit ordinaeligre an-
saeligttelsesforhold i organisationen
54 Krav til organisationen ndash rettidig og tilstraeligkkelig inddragelse af databeskyt-
telsesraringdgiveren
En organisation skal sikre at databeskyttelsesraringdgiveren inddrages tilstraeligkkeligt og rettidigt i
alle sposlashrgsmaringl vedroslashrende beskyttelse af personoplysninger En saringdan inddragelse boslashr ogsaring
ske paring oslashverste ledelsesmaeligssige niveau (feks ved deltagelse paring direktions- og ledelsesmoslashder)
Det anbefales at organisationen implementerer procedurer som sikrer dette
I hvilke tilfaeliglde skal databeskyttelsesraringdgiveren inddrages
Databeskyttelsesraringdgiveren skal inddrages i alle de overvejelser og vurderinger som organisa-
tionen goslashr sig for at overholde kravene i databeskyttelsesforordningen databeskyttelsesloven
og oslashvrige regler for behandling af personoplysninger
Eksempel paring sposlashrgsmaringl hvor databeskyttelsesraringdgiveren boslashr inddrages
ved overvejelser og beslutninger om hvordan organisationens compliance med
databeskyttelsesreglerne sikres
ved overvejelser i forbindelse med datasikkerhed herunder databeskyttelse gen-
nem design og standardindstillinger og
ved udarbejdelse af konsekvensanalyser
Saringfremt databeskyttelsesraringdgiveren udpeges foslashr den 25 maj 2018 kan denne inddrages i or-
ganisationens implementering af de krav der foslashlger af forordningen
Eksempel paring sposlashrgsmaringl hvor databeskyttelsesraringdgiveren ikke
skal inddrages
Konkrete vurderinger ift registreredes rettigheder
feks anmodning paring indsigt ret til at blive glemt
mv
Deltagelse i mindre praktiske eller almindelige
driftsopgaver eller driftsmaeligssige sposlashrgsmaringl knyt-
tet til opsaeligtning af it-systemer
Udarbejdelse af konkrete databehandleraftaler
Behandling af personoplysninger der finder sted i
overensstemmelse med interne regler som den da-
taansvarlige har fastsat forudsat at disse regler er
fastsat under inddragelse af databeskyttelsesraringdgi-
veren
Vejledning om databeskyttelsesraringdgivere
26
Hvordan skal databeskyttelsesraringdgiveren inddrages
For at sikre at databeskyttelsesraringdgiveren inddrages tilstraeligkkeligt og rettidigt er organisationen
forpligtet til at holde databeskyttelsesraringdgiveren tilstraeligkkeligt og rettidigt orienteret om alle
sposlashrgsmaringl om beskyttelse af personoplysninger
Som tommelfingerregel skal databeskyttelsesraringdgiveren have mulighed for at vurdere overhol-
delsen af de databeskyttelsesretlige regler og komme med bemaeligrkninger eller lignende inden
en behandling af personoplysninger igangsaeligttes
Hvornaringr er inddragelsen rettidig
Databeskyttelsesraringdgiveren skal inddrages i saring god tid som det er muligt forud for ivaeligrksaeligttel-
sen af behandling af personoplysninger
Det er afgoslashrende at databeskyttelsesraringdgiveren inddrages i tide til at kunne foretage en reel
vurdering af om den paringtaelignkte behandling af personoplysninger er i overensstemmelse med de
databeskyttelsesretlige regler og dermed kan komme med kvalificerede bemaeligrkninger herom
med henblik paring at raringdgive organisationen
Eksempler paring rettidig inddragelse
Inddrages forud for beslutning om noslashdvendige
foranstaltninger i IT-systemer for at efterleve kra-
vene om databeskyttelse gennem design og stan-
dardindstillinger
Inddrages forud for udstedelse af retningslinjer og
procedurer for hvordan de databeskyttelsesret-
lige regler skal overholdes i organisationen
Inddragelse foslashr offentliggoslashrelse af udbudsmateri-
ale i en udbudsproces eller lignende
Eksempler paring ikke-rettidig inddragelse
Inddragelse af databeskyttelsesraringdgiveren efter
et nyt IT-system er faeligrdigudviklet
Inddragelse af databeskyttelsesraringdgiveren efter
indkoslashb af IT-systemer (dermed ikke en del af
overvejelserne vedr kravspecifikation og databe-
skyttelse gennem design og standardindstillin-
ger)
Inddragelse af databeskyttelsesraringdgiveren efter
at en konsekvensanalyse er udarbejdet
Inddragelse af databeskyttelsesraringdgiveren efter
stoslashrre aeligndringer i organisationens procedurer
der vedroslashrer databeskyttelse saringsom haringndtering
af anmodninger fra registrerede personer
Vejledning om databeskyttelsesraringdgivere
27
Behandlingsaktiviteter igangsat foslashr en databeskyttelsesraringdgiver udpeges
Naringr en organisation udpeger en databeskyttelsesraringdgiver vil der selvsagt vaeligre behandlinger af
personoplysninger der allerede er igangsat i organisationen
Databeskyttelsesraringdgiveren boslashr ved udpegelsen primaeligrt have fokus paring de fremadrettede com-
pliance aktiviteter Derudover kan databeskyttelsesraringdgiveren ndash ud fra en risikovurdering i for-
hold til de behandlinger som konkret indebaeligrer hoslashjere risiko ndash inddrages i organisationens
overvejelser om hvorvidt de igangvaeligrende aktiviteter overholder de databeskyttelsesretlige
regler
Hvornaringr er inddragelsen tilstraeligkkelig
Der skal ske en reel inddragelse af databeskyttelsesraringdgiveren i organisationens overvejelser
og beslutninger vedroslashrende databeskyttelse
Det indebaeligrer at organisationen skal inddrage og tage hoslashjde for databeskyttelsesraringdgiverens
bemaeligrkninger og raringdgivning i oslashvrigt samt dennes rapportering til oslashverste ledelsesniveau om
overholdelse af de databeskyttelsesretlige regler
Saringfremt databeskyttelsesraringdgiverens raringdgivning ikke foslashlges anbefales det at organisationen
dokumenterer dette i overensstemmelse med kravet om accountability
Ressourcer og adgang
Ressourcer
For at databeskyttelsesraringdgiveren rent faktisk kan udfoslashre sine opgaver er det noslashdvendigt at
organisationens tilvejebringer de noslashdvendige ressourcer til stoslashtte for databeskyttelsesraringdgive-
ren
Det er endvidere et krav at organisationen tilvejebringer de fornoslashdne ressourcer for at databe-
skyttelsesraringdgiveren kan opretholde sin ekspertise inden for omraringdet
Fastsaeligttelsen af de fornoslashdne ressourcer beror paring en konkret vurdering som afhaelignger af de
organisatoriske forhold i organisationen saringsom stoslashrrelsen antallet af behandlingsaktiviteter
kompleksiteten af behandlingen af personoplysninger samt de forbundne risici
Jo stoslashrre en organisation er des stoslashrre er behovet for ressourcer til stoslashtte for databeskyttelses-
raringdgiveren
Selve behovet for ressourcer beror paring en konkret vurde-
ring som organisationen er ansvarlig for at foretage
Som eksempler paring fornoslashdne ressourcer kan naeligvnes
Faciliteter og arbejdsredskaber
Oslashkonomiske ressourcer
Personaleressourcer og lignende
Vejledning om databeskyttelsesraringdgivere
28
Adgang
Databeskyttelsesraringdgiveren skal ogsaring have adgang til organisationens personoplysninger og
den behandling af disse som organisationen foretager
Der skal vaeligre tale om en vid adgang som kan tilvejebringes efter behov
Uafhaeligngighed
Det er et grundlaeligggende krav at en databeskyttelsesraringdgiver ikke maring blive instrueret af andre
om hvordan raringdgiveren skal udfoslashre sine opgaver Der gaeliglder saringledes foslashlgende for databeskyt-
telsesraringdgiveren
Maring ikke som led i sin funktion som databeskyttelsesraringdgiver modtage instruks om
hvordan denne skal udfoslashre sine opgaver (eller feks om en bestemt vurdering el-
ler fortolkning af forordningen)
Maring ikke afskediges eller sanktioneres for at udfoslashre sine opgaver
Rapporterer direkte til oslashverste ledelsesniveau
Databeskyttelsesraringdgiverens interne reaktionsmuligheder er i praksis taeligt forbundne med at
ovenstaringende krav til uafhaeligngighed efterleves Idet en databeskyttelsesraringdgiver ikke har instruk-
tionsbefoslashjelser over for andre dele af den dataansvarliges organisation er det i praksis mulighe-
den for at kunne rapportere direkte til oslashverste ledelsesniveau der er raringdgiverens interne virke-
middel overfor konstaterede brud paring forordningen
Hvor det oslashverste ledelsesniveau er afhaelignger af organiseringen hos den konkrete dataansvarlige
eller databehandleren
I forhold til det private erhvervsliv fremgaringr det af selskabsloven at det er bestyrelsen der er det
centrale eller oslashverste ledelsesorgan i selskaber der baringde har en bestyrelse og en direktion Naringr
der i databeskyttelsesforordningen henvises til det oslashverste ledelsesniveau maring det i det private
forstarings i relation til den daglige drift og dermed direktionen saringfremt selskabet har baringde en besty-
relse og en direktion Det vil i praksis betyde at direktionen skal orientere bestyrelsen om vaelig-
sentlige forhold som paringpeges af databeskyttelsesraringdgiveren
For statslige myndigheder maring den oslashverste ledelse forstarings som den oslashverste administrative le-
delse
For saring vidt angaringr kommuner og regioner gaeliglder at databeskyttelsesraringdgiveren rapporterer di-
rekte til kommunalbestyrelsen henholdsvis regionsraringdet Denne rapportering forelaeliggges for kom-
munalbestyrelsen henholdsvis regionsraringdet uden den forudgaringende udvalgsbehandling som de
kommunale og regionale sager ellers normalt skal undergives Dette udelukker dog ikke at en
kommune kan indhente en erklaeligring fra oslashkonomiudvalget forinden forelaeligggelse for kommunal-
bestyrelsen
55 Beskyttelse af databeskyttelsesraringdgiveren
Funktionen som databeskyttelsesraringdgiver er beskyttet ved et forbud mod at kunne blive afskedi-
get for udfoslashrelse af opgaverne som databeskyttelsesraringdgiver
Vejledning om databeskyttelsesraringdgivere
29
Usaglig afskedigelse af en databeskyttelsesraringdgiver er sanktioneret med en boslashde
Databeskyttelsesraringdgiveren vil kunne afskediges paring et sagligt grundlag efter almindelige ansaeligt-
telsesretlige regler
56 Opsummering
En databeskyttelsesraringdgiver udpeges paring baggrund af sine faglige kvalifikationer
Databeskyttelsesraringdgiveren kan baringde vaeligre en intern medarbejder en faeliglles da-
tabeskyttelsesraringdgiver for hele eller flere organisationer eller en ekstern databe-
skyttelsesraringdgiver
Databeskyttelsesraringdgiveren har en raeligkke opgaver denne som minimum skal va-
retage Derudover anbefales det at man klart definerer hvilke opgaver der paringhvi-
ler databeskyttelsesraringdgiveren
En organisation skal rettidig og tilstraeligkkelig inddrage databeskyttelsesraringdgiveren
i alle sposlashrgsmaringl vedroslashrende beskyttelse af personoplysninger
Databeskyttelsesraringdgiveren nyder en saeligrlig beskyttelse mod usaglig afskedi-
gelse og kan ikke afskediges eller sanktioneres for at udfoslashre sine opgaver som
Databeskyttelsesraringdgiver
Dato
20 december 2017
Justitsministeriet
Slotsholmsgade 10
1216 Koslashbenhavn K
Telefon
72 26 84 00
jmjmdk
Eksempler paring tilfaeliglde hvor en databeskyttelsesraringd-
giver kan afskediges
Ikke udfoslashrer sine arbejdsopgaver
Misligholder ansaeligttelsesforholdet
Samarbejdsvanskeligheder
Vejledning om databeskyttelsesraringdgivere
30
ISBN
978-88-98564-35-7
Foto
Scanpix
Vejledning om databeskyttelsesraringdgivere
1
Indhold
1 Forord ____________________________________________________ 3
11 Databeskyttelsesraringdgivere ndash oslashget fokus paring ansvarlighed (rdquoaccountabilityrdquo) _____ 3
12 Andre relevante kilder ______________________________________________ 4
2 Hvad er en databeskyttelsesraringdgiver ___________________________ 5
21 Relationen mellem den dataansvarlige og databeskyttelsesraringdgiveren ________ 5
3 Privates forpligtelse til at udpege en databeskyttelsesraringdgiver ________ 6
31 Hvornaringr skal private udpege en databeskyttelsesraringdgiver _________________ 6
311 Betingelse nr 1 rdquokerneaktivitetrdquo _________________________________ 7
312 Betingelse nr 2 rdquoet stort omfangrdquo ________________________________ 8
313 Betingelse nr 3 rdquoregelmaeligssig og systematisk overvaringgningrdquo eller
rdquobehandling af foslashlsomme oplysninger eller oplysninger om strafbare forholdrdquo __ 10
32 Frivillig udnaeligvnelse af en databeskyttelsesraringdgiver ________________________ 12
33 Faeliglles databeskyttelsesraringdgiver _______________________________________ 12
34 Opsummering ______________________________________________________ 13
4 Offentlige myndigheders forpligtelse til at udpege en
databeskyttelsesraringdgiver ____________________________________ 14
41 Hvornaringr skal offentlige myndigheder udpege en databeskyttelsesraringdgiver ______ 14
42 Hvornaringr er man en offentlig myndighed _________________________________ 14
43 Faeliglles databeskyttelsesraringdgiver for offentlige myndigheder __________________ 15
Kommuner _____________________________________________________ 17
Eksempel - Ministerier og underordnede myndigheder ____________________ 18
Eksempel - Selvejende institutioner __________________________________ 19
44 Opsummering ______________________________________________________ 19
5 Databeskyttelsesraringdgiveren __________________________________ 20
51 Krav til faglige kvalifikationer ________________________________________ 20
52 Hvem kan vaeligre databeskyttelsesraringdgiver ____________________________ 20
Intern medarbejder _______________________________________________ 20
Faeliglles databeskyttelsesraringdgiver_____________________________________ 21
Ekstern medarbejder ______________________________________________ 22
53 Databeskyttelsesraringdgiverens opgaver ________________________________ 22
54 Krav til organisationen ndash rettidig og tilstraeligkkelig inddragelse af
databeskyttelsesraringdgiveren ________________________________________ 25
I hvilke tilfaeliglde skal databeskyttelsesraringdgiveren inddrages _______________ 25
Vejledning om databeskyttelsesraringdgivere
2
Hvordan skal databeskyttelsesraringdgiveren inddrages ____________________ 26
Hvornaringr er inddragelsen rettidig ____________________________________ 26
Hvornaringr er inddragelsen tilstraeligkkelig ________________________________ 27
Ressourcer og adgang ____________________________________________ 27
Uafhaeligngighed __________________________________________________ 28
55 Beskyttelse af databeskyttelsesraringdgiveren _____________________________ 28
56 Opsummering ___________________________________________________ 29
Vejledning om databeskyttelsesraringdgivere
3
1 Forord
Denne vejledning har til formaringl at redegoslashre for kravene i forordningen til at udpege en databe-
skyttelsesraringdgiver dennes opgaver kvalifikationer stilling og inddragelse
Databeskyttelsesforordningen og databeskyttelsesloven finder anvendelse i Danmark og resten
af EU fra den 25 maj 2018 Forordningen stiller blandt andet krav om at offentlige myndigheder
og organer er forpligtede til at udpege en databeskyttelsesraringdgiver Private er derimod kun i faring
tilfaeliglde forpligtet til at udpege en databeskyttelsesraringdgiver
I det omfang en organisation er forpligtet til at udpege en databeskyttelsesraringdgiver skal dette
senest ske fra den 25 maj 2018
Afsnit 2 omhandler en beskrivelse af databeskyttelsesraringdgiveren
Afsnit 3 omhandler hvornaringr private er forpligtet til at udpege en databeskyttelsesraringdgiver mu-
ligheden for at udpege en faeliglles databeskyttelsesraringdgiver og frivillig udnaeligvnelse af en databe-
skyttelsesraringdgiver
Afsnit 4 omhandler offentlige myndigheder og organers forpligtelse til at udpege en databeskyt-
telsesraringdgiver og muligheden for at udpege en faeliglles databeskyttelsesraringdgiver
Afsnit 5 omhandler selve funktionen som databeskyttelsesraringdgiver herunder kravene til dennes
faglige kvalifikationer stilling opgaver og inddragelse i organisationen
11 Databeskyttelsesraringdgivere ndash oslashget fokus paring ansvarlighed (rdquoaccountabilityrdquo)
Forpligtelsen til at skulle udpege en databeskyttelsesraringdgiver kan ses som et element i databe-
skyttelsesforordningens fokus paring ansvarlighed naringr det kommer til efterlevelse af databeskyttel-
sesreglerne
Alle dataansvarlige skal saringledes uanset om de er underlagt forpligtelsen til at udpege en data-
beskyttelsesraringdgiver eller ej efterleve kravene i forordningens artikel 24 der generelt fastlaeliggger
den dataansvarliges forpligtelser
Endvidere er det en forudsaeligtning for at kunne overholde de grundlaeligggende principper om be-
handling af personoplysninger i forordningens artikel 5 at alle dataansvarlige og databehandlere
har et overblik over hvilke personoplysninger der behandles og hvordan disse behandles i orga-
nisationen
Som foslashlge af princippet om ansvarlighed boslashr alle organisationer baringde private og offentlige data-
ansvarlige og databehandlere uanset om de er forpligtede til at udpege en databeskyttelsesraringd-
giver derfor tage stilling til hvor i organisationen ansvaret for og haringndteringen af databeskyttel-
sessposlashrgsmaringl boslashr ligge
Vejledning om databeskyttelsesraringdgivere
4
Der kan i den forbindelse henvises til Datatilsynets vejledning om forberedelse forud for EUrsquos
databeskyttelsesforordning som er tilgaeligngelig paring tilsynets hjemmeside wwwdatatilsynetdk
Der kan ligeledes henvises til en oversigt over de oslashvrige supplerende vejledninger om databe-
skyttelsesforordningen som vil blive offentliggjort forud for at forordningen finder anvendelse
12 Andre relevante kilder
Der kan i oslashvrigt henvises til Artikel 29-gruppens udtalelser herunder om databeskyttelsesraringdgi-
verehttpeceuropaeuinformation_societynewsroomimagedocument2016-
51wp243_en_40855pdf Artikel 29-gruppen er raringdgivende og uafhaeligngig og bestaringr af en repraelig-
sentant fra hvert af medlemsstaternes tilsynsmyndighed
Vejledning om databeskyttelsesraringdgivere
5
2 Hvad er en databeskyttelsesraringdgiver
En databeskyttelsesraringdgiver er en raringdgiverfunktion i en organisation der skal inddrages i alle
sposlashrgsmaringl om databeskyttelse og raringdgive om de databeskyttelsesretlige regler
Databeskyttelsesraringdgiverens funktion er at understoslashtte at den dataansvarlige overholder reg-
lerne i databeskyttelsesforordningen Databeskyttelsesraringdgiveren er en integreret del af den da-
taansvarliges organisation der efter omstaeligndighederne kan have andre opgaver for den data-
ansvarlige Databeskyttelsesraringdgiveren er altsaring ikke en del af Datatilsynet og fungerer heller
ikke som tilsynets repraeligsentant
Databeskyttelsesraringdgiveren har dog en saeligrlig stilling i forhold til Datatilsynet idet databeskyttel-
sesraringdgiveren er kontaktled til og skal samarbejde med Datatilsynet Databeskyttelsesraringdgive-
ren kan paring den maringde bla vaeligre opdateret om og tage bestik af nye afgoslashrelser vejledninger mv
Forpligtelsen til i visse tilfaeliglde at skulle udpege en databeskyttelsesraringdgiver er et element i da-
tabeskyttelsesforordningens fokus paring ansvarlighed naringr det kommer til at overholde databeskyt-
telsesreglerne
21 Relationen mellem den dataansvarlige og databeskyttelsesraringdgiveren
Det er den dataansvarlige der har ansvaret for at sikre at databeskyttelsesforordningen og da-
tabeskyttelseslovens regler overholdes
Den dataansvarlige udpeger databeskyttelsesraringdgiveren Det er databeskyttelsesraringdgiverens
opgave at raringdgive den dataansvarlige om de databeskyttelsesretlige regler og raringdgiveren kan
saringledes paring bedste vis understoslashtte en god databeskyttelse hos den dataansvarlige
Den dataansvarlige skal tage hoslashjde for databeskyttelsesraringdgiverens opfattelse af en given situ-
ation men det er den dataansvarlige der skal overholde reglerne Det er saringledes ogsaring den da-
taansvarlige der i sidste ende afgoslashr til hvilke formaringl og med hvilke hjaeliglpemidler der maring foreta-
ges behandling af personoplysninger Det er ligeledes den dataansvarlige som sanktioneres
saringfremt reglerne ikke overholdes ogsaring selvom dette skyldes ukorrekt raringdgivning fra databeskyt-
telsesraringdgiverens side
Vejledning om databeskyttelsesraringdgivere
6
3 Privates forpligtelse til at udpege en
databeskyttelsesraringdgiver
I de fleste tilfaeliglde skal private ikke udpege en databeskyttelsesraringdgiver
31 Hvornaringr skal private udpege en databeskyttelsesraringdgiver
I de fleste tilfaeliglde skal den private sektor ikke udpege en databeskyttelsesraringdgiver Kun private
virksomheder der som deres kerneaktivitet behandler foslashlsomme oplysninger eller oplysninger
om strafbare forhold i et stort omfang eller foretager regelmaeligssig og systematisk overvaringgning af
personer i stort omfang er forpligtede til at udpege en databeskyttelsesraringdgiver Forpligtelsen for
private virksomheder til at udpege en databeskyttelsesraringdgiver gaeliglder baringde den dataansvarlige
og databehandleren
Det betyder at de fleste private virksomheder i Danmark der foretager rdquogaeligngsrdquo behandling af
personoplysninger herunder administration af HR-oplysninger kundeoplysninger online
bookingsystemer mv ikke er forpligtede til at udpege en databeskyttelsesraringdgiver
Konkret skal en virksomhed opfylde tre betingelser for at vaeligre forpligtet til at udpege en databe-
skyttelsesraringdgiver (se nedenfor)
Alle betingelser skal vaeligre opfyldt og en virksomhed der feks kun opfylder eacuten eller to af betin-
gelserne ud af de tre vil ikke vaeligre forpligtet til at udpege en databeskyttelsesraringdgiver
Generelt kan det bemaeligrkes om betingelserne at de knytter sig til hvilke personoplysninger man
har og hvordan disse behandles i virksomheden
Foslashlgende tre betingelser skal alle vaeligre opfyldt
1 Behandling af personoplysninger skal vaeligre
virksomhedens kerneaktivitet
2 Der skal behandles personoplysninger i et
stort omfang
3 Behandlingsaktiviteten bestaringr i regelmaeligssig
og systematisk overvaringgning af personer eller
behandlingen vedroslashrer foslashlsomme oplysnin-
ger eller oplysninger om strafbare forhold
Vejledning om databeskyttelsesraringdgivere
7
311 Betingelse nr 1 rdquokerneaktivitetrdquo
Behandling af personoplysninger skal vaeligre virksomhedens kerneaktivitet Med rdquokerneaktivitetrdquo
forstarings ikke den gaeligngse behandling af personoplysninger som de fleste virksomheder foretager
Alle virksomheder behandler saringledes personoplysninger i et vist omfang for at virksomheden kan
fungere Det drejer sig navnlig om behandling af HR-oplysninger og kundeoplysninger i forbin-
delse med kontakt salg og support mv Virksomhedens behandling af disse oplysninger er en
forudsaeligtning for at virksomheden kan udoslashve sin hovedaktivitet feks udbyde tjenesteydelser
eller saeliglge et produkt
Disse almindelige behandlinger af personoplysninger udgoslashr ikke i sig selv en rdquokerneaktivitetrdquo De
kan i stedet anses for en rdquobiaktivitetrdquo idet oplysningerne behandles for at kunne understoslashtte virk-
somhedens hovedaktivitet
Naringr en virksomhed behandler personoplysninger som en biaktivitet vil virksomheden ikke vaeligre
forpligtet til at udpege en databeskyttelsesraringdgiver
Omfattet af begrebet rdquokerneaktivitetrdquo
Behandling af personoplysninger skal vaeligre virksomhedens rdquohovedaktivitetrdquo foslashr det kan anses for
omfattet af begrebet kerneaktivitet
Eksempler paring behandling der udgoslashr rdquobiaktivitetrdquo
Kundekontakt- eller support
HR-oplysninger
Salg
Kundekartotek
Online bookingsystem
Bonuskort
Behandling af klientoplysninger (revi-sorer advokater ingenioslashrer mv)
IT-support
Eksempler paring brancher der som udgangspunkt ikke
har behandling af personoplysninger som kerneakti-
vitet
Privatskoler og doslashgninstitutioner
Forsyningsselskaber
Haringndvaeligrksfaget
Hotel- og restaurationsbranchen
Servicebranchen
Detailhandel
Vejledning om databeskyttelsesraringdgivere
8
Det betyder at virksomheder hvis produkt eller tjeneste direkte bestaringr i behandling af personop-
lysninger kan anses som kerneaktivitet Det kan feks vaeligre virksomheder der udbyder marke-
tingsundersoslashgelser som er baseret paring personoplysninger eller cloud-virksomheder naringr det in-
debaeligrer lagring af personoplysninger
Paring samme maringde kan virksomheder hvis produkt eller tjeneste er uloslashseligt forbundet med be-
handlingen af personoplysninger anses for at have behandling af personoplysninger som deres
kerneaktivitet Det kan feks vaeligre forsikringsselskaber der saeliglger forsikringer til sine kunder
bla paring baggrund af personoplysninger indsamlet om kommende og nuvaeligrende kunder Et an-
det eksempel kan vaeligre privathospitaler
Virksomheder hvis kerneaktivitet bestaringr af behandling af personoplysninger skal dog ogsaring op-
fylde de to oslashvrige betingelser inden virksomheden er forpligtet til at udpege en databeskyttelses-
raringdgiver
312 Betingelse nr 2 rdquoet stort omfangrdquo
Hvis behandlingen af personoplysninger er virksomhedens kerneaktivitet er det ogsaring en betin-
gelse at behandlingen af personoplysninger sker i rdquoet stort omfangrdquo foslashr virksomheden er forplig-
tet til at udpege en databeskyttelsesraringdgiver
Artikel 29-gruppen1 anbefaler i deres udtalelse om databeskyttelsesraringdgivere at der ved vurde-
ringen af om der er tale om en behandling af personoplysninger rdquoi et stort omfangrdquo laeliggges vaeliggt
paring fire kriterier
1 Antallet af personer der behandles oplysninger om ndash enten det specifikke antal personer
eller som andel af den relevante population (befolkningen)
1 Artikel 29-gruppens udtalelse nr 162016 om rdquoGuidelines on Data Protection Officers (rsquoDPOsrsquo)rdquo (WP 243 rev01)
Eksempler paring behandling der udgoslashr rdquokerneaktivitetrdquo
Cloud-computing
Hosting af hjemmesiderdata
Privathospitaler
Forsikringsselskaber
Reklamebureauer der udbyder marke-
tingsundersoslashgelser
Soslashgemaskiner
Tele- eller internetudbydere
Applikationermobile tjenester baseret
paring personoplysninger
Stillingsbesaeligttende virksomhed
Vejledning om databeskyttelsesraringdgivere
9
2 Volumen af personoplysninger ogeller de forskellige typer af personoplysninger der bli-
ver behandlet
3 Tidsperioden der behandles oplysninger i samt hvorvidt behandlingen er permanent
4 Den geografiske udstraeligkning af behandlingsaktiviteterne
Eksempel ndash mindre forsikringsselskab
Et mindre forsikringsselskab der feks kun udbyder sin forretning til en bestemt mindre landsdel
vil formentlig behandle et saring begraelignset omfang af oplysninger at det ikke kan anses for at vaeligre
i et stort omfang Det skyldes at der ikke behandles en stor maeligngde af personoplysninger om et
stort antal personer samt den begraelignsede geografiske udstraeligkning
I modsaeligtning hertil vil et landsdaeligkkende forsikringsselskab anses for at behandle personoplys-
ninger i et stort omfang baringde som foslashlge af maeligngden af oplysninger antallet af personer og den
geografiske udstraeligkning
Eksempel ndash laeliggepraksis
Behandling af patientdata i en laeliggepraksis med et begraelignset antal laeligger tilknyttet kan som foslashlge
af den begraelignsede maeligngde oplysninger der behandles heller ikke anses for at behandle per-
sonoplysninger i et stort omfang
Omvendt vil en stor laeliggepraksis med mange laeligger tilknyttet formentlig behandle en stor maeligngde
personoplysninger om deres patienter Her vil maeligngden af oplysninger der behandles medfoslashre
at der foretages behandling af personoplysninger i et stort omfang
I overvejelserne om fastlaeligggelse af stoslashrrelsen af en privat laeliggepraksisklinikhospital er det rele-
vant at foretage en vurdering af baringde antallet af patienter og af tilknyttede laeligger
Behandling af personoplysninger rdquoi et stort omfangrdquo kan saring-
ledes indebaeligre behandling af
en stor maeligngde af personoplysninger
oplysninger om et stort antal personer
lang varighed herunder permanent
stor geografisk udstraeligkning af behandlingsaktivite-
ter
Vejledning om databeskyttelsesraringdgivere
10
Virksomheder hvis kerneaktivitet bestaringr af behandling af personoplysninger i et stort omfang
skal dog opfylde eacuten af de to sidste betingelser inden virksomheden er forpligtet til at udpege en
databeskyttelsesraringdgiver
313 Betingelse nr 3 rdquoregelmaeligssig og systematisk overvaringgningrdquo eller rdquobehandling af
foslashlsomme oplysninger eller oplysninger om strafbare forholdrdquo
Virksomheder hvis kerneaktivitet bestaringr af behandling af personoplysninger i et stort omfang skal
enten
foretage regelmaeligssig og systematisk overvaringgning af registrerede personer
eller
behandle foslashlsomme oplysningeroplysninger om strafbare forhold
for at vaeligre forpligtede til at udpege en databeskyttelsesraringdgiver
Regelmaeligssig og systematisk overvaringgning af registrerede personer
Regelmaeligssig og systematisk overvaringgning af de registrerede omfatter en virksomheds sporringer
(tracking) eller profilering bla via internettet
Det kan bla omfatte drift af telenet eller services forbundet hermed profilering i forbindelse med
risikovurdering herunder kreditvurderinger vurdering af forsikringspraeligmie lokationstracking via
applikationer og adfaeligrdsbaseret annoncering
Eksempel ndash marketingsfima
Et marketingsfirma der foretager marketingsundersoslashgelser hvor der indgaringr personoplysninger i
et stort omfang og undersoslashgelsen er baseret paring adfaeligrdsbaseret annoncering er omfattet da de
foretager en regelmaeligssig og systematisk overvaringgning af de registrerede personer
Behandling af foslashlsomme oplysninger eller oplysninger om strafbare forhold
Oplysninger kan anses for foslashlsomme hvis de omhandler oplysninger om
Behandling i et stort omfang
Eksempler paring virksomheder der behandler
personoplysninger rdquoi et stort omfangrdquo
Privathospitaler
Stoslashrre forsikringsselskaber
Sporing via feks rejsekort
Soslashgemaskines behandling af
personoplysninger
Tele- eller internetudbydere
Vejledning om databeskyttelsesraringdgivere
11
race eller etnisk oprindelse
politisk religioslashs eller filosofisk overbevisning
fagforeningsmaeligssigt tilhoslashrsforhold
behandling af genetisk data eller biometrisk data med det formaringl entydigt at iden-
tificere en fysisk person
helbredsoplysninger
oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering
Oplysninger om strafbare forhold omfatter oplysninger om straffedomme og lovovertraeligdelser
Eksempel ndash skadesforsikringsselskaber
Skadesforsikringsselskaber kan man opdele i de selskaber der behandler foslashlsomme oplysninger
og de selskaber der ikke (eller i begraelignset omfang) behandler foslashlsomme oplysninger
For saring vidt angaringr de selskaber der ikke behandler denne type oplysninger kan naeligvnes special-
selskaber som typisk forsikrer ting (feks glasforsikring) og ikke risiko for personskader Forsik-
ringsselskaber der i begraelignset omfang jf betingelsen ovenfor behandler de omhandlede op-
lysninger vil typisk vaeligre forsikringsselskaber der tegner privatforsikringer herunder eksempelvis
indbo- og bilforsikringer eller erhvervsforsikringer for mindre virksomheder Her indhentes de
naeligvnte oplysninger i forbindelse med tegning af ulykkesforsikringer og ved behandling af per-
sonskader under ulykkesforsikringer
For saring vidt angaringr skadesforsikringsselskaber der opfylder betingelse nr 3 ndash idet de behandler
foslashlsomme oplysninger ndash kan naeligvnes specialiserede rejseforsikringsselskaber for saringvel rejsegods
som syge- og ulykkesforsikringer En betydelig del af disse selskabers forsikringer er personfor-
sikringer hvor der baringde ved tegning og ved behandlingen af personskader (ulykker og syg-
domme) indhentes foslashlsomme oplysninger Endvidere kan sygeforsikringsselskaber som daeligkker
medicin og en raeligkke andre udgifter til helbredelse naeligvnes idet der indhentes helbredsoplysnin-
ger ved optagelses- og refusionssager
Eksempel ndash HR-oplysninger
Virksomheder vil typisk behandle oplysninger om ansattes fagforeningsmaeligssige tilhoslashrsforhold
og helbredsoplysninger i forbindelse med virksomhedens HR-funktion Her er der netop tale om
foslashlsomme oplysninger men det medfoslashrer ikke i sig selv at virksomheden er forpligtet til at udpege
en databeskyttelsesraringdgiver Hertil kraeligves at behandling af personoplysninger er virksomhe-
dens kerneaktivitet og foretages i et stort omfang
Eksempler paring virksomheder der kan
opfylde alle tre betingelser
Privathospitaler
Stoslashrre forsikringssel-
skaber
Tele- eller internetud-
bydere
Marketingsfirma der
udbyder marketingsun-
dersoslashgelser
Eksempler paring virksomheder der blot op-
fylder nogle af betingelserne
Mindre privathospitaler
Mindre forsikringsselskab
Mindre laeliggepraksis
Stoslashrre virksomheder hvor
behandling af personop-
lysninger kun er en biakti-
vitet
Vejledning om databeskyttelsesraringdgivere
12
Eksempel ndash Livs- og pensionsforsikringsselskaberne
Store eller middelstore forsikringsselskaber der dels tegner livs- og pensionsforsikringer for en-
keltpersoner og dels firmapensionsordninger hvor de sikrede er en virksomheds ansatte indhen-
ter og behandler foslashlsomme oplysninger isaeligr helbredsoplysninger ved saringvel tegningindmeldelse
som ved behandlingen af tab af erhvervsevne doslashdsfald sygdom mv Henset til at behandling
af personoplysninger endvidere er disse forsikringsselskabers kerneaktivitet samt at de grundet
stoslashrrelse og geografiske udstraeligkning behandler personoplysningerne i stort omfang vil de som
udgangspunkt skulle udpege en databeskyttelsesraringdgiver
Det bemaeligrkes at det er vigtigt at have sig for oslashje at der er tale om betingelser der alle skal
vaeligre opfyldt Der skal altsaring vaeligre tale om at virksomhedens kerneaktivitet er behandling i stort
omfang af foslashlsomme oplysninger eller oplysninger om strafbart forhold Eller at virksomhedens
kerneaktivitet bestaringr af behandlingsaktiviteter i stort omfang af regelmaeligssig og systematisk over-
varinggning af personer
Virksomheder der ikke er forpligtede til at udpege en databeskyttelsesraringdgiver kan med fordel
dokumentere vurderingen saring denne kan fremvises til Datatilsynet
32 Frivillig udnaeligvnelse af en databeskyttelsesraringdgiver
Private kan under alle omstaeligndigheder frivilligt vaeliglge at udpege en databeskyttelsesraringdgiver
I de tilfaeliglde hvor der frivilligt udpeges en databeskyttelsesraringdgiver gaeliglder de samme krav til
databeskyttelsesraringdgiveren som hvis virksomheden var forpligtet til at udpege en databeskyttel-
sesraringdgiver
Det betyder at kravene til databeskyttelsesraringdgiverens opgaver kvalifikationer stilling beskyt-
telse og inddragelse skal efterleves
Vaeliglger en virksomhed derimod at udpege en medarbejder der feks er compliance-raringdgiver er
virksomheden ikke forpligtet til at efterleve forordningens krav til en databeskyttelsesraringdgiver
33 Faeliglles databeskyttelsesraringdgiver
En koncern har mulighed for at udpege en faeliglles databeskyttelsesraringdgiver for hele koncernen
forudsat at alle etableringer af koncernen har let adgang til databeskyttelsesraringdgiveren
Andre private dataansvarlige og databehandlere end koncerner har ogsaring mulighed for at udpege
en faeliglles databeskyttelsesraringdgiver Et konsulentfirma kan udoslashve funktionen som databeskyttel-
sesraringdgiver for flere dataansvarlige paring samme tid paring baggrund af tjenesteydelseskontrakter
Det er dog en forudsaeligtning for at private kan udpege en faeliglles databeskyttelsesraringdgiver at
databeskyttelsesraringdgiveren kan efterleve forordningens krav til vedkommende naringr opgaven loslash-
Vejledning om databeskyttelsesraringdgivere
13
ses for flere private paring eacuten gang Dette maring i praksis forudsaeligtte at der feks er adgang til at kom-
munikere med databeskyttelsesraringdgiveren paring et sprog som de beroslashrte medarbejdere kan forstaring
Det maring ligeledes forudsaeligtte at der er afsat saringdanne ressourcer til databeskyttelsesraringdgiveren
at det spejler omfanget af de organisationer der skal daeligkkes Der vil derfor i praksis ikke vaeligre
noget til hinder for at feks en virksomhed udpeger en faeliglles databeskyttelsesraringdgiver paring tvaeligrs
af flere stoslashrre koncernforbundne virksomheder naringr blot de ressourcer der afsaeligttes til databe-
skyttelsesraringdgiveren i form af medarbejdere rejsebudget it-understoslashttelse mv i tilstraeligkkelig om-
fang sikrer at databeskyttelsesraringdgiveren kan moslashde sine forpligtelser
34 Opsummering
Der skal rigtig meget til foslashr en privat virksomhed er forpligtet til at udpege en da-
tabeskyttelsesraringdgiver
Helt konkret skal tre betingelser der knytter sig til en virksomheds behandling af
personoplysninger alle vaeligre opfyldt foslashr der en pligt til at udpege en databeskyt-
telsesraringdgiver
Alle virksomheder boslashr foretage en konkret vurdering af om de tre betingelser er
opfyldt Er alle tre betingelser ikke opfyldt skal der ikke udpeges en databeskyt-
telsesraringdgiver
Vejledning om databeskyttelsesraringdgivere
14
4 Offentlige myndigheders forpligtelse til
at udpege en databeskyttelsesraringdgiver
Offentlige myndigheder og offentlige organer skal altid have en databeskyttelsesraringdgiver uanset
om de er dataansvarlige eller databehandlere
41 Hvornaringr skal offentlige myndigheder udpege en databeskyttelsesraringdgiver
I det omfang behandling foretages af en offentlig myndighed eller et offentligt organ skal myndig-
heden eller organet altid have en databeskyttelsesraringdgiver hvad enten de er dataansvarlige eller
databehandlere
Det betyder at der ogsaring skal udpeges en databeskyttelsesraringdgiver hvis den offentlige myndig-
hed eller organ behandler personoplysninger paring vegne af en privat eller selv outsourcer sin da-
tabehandling til en privat som ikke er forpligtet til at udpege en databeskyttelsesraringdgiver Det kan
feks vaeligre tilfaeligldet naringr offentlige myndigheder eller organer vaeliglger at overlade til en anden at
udfoslashre selve den praktiske behandling af personoplysninger paring den dataansvarliges vegne
Den eneste undtagelse hertil er domstole der ikke er forpligtede til at udpege en databeskyttel-
sesraringdgiver naringr de handler i deres egenskab af domstole
42 Hvornaringr er man en offentlig myndighed
De myndigheder der i dansk ret henregnes til den offentlige forvaltning i medfoslashr af forvaltnings-
lovens sect 1 stk 1-2 skal anses for offentlige myndigheder eller organer og er dermed forpligtede
til at udpege en databeskyttelsesraringdgiver Det fremgaringr heraf at foslashlgende virksomheder omfattes
af loven al virksomhed der udoslashves af den offentlige forvaltning og al virksomhed der udoslashves af
selvejende institutioner foreninger fonde mv der er oprettet ved lov eller i henhold til lov og
selvejende institutioner foreninger fonde mv der er oprettet paring privatretligt grundlag og som
udoslashver offentlig virksomhed af mere omfattende karakter og er undergivet intensiv offentlig regu-
lering intensivt offentlig tilsyn og intensiv offentlig kontrol
I forhold til selvejende institutioner mv oprettet paring privatretligt grundlag vil der saringledes vaeligre
nogle som omfattes af kravet om at have en databeskyttelsesraringdgiver mens andre ikke omfattes
Det vil bero paring en konkret vurdering
Selvejende institutioner mv oprettet paring privatretligt grundlag som udoslashver offentlig virksomhed
af mere omfattende karakter og er undergivet intensiv offentlig regulering intensivt offentlig tilsyn
og intensiv offentlig kontrol vil vaeligre omfattet
Det spiller endvidere ind om det offentlige har instruktionsbefoslashjelser over for institutionen om det
offentlige skal godkende institutionens vedtaeliggter og om det offentlige yder sekretariatsbistand
Vejledning om databeskyttelsesraringdgivere
15
til institutionen Herudover maring man se paring om det offentlige skal godkende institutionens regn-
skaber og om institutionens drift og virksomhed er detaljeret reguleret ved regler og retningslinjer
udstedt af det offentlige Endelig kan man tage hensyn til om det offentlige overtager institutio-
nens rettigheder og forpligtelser hvis den nedlaeliggges
Eksempler paring selvejende institutioner mv der er omfattet
- Universiteter
- Institutioner hvor kommunalbestyrelsen har indgaringet overenskomst til opfyldelse af sine forplig-
telser efter lov om social service
- Gymnasieskoler
Eksempler paring selvejende institutioner og foreninger der ikke er omfattet
- Danske Regioner og KL
- Dansk Flygtningehjaeliglp
For saring vidt angaringr statslige og kommunale institutioner der er organiseret i selskabsform feks
som aktieselskab eller interessentskab vil disse umiddelbart aldrig vaeligre omfattet Dette er ogsaring
tilfaeligldet for koncessionerede selskaber og selskaber hvori staten eller en kommune er aktionaeligr
interessent eller lignende uanset om staten eller kommunen ejer selskabet 100 Det har i den
forbindelse ingen betydning hvilke aktiviteter organet udfoslashrer ligesom det ikke i sig selv kan foslashre
til et andet resultat at selskabet maringtte vaeligre oprettet ved lov eller i henhold til lov
Dog er kommunale faeligllesskaber jf sect 60 i lov om kommunernes styrelse hvortil to eller flere
kommuner overfoslashrer opgaver til selvstaeligndig varetagelse altid offentlige myndigheder Det gaeligl-
der uanset at kommunale faeligllesskaber normalt etableres som interessentskaber Det kommu-
nale faeligllesskab er selvstaeligndigt dataansvarligt og skal udpege en databeskyttelsesraringdgiver
Eksempel paring institution der er organiseret i selskabsform der ikke er omfattet
- Staten og Kommunernes Indkoslashbs Service AS
Saringfremt der ikke er tale om en offentlig myndighed eller organ skal bedoslashmmelsen af hvorvidt
man har pligt til at udpege en databeskyttelsesraringdgiver foretages i henhold til betingelserne be-
skrevet ovenfor under punkt 3 vedroslashrende privates forpligtelse til at udpege en databeskyttel-
sesraringdgiver
43 Faeliglles databeskyttelsesraringdgiver for offentlige myndigheder
Flere myndigheder eller organer vil i mange tilfaeliglde kunne have en faeliglles databeskyttelsesraringd-
giver forudsat at det er i overensstemmelse med deres organisatoriske struktur og stoslashrrelse I
den forbindelse kan det vaeligre relevant at overveje om raringdgiveren skal fungere paring baggrund af
eacuten ansaeligttelseskontrakt for to forskellige myndigheder eller to deltidskontrakter
Herudover vil en databeskyttelsesraringdgiver kunne vaeligre ansat paring en deltidskontrakt hos eacuten myn-
dighed og ansat paring baggrund af en tjenesteydelseskontrakt i en anden myndighed eller organi-
sation
Vejledning om databeskyttelsesraringdgivere
16
Saringfremt flere myndigheder har en faeliglles databeskyttelsesraringdgiver er det dog en forudsaeligtning
at databeskyttelsesraringdgiveren kan efterleve kravene i databeskyttelsesforordningen til en data-
beskyttelsesraringdgiver herunder til dennes stilling opgaver uafhaeligngighed og tilgaeligngelighed mv
naringr denne loslashser opgaven for flere myndigheder paring eacuten gang
For saring vidt angaringr tilgaeligngelighed er der ikke et krav om fysisk tilstedevaeligrelse paring alle lokationer
saringfremt der anvendes en faeliglles databeskyttelsesraringdgiver De enkelte myndigheder har i den for-
bindelse mulighed for at aftale hvordan den fysiske tilgaeligngelighed i praksis kan loslashftes herunder
feks ved hjaeliglp af mail telefon internet mm Det er i relation til kravet om tilgaeligngelighed endvi-
dere vaeligrd at bemaeligrke at flere myndigheder som naeligvnt godt kan have en faeliglles raringdgiver men
at databeskyttelsesraringdgiveren skal kunne (naring at) varetage sin raringdgivningsopgave fyldestgoslashrende
for alle de myndigheder for hvilke den paringgaeligldende varetager opgaven som databeskyttelses-
raringdgiver Her kan det bla vaeligre relevant at se paring maeligngden af personoplysninger der behandles
i en given myndighed
I relation til uafhaeligngighedskriteriet bemaeligrkes at det kan vaeligre betaelignkeligt at lade visse myndig-
heder have en faeliglles databeskyttelsesraringdgiver jf nedenfor under afsnittet rdquoEksempel ndash Ministe-
rier og underordnede myndighederrdquo
Der henvises i oslashvrigt til afsnit 5 i denne vejledning
Det er endvidere et krav at der er eacuten der er personligt ansvarlig for hvervet som databeskyttel-
sesraringdgiver
Som foslashlge af kravet om at udpegningen af en faeliglles databeskyttelsesraringdgiver skal vaeligre i over-
ensstemmelse med myndigheden eller organets organisatoriske struktur og stoslashrrelse stilles der
krav til selve ansaeligttelsen af databeskyttelsesraringdgiveren
Den retlige graelignse for at dele en databeskyttelsesraringdgiver vil i et saringdan tilfaeliglde vaeligre de gaeligl-
dende standarder om offentlige ansattes bierhverv de almindelige habilitetsregler og muligheden
for at efterleve kravene i forordningen herunder tilstraeligkkelige ressourcer i forhold til at udfoslashre
hvervet
Vejledning om databeskyttelsesraringdgivere
17
Kommuner
Det antages ikke at vaeligre i overensstemmelse med en offentlig myndigheds struktur eller stoslashr-
relse hvis en databeskyttelsesraringdgiver fungerer paring baggrund af eacuten ansaeligttelseskontrakt i to for-
skellige kommuner Det antages derimod omvendt at vaeligre i overensstemmelse hermed saring-
fremt raringdgiveren udoslashver sin funktion paring baggrund af to deltidskontrakter i to kommuner paring
samme tid
Eksempel ndash En kommune
En kommune vil typisk vaeligre dataansvarlig for alle de behandlinger af personoplysninger som
foretages inden for den kommunale enhedsforvaltning Derfor er en kommune ikke forpligtet til at
udpege eacuten databeskyttelsesraringdgiver for de enkelte forvaltninger men vil kunne udpege eacuten data-
beskyttelsesraringdgiver for hele kommunen
Eksempel ndash organer med selvstaeligndig kompetence paring det kommunale omraringde
Det bemaeligrkes at der paring det kommunale omraringde kan vaeligre organer som ikke er en del af den
kommunale enhedsforvaltning men har selvstaeligndig kompetence paring det kommunale omraringde
feks huslejenaeligvnet ligesom der kan vaeligre kommunale organer som er en del af enhedsforvalt-
ningen der i visse henseender har en ndash i forhold til kommunalbestyrelsen ndash selvstaeligndig kompe-
tence herunder feks skoleledere
Naringr det i lovgivningen er fastsat eller forudsat at disse organer sekretariatsbetjenes af kommu-
nen og kommunen yder sekretariatsbetjening kan organerne have faeliglles databeskyttelsesraringd-
giver med kommunen og er ikke forpligtet til selvstaeligndigt at udpege en databeskyttelsesraringdgiver
ved siden af kommunens Databeskyttelsesraringdgiverens ydelser vil i den forbindelse vaeligre en del
af sekretariatsbetjeningen
Eksempel ndash Flere kommuner
Flere kommuner vil have mulighed for at dele en databeskyttelsesraringdgiver Som udgangspunkt
vurderes det at feks en gennemsnitskommune paring omkring 45000 indbyggere godt vil kunne
dele en databeskyttelsesraringdgiver med en anden tilsvarende eller en mindre kommune eller at en
lidt stoslashrre kommune vil kunne dele med en mindre kommune hvis databeskyttelsesraringdgiveren
Eksempel - Rigspolitiets databeskyttelsesenhed
Rigspolitiet har udpeget en faeliglles databeskyttelsesraringdgiver for landets 12
politikredse og Rigspolitiet for saring vidt angaringr behandlingen af personoplys-
ninger til brug for retsharingndhaeligvelsesformaringl
Den faeliglles databeskyttelsesraringdgiver understoslashttes i den forbindelse af en cen-
tral datebeskyttelsesenhed i Rigspolitiet hvor de enkelte medarbejdere be-
sidder stort kendskab til persondateretlige og forretningsmaeligssige forhold
med relevans for enhedens opgavevaretagelse Paring denne baggrund kan da-
tabeskyttelsesraringdgiveren samlet set leve op til sine forpligtelser som databe-
skyttelsesraringdgiver i medfoslashr af lov om retsharingndhaeligvende myndigheders be-
handling af personoplysninger som er lig dem der foslashlger af databeskyttel-
sesforordningen
Vejledning om databeskyttelsesraringdgivere
18
samlet set vurderes at kunne varetage opgaverne som databeskyttelsesraringdgiver Der skal saringle-
des foretages en konkret vurdering i det enkelte tilfaeliglde idet det afgoslashrende er om man som
databeskyttelsesraringdgiver kan efterleve sin funktion retmaeligssigt naringr funktionen udoslashves for flere
kommuner paring samme tid
Herudover vil to eller flere kommuner kunne oprette et kommunalt faeligllesskab til hvilket de garingr
sammen om at loslashse opgaven som databeskyttelsesraringdgiver i de deltagende kommuner
Eksempel - Regioner
En region vil typisk ogsaring vaeligre dataansvarlig for alle de behandlinger af personoplysninger der
foretages inden for regionen herunder drift af hospitaler forskning og sociale tilbud mv Hver
region vil som udgangspunkt kunne udpege eacuten databeskyttelsesraringdgiver
Eksempel - Ministerier og underordnede myndigheder
Departementer og underordnede myndigheder kan have en faeliglles databeskyttelsesraringdgiver
Dog kan der vaeligre hindringer som feks myndighedens stoslashrrelse der bevirker at man ikke kan
dele en databeskyttelsesraringdgiver Som eksempel herparing kan naeligvnes Justitsministeriet og politiet
der ikke kan have en faeliglles raringdgiver
Det skyldes at politiet anses for at vaeligre saring stor en enhed at en faeliglles databeskyttelsesraringdgiver
ikke vil kunne efterleve kravene til en databeskyttelsesraringdgiver (om bla tilgaeligngelighed) hvis
denne baringde skulle udfoslashre sin opgave for politiet som helhed og med andre myndigheder under
Justitsministeriets ressort
Dog vil politiet ndash i en ordning svarende til den ovenfor beskrevne paring retsharingndhaeligvelsesomraringdet ndash
kunne have en faeliglles databeskyttelsesraringdgiver under forordningen der udfoslashrer sin funktion for
alle politikredse
Det bemaeligrkes endvidere at forordningens krav om uafhaeligngighed skal vaeligre opfyldt for alle de
myndigheder der deler en databeskyttelsesraringdgiver
I den forbindelse ndash samt i relation til en underordnet myndigheds eventuelt saeligrlige uafhaeligngighed
ift den overordnede myndighed ndash kan der vaeligre visse situationer hvor det kan vaeligre betaelignkeligt
at lade en underordnet myndighed dele databeskyttelsesraringdgiver med et departement
Som eksempel herparing kan naeligvnes Datatilsynet og Justitsministeriets departement Dette er bla
henset til Datatilsynets funktionelle uafhaeligngighed i forhold til Justitsministeriet samt tilsynets spe-
cielle kompetence og rolle i forhold til databeskyttelsesforordningen Som et andet eksempel kan
naeligvnes Ankestyrelsens relation til (paring nuvaeligrende tidspunkt) Oslashkonomi- og Indenrigsministeriets
departement Her kan bla peges paring maeligngden og karakteren af data som behandles i Ankesty-
relsen samt styrelsens faglige uafhaeligngighed af departementet
Organisatoriske aeligndringer kan ogsaring bevirke at det i visse situationer ndash af praktiske aringrsager ndash
kan vaeligre mere oplagt for en underordnet myndighed at have sin egen databeskyttelsesraringdgiver
fremfor at dele med sit departement Hvis en underordnet myndighed saringledes har sin egen data-
beskyttelsesraringdgiver kan denne blot fortsaeligtte under samme kontrakt vilkaringr mv uanset at en
Vejledning om databeskyttelsesraringdgivere
19
myndighed efter eksempelvis et regeringsskifte organisatorisk placeres under et andet ministe-
rium
Eksempel - Selvejende institutioner
I det omfang selvejende institutioner kan anses for en offentlig myndighed eller et organ vil disse
myndigheder ogsaring have mulighed for at udpege en faeliglles databeskyttelsesraringdgiver med en an-
den selvejende institution omfattet af samme lovgivning eller feks den kommune som institutio-
nen har driftsoverenskomst med i det omfang kommunen yder sekretariatsbistand til institutio-
nen
44 Opsummering
Alle offentlige myndigheder og organer skal udpege en databeskyttelsesraringdgiver
fra den 25 maj 2018
Det er i hoslashj grad muligt at udpege en faeliglles databeskyttelsesraringdgiver der funge-
rer paring vegne af flere myndigheder paring eacuten gang
Muligheden for at have en faeliglles databeskyttelsesraringdgiver begraelignses af at
denne skal kunne leve op til sine forpligtelser efter databeskyttelsesforordningen
Databeskyttelsesraringdgiveren kan understoslashttes af en enhed for at kunne udfoslashre sit
hverv i overensstemmelse med forordningens krav Dette gaeliglder uanset om da-
tabeskyttelsesraringdgiveren fungerer for eacuten myndighed eller for flere myndigheder
og organer
Vejledning om databeskyttelsesraringdgivere
20
5 Databeskyttelsesraringdgiveren
51 Krav til faglige kvalifikationer
En databeskyttelsesraringdgiver skal udpeges paring baggrund af sine faglige kvalifikationer Dette
gaeliglder navnlig evnen til at udfoslashre sine opgaver som databeskyttelsesraringdgiver og ekspertise in-
den for databeskyttelsesret- og praksis
Der er ikke krav om at en databeskyttelsesraringdgiver skal have en bestemt uddannelsesmaeligssig
baggrund feks som jurist
Dermed er det op til den enkelte organisation at vurdere hvem der er bedst egnet til at varetage
stillingen som databeskyttelsesraringdgiver
Kravene til stillingen afhaelignger til en vis grad af kompleksiteten af den behandling af personop-
lysninger som den paringgaeligldende organisation foretager Dermed kan der for nogen organisatio-
ner vaeligre behov for at ansaeligtte en databeskyttelsesraringdgiver med stor erfaring inden for feltet og
i andre tilfaeliglde kan en eksisterende medarbejder paring baggrund af diverse kurser varetage funkti-
onen
Hvis der udpeges en databeskyttelsesraringdgiver fra egen organisation kan det med fordel vaeligre
en person som i forvejen har et vist kendskab til eller indsigt i haringndtering af databeskyttelses-
retlige sposlashrgsmaringl i organisationen
52 Hvem kan vaeligre databeskyttelsesraringdgiver
Som udgangspunkt kan alle som organisationen finder kvalificeret til at vaeligre databeskyttelses-
raringdgiver varetage funktionen
Foslashlgende kan derfor vaeligre databeskyttelsesraringdgivere
En intern medarbejder
En faeliglles databeskyttelsesraringdgiver for hele eller flere organisationer
En ekstern databeskyttelsesraringdgiver
Intern medarbejder
En organisation kan vaeliglge at udpege en eksisterende medarbejder som databeskyttelsesraringdgi-
ver
Det er ikke et krav at den medarbejder der varetager funktionen som databeskyttelsesraringdgiver
udoslashver sin funktion paring fuld tid
Vejledning om databeskyttelsesraringdgivere
21
Dermed kan en intern medarbejder der varetager funktionen som databeskyttelsesraringdgiver ud-
foslashre andre opgaver og have andre pligter i organisationen
Saringledes kan en medarbejder der feks arbejder i IT-sektionen i en organisation godt varetage
funktionen som databeskyttelsesraringdgiver paring deltid eller 10 timer om ugen alt efter behovet i
den enkelte organisation
Det afgoslashrende er at den paringgaeligldende medarbejder fyldestgoslashrende kan udoslashve sit erhverv som
databeskyttelsesraringdgiver i organisationen
Den person der udpeges kan med fordel vaeligre en person som i forvejen har et vist kendskab
til eller indsigt i haringndtering af databeskyttelsesretlige sposlashrgsmaringl i organisationen
Selve vurderingen af hvor meget tid en medarbejder skal bruge paring fyldestgoslashrende at kunne ef-
terleve kravene til en databeskyttelsesraringdgiver i organisationen afhaelignger af en konkret vurde-
ring af behovet hos organisationen
Interne ansatte der ikke kan vaeligre databeskyttelsesraringdgiver
En databeskyttelsesraringdgiver skal baringde vaeligre uafhaeligngig og vaeligre i stand til at udoslashve uvildig raringd-
givning til organisationen
Derfor kan en databeskyttelsesraringdgiver ikke vaeligre den oslashverste IT-ansvarlige eller oslashverste HR-
ansvarlige i en organisation
Eksempel ndash virksomhed med faring ansatte
Virksomheder med faring ansatte herunder feks enkeltmandsvirksomheder vil have svaeligrt ved at
opfylde betingelsen om at en databeskyttelsesraringdgiver ikke kan vaeligre oslashverste IT-ansvarlige eller
oslashverste HR-ansvarlige i en organisation (forudsat at virksomheden i oslashvrigt opfylder betingelserne
for hvornaringr private skal udpege en databeskyttelsesraringdgiver jf naeligrmere om privates forpligtelse
under punkt 3) I en saringdan situation kan virksomheden enten benytte sig af muligheden for at
udpege en faeliglles databeskyttelsesraringdgiver eller anvende en konsulent til opgaven
Databeskyttelsesraringdgiverenhed
Der kan ogsaring udpeges eacuten databeskyttelsesraringdgiver for den paringgaeligldende organisation som un-
derstoslashttes af en enhed saring den paringgaeligldende kan leve op til sine forpligtelser efter forordningen jf
den ovenfor beskrevne ordning for politiet
Faeliglles databeskyttelsesraringdgiver
Saringvel private som offentlige myndigheder kan udpege en faeliglles databeskyttelsesraringdgiver af-
haeligngig af deres struktur og stoslashrrelse
Medarbejdere som ikke har det oslashverste ansvar kan vaeligre databe-
skyttelsesraringdgivere Det betyder at ledende IT-medarbejdere
compliance-officerer eller en it-sikkerheds koordinator mv kan
udoslashve funktionen som databeskyttelsesraringdgiver i organisationen
Vejledning om databeskyttelsesraringdgivere
22
Ekstern medarbejder
Man kan ogsaring vaeliglge at udpege en ekstern databeskyttelsesraringdgiver Dette kan enten vaeligre en
raringdgiver (konsulentvirksomhed) saringsom en bestemt advokat eller revisor eller andre kvalifice-
rede eksterne parter Udoslashvelsen af hvervet som databeskyttelsesraringdgiver vil dog i sagens natur
alene kunne udoslashves i det omfang dette er foreneligt med eventuelle regler ndash herunder etiske
krav ndash for den relevante type af raringdgivervirksomhed mv
53 Databeskyttelsesraringdgiverens opgaver
Databeskyttelsesraringdgiveren funktion bestaringr i at raringdgive den dataansvarlige og hjaeliglpe med at
organisationen efterlever de databeskyttelsesretlige regler
En databeskyttelsesraringdgiver skal desuden prioritere sine opgaver og fokusere paring de behandlin-
ger af personoplysninger i den paringgaeligldende organisation som konkret indebaeligrer en hoslashjere ri-
siko for brud paring de databeskyttelsesretlige regler Dog skal oslashvrige databeskyttelsesretlige omraring-
der som indebaeligrer en lavere grad af risiko ikke undlades
Der er en raeligkke opgaver som databeskyttelsesraringdgiveren som minimum skal varetage Der er
dog ikke noget til hinder for at der overlades flere opgaver til databeskyttelsesraringdgiveren Da-
tabeskyttelsesraringdgiverens rolle som central raringdgivningsfigur i organisationen samt dennes op-
gaver kan med fordel beskrives naeligrmere i en (ansaeligttelses)aftale
Nedenfor foslashlger en naeligrmere beskrivelse af de opgaver som databeskyttelsesraringdgiveren som
minimum skal varetage i en organisation
Underrette og raringdgive organisationen og de ansatte om databeskyttelse
Det indebaeligrer
Konkret raringdgivning om beskyttelse af personoplysninger i organisationen samt
overvejelser og beslutninger om hvordan compliance sikres mv feks i forbin-
delse med foslashlgende
Organisationens indkoslashb af nyt IT-system
kravsspecifikationer til leverandoslashrer
udarbejdelse af organisationens data-politikker
ivaeligrksaeligttelse af behandling af personoplysninger
overvejelser om hvorvidt en given behandling af personoplysninger over-
holder de generelle behandlingsregler
Staring til raringdighed for ansatte samt ledelsen i organisationen vedroslashrende sposlashrgsmaringl
om databeskyttelse
Vejledning om databeskyttelsesraringdgivere
23
Raringdgivning i forbindelse med udarbejdelse af organisationens konsekvensanaly-
ser jf afsnit 3 nedenfor
Modtage underretning om og raringdgive organisationen i forbindelse med brud paring
persondatasikkerheden
Overvaringge overholdelsen af de databeskyttelsesretlige regler i organisationen
Det indebaeligrer bla ogsaring at overvaringge
organisationens politikker om databeskyttelse
uddannelse af personale i databeskyttelse
oplysningskampagner
fordeling af ansvar
revisioner
Det skal hertil bemaeligrkes at databeskyttelsesraringdgiverens opgave med at overvaringge overholdel-
sen af de databeskyttelsesretlige regler i organisationen ikke medfoslashrer at raringdgiveren overtager
selve ansvaret for at behandlingen af personoplysninger sker i overensstemmelse med reg-
lerne Dette ansvar ligger fortsat hos den dataansvarlige
Raringdgivning i forbindelse med udarbejdelse af organisationens konsekvensanalyser
I visse tilfaeliglde skal organisationer udarbejde en konsekvensanalyse af en planlagt behandling
af personoplysninger
I de tilfaeliglde hvor en organisation har udpeget en databeskyttelsesraringdgiver skal denne raringdfoslash-
res naringr der foretages en konsekvensanalyse
Herudover skal databeskyttelsesraringdgiveren raringdgive med hensyn til konsekvensanalysen naringr
der anmodes herom
Som led i overvaringgningsopgaven kan databeskyttel-
sesraringdgiveren foretage foslashlgende
indsamle oplysninger til at identificere
behandlingsaktiviteter
informere raringdgive og komme med an-
befalinger til den dataansvarlige og da-
tabehandleren
Vejledning om databeskyttelsesraringdgivere
24
I tilfaeliglde af uenighed mellem organisationen og databeskyttelsesraringdgiveren anbefales det at
det specifikt fremgaringr af selve konsekvensanalysen hvorfor databeskyttelsesraringdgiverens indstil-
ling ikke er blevet fulgt
Samarbejde med Datatilsynet paring vegne af organisationen
En organisation er forpligtet til at hoslashre Datatilsynet inden behandling hvis en konsekvensana-
lyse vedroslashrende databeskyttelse viser at behandlingen af personoplysninger vil foslashre til hoslashj ri-
siko i mangel af foranstaltninger truffet af organisation for at begraelignse risikoen
Det foslashlger af forordningen at databeskyttelsesraringdgiveren skal samarbejde med tilsynsmyndig-
heden og fungere som tilsynsmyndighedens kontaktperson Det kan feks vaeligre databeskyttel-
sesraringdgiveren der paring vegne af den dataansvarlige hoslashrer tilsynsmyndigheden
Vaeligre kontaktpunkt for tilsynsmyndigheden (Datatilsynet) angaringende alle sposlashrgsmaringl om behand-
ling af personoplysninger for de personer der behandles oplysninger om
Databeskyttelsesraringdgiveren skal inddrages af den dataansvarlige i tilfaeliglde af at konkrete kla-
gesager indbringes for Datatilsynet Databeskyttelsesraringdgiveren boslashr ligeledes orienteres naringr
Datatilsynet beslutter at gennemfoslashre et eventuelt tilsyn af den dataansvarlige
Herudover skal databeskyttelsesraringdgiveren ogsaring vaeligre i stand til at vejlede den person der be-
handles personoplysninger om Det betyder at databeskyttelsesraringdgiveren skal vaeligre i stand til
at vejlede om hvilke rettigheder den paringgaeligldende har og hvordan de kan udnyttes
Det indebaeligrer endvidere at den dataansvarlige skal give meddelelse om kontaktoplysninger paring
databeskyttelsesraringdgiveren
Det anbefales i oslashvrigt at organisationen i en funktionsbeskrivelse klart definerer hvilke opgaver
der paringhviler databeskyttelsesraringdgiveren En funktionsbeskrivelse vil goslashre det tydeligt hvornaringr
Raringdgivning i forhold til konsekvensanalyser kan bla indebaeligre raringdgiv-
ning vedroslashrende
om der skal gennemfoslashres en konsekvensanalyse
hvilken fremgangsmaringde der skal anvendes ved gennemfoslash-
relse af konsekvensanalysen
om konsekvensanalysen kan gennemfoslashres internt eller om
gennemfoslashrelsen kraeligver antagelse af ekstern bistand
hvilke sikkerhedsforanstaltninger (tekniske og organisatori-
ske) som skal anvendes for at begraelignse risici i forhold til
de registreredes rettigheder og interesser
om konsekvensanalysen er korrekt gennemfoslashrt og om
dens konklusioner er i overensstemmelse med de databe-
skyttelsesretlige regler
Vejledning om databeskyttelsesraringdgivere
25
den paringgaeligldende virker som databeskyttelsesraringdgiver og i denne egenskab ikke kan instrueres
Det vil samtidig blive tydeligt hvornaringr den paringgaeligldende udfoslashrer andre opgaver i sit ordinaeligre an-
saeligttelsesforhold i organisationen
54 Krav til organisationen ndash rettidig og tilstraeligkkelig inddragelse af databeskyt-
telsesraringdgiveren
En organisation skal sikre at databeskyttelsesraringdgiveren inddrages tilstraeligkkeligt og rettidigt i
alle sposlashrgsmaringl vedroslashrende beskyttelse af personoplysninger En saringdan inddragelse boslashr ogsaring
ske paring oslashverste ledelsesmaeligssige niveau (feks ved deltagelse paring direktions- og ledelsesmoslashder)
Det anbefales at organisationen implementerer procedurer som sikrer dette
I hvilke tilfaeliglde skal databeskyttelsesraringdgiveren inddrages
Databeskyttelsesraringdgiveren skal inddrages i alle de overvejelser og vurderinger som organisa-
tionen goslashr sig for at overholde kravene i databeskyttelsesforordningen databeskyttelsesloven
og oslashvrige regler for behandling af personoplysninger
Eksempel paring sposlashrgsmaringl hvor databeskyttelsesraringdgiveren boslashr inddrages
ved overvejelser og beslutninger om hvordan organisationens compliance med
databeskyttelsesreglerne sikres
ved overvejelser i forbindelse med datasikkerhed herunder databeskyttelse gen-
nem design og standardindstillinger og
ved udarbejdelse af konsekvensanalyser
Saringfremt databeskyttelsesraringdgiveren udpeges foslashr den 25 maj 2018 kan denne inddrages i or-
ganisationens implementering af de krav der foslashlger af forordningen
Eksempel paring sposlashrgsmaringl hvor databeskyttelsesraringdgiveren ikke
skal inddrages
Konkrete vurderinger ift registreredes rettigheder
feks anmodning paring indsigt ret til at blive glemt
mv
Deltagelse i mindre praktiske eller almindelige
driftsopgaver eller driftsmaeligssige sposlashrgsmaringl knyt-
tet til opsaeligtning af it-systemer
Udarbejdelse af konkrete databehandleraftaler
Behandling af personoplysninger der finder sted i
overensstemmelse med interne regler som den da-
taansvarlige har fastsat forudsat at disse regler er
fastsat under inddragelse af databeskyttelsesraringdgi-
veren
Vejledning om databeskyttelsesraringdgivere
26
Hvordan skal databeskyttelsesraringdgiveren inddrages
For at sikre at databeskyttelsesraringdgiveren inddrages tilstraeligkkeligt og rettidigt er organisationen
forpligtet til at holde databeskyttelsesraringdgiveren tilstraeligkkeligt og rettidigt orienteret om alle
sposlashrgsmaringl om beskyttelse af personoplysninger
Som tommelfingerregel skal databeskyttelsesraringdgiveren have mulighed for at vurdere overhol-
delsen af de databeskyttelsesretlige regler og komme med bemaeligrkninger eller lignende inden
en behandling af personoplysninger igangsaeligttes
Hvornaringr er inddragelsen rettidig
Databeskyttelsesraringdgiveren skal inddrages i saring god tid som det er muligt forud for ivaeligrksaeligttel-
sen af behandling af personoplysninger
Det er afgoslashrende at databeskyttelsesraringdgiveren inddrages i tide til at kunne foretage en reel
vurdering af om den paringtaelignkte behandling af personoplysninger er i overensstemmelse med de
databeskyttelsesretlige regler og dermed kan komme med kvalificerede bemaeligrkninger herom
med henblik paring at raringdgive organisationen
Eksempler paring rettidig inddragelse
Inddrages forud for beslutning om noslashdvendige
foranstaltninger i IT-systemer for at efterleve kra-
vene om databeskyttelse gennem design og stan-
dardindstillinger
Inddrages forud for udstedelse af retningslinjer og
procedurer for hvordan de databeskyttelsesret-
lige regler skal overholdes i organisationen
Inddragelse foslashr offentliggoslashrelse af udbudsmateri-
ale i en udbudsproces eller lignende
Eksempler paring ikke-rettidig inddragelse
Inddragelse af databeskyttelsesraringdgiveren efter
et nyt IT-system er faeligrdigudviklet
Inddragelse af databeskyttelsesraringdgiveren efter
indkoslashb af IT-systemer (dermed ikke en del af
overvejelserne vedr kravspecifikation og databe-
skyttelse gennem design og standardindstillin-
ger)
Inddragelse af databeskyttelsesraringdgiveren efter
at en konsekvensanalyse er udarbejdet
Inddragelse af databeskyttelsesraringdgiveren efter
stoslashrre aeligndringer i organisationens procedurer
der vedroslashrer databeskyttelse saringsom haringndtering
af anmodninger fra registrerede personer
Vejledning om databeskyttelsesraringdgivere
27
Behandlingsaktiviteter igangsat foslashr en databeskyttelsesraringdgiver udpeges
Naringr en organisation udpeger en databeskyttelsesraringdgiver vil der selvsagt vaeligre behandlinger af
personoplysninger der allerede er igangsat i organisationen
Databeskyttelsesraringdgiveren boslashr ved udpegelsen primaeligrt have fokus paring de fremadrettede com-
pliance aktiviteter Derudover kan databeskyttelsesraringdgiveren ndash ud fra en risikovurdering i for-
hold til de behandlinger som konkret indebaeligrer hoslashjere risiko ndash inddrages i organisationens
overvejelser om hvorvidt de igangvaeligrende aktiviteter overholder de databeskyttelsesretlige
regler
Hvornaringr er inddragelsen tilstraeligkkelig
Der skal ske en reel inddragelse af databeskyttelsesraringdgiveren i organisationens overvejelser
og beslutninger vedroslashrende databeskyttelse
Det indebaeligrer at organisationen skal inddrage og tage hoslashjde for databeskyttelsesraringdgiverens
bemaeligrkninger og raringdgivning i oslashvrigt samt dennes rapportering til oslashverste ledelsesniveau om
overholdelse af de databeskyttelsesretlige regler
Saringfremt databeskyttelsesraringdgiverens raringdgivning ikke foslashlges anbefales det at organisationen
dokumenterer dette i overensstemmelse med kravet om accountability
Ressourcer og adgang
Ressourcer
For at databeskyttelsesraringdgiveren rent faktisk kan udfoslashre sine opgaver er det noslashdvendigt at
organisationens tilvejebringer de noslashdvendige ressourcer til stoslashtte for databeskyttelsesraringdgive-
ren
Det er endvidere et krav at organisationen tilvejebringer de fornoslashdne ressourcer for at databe-
skyttelsesraringdgiveren kan opretholde sin ekspertise inden for omraringdet
Fastsaeligttelsen af de fornoslashdne ressourcer beror paring en konkret vurdering som afhaelignger af de
organisatoriske forhold i organisationen saringsom stoslashrrelsen antallet af behandlingsaktiviteter
kompleksiteten af behandlingen af personoplysninger samt de forbundne risici
Jo stoslashrre en organisation er des stoslashrre er behovet for ressourcer til stoslashtte for databeskyttelses-
raringdgiveren
Selve behovet for ressourcer beror paring en konkret vurde-
ring som organisationen er ansvarlig for at foretage
Som eksempler paring fornoslashdne ressourcer kan naeligvnes
Faciliteter og arbejdsredskaber
Oslashkonomiske ressourcer
Personaleressourcer og lignende
Vejledning om databeskyttelsesraringdgivere
28
Adgang
Databeskyttelsesraringdgiveren skal ogsaring have adgang til organisationens personoplysninger og
den behandling af disse som organisationen foretager
Der skal vaeligre tale om en vid adgang som kan tilvejebringes efter behov
Uafhaeligngighed
Det er et grundlaeligggende krav at en databeskyttelsesraringdgiver ikke maring blive instrueret af andre
om hvordan raringdgiveren skal udfoslashre sine opgaver Der gaeliglder saringledes foslashlgende for databeskyt-
telsesraringdgiveren
Maring ikke som led i sin funktion som databeskyttelsesraringdgiver modtage instruks om
hvordan denne skal udfoslashre sine opgaver (eller feks om en bestemt vurdering el-
ler fortolkning af forordningen)
Maring ikke afskediges eller sanktioneres for at udfoslashre sine opgaver
Rapporterer direkte til oslashverste ledelsesniveau
Databeskyttelsesraringdgiverens interne reaktionsmuligheder er i praksis taeligt forbundne med at
ovenstaringende krav til uafhaeligngighed efterleves Idet en databeskyttelsesraringdgiver ikke har instruk-
tionsbefoslashjelser over for andre dele af den dataansvarliges organisation er det i praksis mulighe-
den for at kunne rapportere direkte til oslashverste ledelsesniveau der er raringdgiverens interne virke-
middel overfor konstaterede brud paring forordningen
Hvor det oslashverste ledelsesniveau er afhaelignger af organiseringen hos den konkrete dataansvarlige
eller databehandleren
I forhold til det private erhvervsliv fremgaringr det af selskabsloven at det er bestyrelsen der er det
centrale eller oslashverste ledelsesorgan i selskaber der baringde har en bestyrelse og en direktion Naringr
der i databeskyttelsesforordningen henvises til det oslashverste ledelsesniveau maring det i det private
forstarings i relation til den daglige drift og dermed direktionen saringfremt selskabet har baringde en besty-
relse og en direktion Det vil i praksis betyde at direktionen skal orientere bestyrelsen om vaelig-
sentlige forhold som paringpeges af databeskyttelsesraringdgiveren
For statslige myndigheder maring den oslashverste ledelse forstarings som den oslashverste administrative le-
delse
For saring vidt angaringr kommuner og regioner gaeliglder at databeskyttelsesraringdgiveren rapporterer di-
rekte til kommunalbestyrelsen henholdsvis regionsraringdet Denne rapportering forelaeliggges for kom-
munalbestyrelsen henholdsvis regionsraringdet uden den forudgaringende udvalgsbehandling som de
kommunale og regionale sager ellers normalt skal undergives Dette udelukker dog ikke at en
kommune kan indhente en erklaeligring fra oslashkonomiudvalget forinden forelaeligggelse for kommunal-
bestyrelsen
55 Beskyttelse af databeskyttelsesraringdgiveren
Funktionen som databeskyttelsesraringdgiver er beskyttet ved et forbud mod at kunne blive afskedi-
get for udfoslashrelse af opgaverne som databeskyttelsesraringdgiver
Vejledning om databeskyttelsesraringdgivere
29
Usaglig afskedigelse af en databeskyttelsesraringdgiver er sanktioneret med en boslashde
Databeskyttelsesraringdgiveren vil kunne afskediges paring et sagligt grundlag efter almindelige ansaeligt-
telsesretlige regler
56 Opsummering
En databeskyttelsesraringdgiver udpeges paring baggrund af sine faglige kvalifikationer
Databeskyttelsesraringdgiveren kan baringde vaeligre en intern medarbejder en faeliglles da-
tabeskyttelsesraringdgiver for hele eller flere organisationer eller en ekstern databe-
skyttelsesraringdgiver
Databeskyttelsesraringdgiveren har en raeligkke opgaver denne som minimum skal va-
retage Derudover anbefales det at man klart definerer hvilke opgaver der paringhvi-
ler databeskyttelsesraringdgiveren
En organisation skal rettidig og tilstraeligkkelig inddrage databeskyttelsesraringdgiveren
i alle sposlashrgsmaringl vedroslashrende beskyttelse af personoplysninger
Databeskyttelsesraringdgiveren nyder en saeligrlig beskyttelse mod usaglig afskedi-
gelse og kan ikke afskediges eller sanktioneres for at udfoslashre sine opgaver som
Databeskyttelsesraringdgiver
Dato
20 december 2017
Justitsministeriet
Slotsholmsgade 10
1216 Koslashbenhavn K
Telefon
72 26 84 00
jmjmdk
Eksempler paring tilfaeliglde hvor en databeskyttelsesraringd-
giver kan afskediges
Ikke udfoslashrer sine arbejdsopgaver
Misligholder ansaeligttelsesforholdet
Samarbejdsvanskeligheder
Vejledning om databeskyttelsesraringdgivere
30
ISBN
978-88-98564-35-7
Foto
Scanpix
Vejledning om databeskyttelsesraringdgivere
2
Hvordan skal databeskyttelsesraringdgiveren inddrages ____________________ 26
Hvornaringr er inddragelsen rettidig ____________________________________ 26
Hvornaringr er inddragelsen tilstraeligkkelig ________________________________ 27
Ressourcer og adgang ____________________________________________ 27
Uafhaeligngighed __________________________________________________ 28
55 Beskyttelse af databeskyttelsesraringdgiveren _____________________________ 28
56 Opsummering ___________________________________________________ 29
Vejledning om databeskyttelsesraringdgivere
3
1 Forord
Denne vejledning har til formaringl at redegoslashre for kravene i forordningen til at udpege en databe-
skyttelsesraringdgiver dennes opgaver kvalifikationer stilling og inddragelse
Databeskyttelsesforordningen og databeskyttelsesloven finder anvendelse i Danmark og resten
af EU fra den 25 maj 2018 Forordningen stiller blandt andet krav om at offentlige myndigheder
og organer er forpligtede til at udpege en databeskyttelsesraringdgiver Private er derimod kun i faring
tilfaeliglde forpligtet til at udpege en databeskyttelsesraringdgiver
I det omfang en organisation er forpligtet til at udpege en databeskyttelsesraringdgiver skal dette
senest ske fra den 25 maj 2018
Afsnit 2 omhandler en beskrivelse af databeskyttelsesraringdgiveren
Afsnit 3 omhandler hvornaringr private er forpligtet til at udpege en databeskyttelsesraringdgiver mu-
ligheden for at udpege en faeliglles databeskyttelsesraringdgiver og frivillig udnaeligvnelse af en databe-
skyttelsesraringdgiver
Afsnit 4 omhandler offentlige myndigheder og organers forpligtelse til at udpege en databeskyt-
telsesraringdgiver og muligheden for at udpege en faeliglles databeskyttelsesraringdgiver
Afsnit 5 omhandler selve funktionen som databeskyttelsesraringdgiver herunder kravene til dennes
faglige kvalifikationer stilling opgaver og inddragelse i organisationen
11 Databeskyttelsesraringdgivere ndash oslashget fokus paring ansvarlighed (rdquoaccountabilityrdquo)
Forpligtelsen til at skulle udpege en databeskyttelsesraringdgiver kan ses som et element i databe-
skyttelsesforordningens fokus paring ansvarlighed naringr det kommer til efterlevelse af databeskyttel-
sesreglerne
Alle dataansvarlige skal saringledes uanset om de er underlagt forpligtelsen til at udpege en data-
beskyttelsesraringdgiver eller ej efterleve kravene i forordningens artikel 24 der generelt fastlaeliggger
den dataansvarliges forpligtelser
Endvidere er det en forudsaeligtning for at kunne overholde de grundlaeligggende principper om be-
handling af personoplysninger i forordningens artikel 5 at alle dataansvarlige og databehandlere
har et overblik over hvilke personoplysninger der behandles og hvordan disse behandles i orga-
nisationen
Som foslashlge af princippet om ansvarlighed boslashr alle organisationer baringde private og offentlige data-
ansvarlige og databehandlere uanset om de er forpligtede til at udpege en databeskyttelsesraringd-
giver derfor tage stilling til hvor i organisationen ansvaret for og haringndteringen af databeskyttel-
sessposlashrgsmaringl boslashr ligge
Vejledning om databeskyttelsesraringdgivere
4
Der kan i den forbindelse henvises til Datatilsynets vejledning om forberedelse forud for EUrsquos
databeskyttelsesforordning som er tilgaeligngelig paring tilsynets hjemmeside wwwdatatilsynetdk
Der kan ligeledes henvises til en oversigt over de oslashvrige supplerende vejledninger om databe-
skyttelsesforordningen som vil blive offentliggjort forud for at forordningen finder anvendelse
12 Andre relevante kilder
Der kan i oslashvrigt henvises til Artikel 29-gruppens udtalelser herunder om databeskyttelsesraringdgi-
verehttpeceuropaeuinformation_societynewsroomimagedocument2016-
51wp243_en_40855pdf Artikel 29-gruppen er raringdgivende og uafhaeligngig og bestaringr af en repraelig-
sentant fra hvert af medlemsstaternes tilsynsmyndighed
Vejledning om databeskyttelsesraringdgivere
5
2 Hvad er en databeskyttelsesraringdgiver
En databeskyttelsesraringdgiver er en raringdgiverfunktion i en organisation der skal inddrages i alle
sposlashrgsmaringl om databeskyttelse og raringdgive om de databeskyttelsesretlige regler
Databeskyttelsesraringdgiverens funktion er at understoslashtte at den dataansvarlige overholder reg-
lerne i databeskyttelsesforordningen Databeskyttelsesraringdgiveren er en integreret del af den da-
taansvarliges organisation der efter omstaeligndighederne kan have andre opgaver for den data-
ansvarlige Databeskyttelsesraringdgiveren er altsaring ikke en del af Datatilsynet og fungerer heller
ikke som tilsynets repraeligsentant
Databeskyttelsesraringdgiveren har dog en saeligrlig stilling i forhold til Datatilsynet idet databeskyttel-
sesraringdgiveren er kontaktled til og skal samarbejde med Datatilsynet Databeskyttelsesraringdgive-
ren kan paring den maringde bla vaeligre opdateret om og tage bestik af nye afgoslashrelser vejledninger mv
Forpligtelsen til i visse tilfaeliglde at skulle udpege en databeskyttelsesraringdgiver er et element i da-
tabeskyttelsesforordningens fokus paring ansvarlighed naringr det kommer til at overholde databeskyt-
telsesreglerne
21 Relationen mellem den dataansvarlige og databeskyttelsesraringdgiveren
Det er den dataansvarlige der har ansvaret for at sikre at databeskyttelsesforordningen og da-
tabeskyttelseslovens regler overholdes
Den dataansvarlige udpeger databeskyttelsesraringdgiveren Det er databeskyttelsesraringdgiverens
opgave at raringdgive den dataansvarlige om de databeskyttelsesretlige regler og raringdgiveren kan
saringledes paring bedste vis understoslashtte en god databeskyttelse hos den dataansvarlige
Den dataansvarlige skal tage hoslashjde for databeskyttelsesraringdgiverens opfattelse af en given situ-
ation men det er den dataansvarlige der skal overholde reglerne Det er saringledes ogsaring den da-
taansvarlige der i sidste ende afgoslashr til hvilke formaringl og med hvilke hjaeliglpemidler der maring foreta-
ges behandling af personoplysninger Det er ligeledes den dataansvarlige som sanktioneres
saringfremt reglerne ikke overholdes ogsaring selvom dette skyldes ukorrekt raringdgivning fra databeskyt-
telsesraringdgiverens side
Vejledning om databeskyttelsesraringdgivere
6
3 Privates forpligtelse til at udpege en
databeskyttelsesraringdgiver
I de fleste tilfaeliglde skal private ikke udpege en databeskyttelsesraringdgiver
31 Hvornaringr skal private udpege en databeskyttelsesraringdgiver
I de fleste tilfaeliglde skal den private sektor ikke udpege en databeskyttelsesraringdgiver Kun private
virksomheder der som deres kerneaktivitet behandler foslashlsomme oplysninger eller oplysninger
om strafbare forhold i et stort omfang eller foretager regelmaeligssig og systematisk overvaringgning af
personer i stort omfang er forpligtede til at udpege en databeskyttelsesraringdgiver Forpligtelsen for
private virksomheder til at udpege en databeskyttelsesraringdgiver gaeliglder baringde den dataansvarlige
og databehandleren
Det betyder at de fleste private virksomheder i Danmark der foretager rdquogaeligngsrdquo behandling af
personoplysninger herunder administration af HR-oplysninger kundeoplysninger online
bookingsystemer mv ikke er forpligtede til at udpege en databeskyttelsesraringdgiver
Konkret skal en virksomhed opfylde tre betingelser for at vaeligre forpligtet til at udpege en databe-
skyttelsesraringdgiver (se nedenfor)
Alle betingelser skal vaeligre opfyldt og en virksomhed der feks kun opfylder eacuten eller to af betin-
gelserne ud af de tre vil ikke vaeligre forpligtet til at udpege en databeskyttelsesraringdgiver
Generelt kan det bemaeligrkes om betingelserne at de knytter sig til hvilke personoplysninger man
har og hvordan disse behandles i virksomheden
Foslashlgende tre betingelser skal alle vaeligre opfyldt
1 Behandling af personoplysninger skal vaeligre
virksomhedens kerneaktivitet
2 Der skal behandles personoplysninger i et
stort omfang
3 Behandlingsaktiviteten bestaringr i regelmaeligssig
og systematisk overvaringgning af personer eller
behandlingen vedroslashrer foslashlsomme oplysnin-
ger eller oplysninger om strafbare forhold
Vejledning om databeskyttelsesraringdgivere
7
311 Betingelse nr 1 rdquokerneaktivitetrdquo
Behandling af personoplysninger skal vaeligre virksomhedens kerneaktivitet Med rdquokerneaktivitetrdquo
forstarings ikke den gaeligngse behandling af personoplysninger som de fleste virksomheder foretager
Alle virksomheder behandler saringledes personoplysninger i et vist omfang for at virksomheden kan
fungere Det drejer sig navnlig om behandling af HR-oplysninger og kundeoplysninger i forbin-
delse med kontakt salg og support mv Virksomhedens behandling af disse oplysninger er en
forudsaeligtning for at virksomheden kan udoslashve sin hovedaktivitet feks udbyde tjenesteydelser
eller saeliglge et produkt
Disse almindelige behandlinger af personoplysninger udgoslashr ikke i sig selv en rdquokerneaktivitetrdquo De
kan i stedet anses for en rdquobiaktivitetrdquo idet oplysningerne behandles for at kunne understoslashtte virk-
somhedens hovedaktivitet
Naringr en virksomhed behandler personoplysninger som en biaktivitet vil virksomheden ikke vaeligre
forpligtet til at udpege en databeskyttelsesraringdgiver
Omfattet af begrebet rdquokerneaktivitetrdquo
Behandling af personoplysninger skal vaeligre virksomhedens rdquohovedaktivitetrdquo foslashr det kan anses for
omfattet af begrebet kerneaktivitet
Eksempler paring behandling der udgoslashr rdquobiaktivitetrdquo
Kundekontakt- eller support
HR-oplysninger
Salg
Kundekartotek
Online bookingsystem
Bonuskort
Behandling af klientoplysninger (revi-sorer advokater ingenioslashrer mv)
IT-support
Eksempler paring brancher der som udgangspunkt ikke
har behandling af personoplysninger som kerneakti-
vitet
Privatskoler og doslashgninstitutioner
Forsyningsselskaber
Haringndvaeligrksfaget
Hotel- og restaurationsbranchen
Servicebranchen
Detailhandel
Vejledning om databeskyttelsesraringdgivere
8
Det betyder at virksomheder hvis produkt eller tjeneste direkte bestaringr i behandling af personop-
lysninger kan anses som kerneaktivitet Det kan feks vaeligre virksomheder der udbyder marke-
tingsundersoslashgelser som er baseret paring personoplysninger eller cloud-virksomheder naringr det in-
debaeligrer lagring af personoplysninger
Paring samme maringde kan virksomheder hvis produkt eller tjeneste er uloslashseligt forbundet med be-
handlingen af personoplysninger anses for at have behandling af personoplysninger som deres
kerneaktivitet Det kan feks vaeligre forsikringsselskaber der saeliglger forsikringer til sine kunder
bla paring baggrund af personoplysninger indsamlet om kommende og nuvaeligrende kunder Et an-
det eksempel kan vaeligre privathospitaler
Virksomheder hvis kerneaktivitet bestaringr af behandling af personoplysninger skal dog ogsaring op-
fylde de to oslashvrige betingelser inden virksomheden er forpligtet til at udpege en databeskyttelses-
raringdgiver
312 Betingelse nr 2 rdquoet stort omfangrdquo
Hvis behandlingen af personoplysninger er virksomhedens kerneaktivitet er det ogsaring en betin-
gelse at behandlingen af personoplysninger sker i rdquoet stort omfangrdquo foslashr virksomheden er forplig-
tet til at udpege en databeskyttelsesraringdgiver
Artikel 29-gruppen1 anbefaler i deres udtalelse om databeskyttelsesraringdgivere at der ved vurde-
ringen af om der er tale om en behandling af personoplysninger rdquoi et stort omfangrdquo laeliggges vaeliggt
paring fire kriterier
1 Antallet af personer der behandles oplysninger om ndash enten det specifikke antal personer
eller som andel af den relevante population (befolkningen)
1 Artikel 29-gruppens udtalelse nr 162016 om rdquoGuidelines on Data Protection Officers (rsquoDPOsrsquo)rdquo (WP 243 rev01)
Eksempler paring behandling der udgoslashr rdquokerneaktivitetrdquo
Cloud-computing
Hosting af hjemmesiderdata
Privathospitaler
Forsikringsselskaber
Reklamebureauer der udbyder marke-
tingsundersoslashgelser
Soslashgemaskiner
Tele- eller internetudbydere
Applikationermobile tjenester baseret
paring personoplysninger
Stillingsbesaeligttende virksomhed
Vejledning om databeskyttelsesraringdgivere
9
2 Volumen af personoplysninger ogeller de forskellige typer af personoplysninger der bli-
ver behandlet
3 Tidsperioden der behandles oplysninger i samt hvorvidt behandlingen er permanent
4 Den geografiske udstraeligkning af behandlingsaktiviteterne
Eksempel ndash mindre forsikringsselskab
Et mindre forsikringsselskab der feks kun udbyder sin forretning til en bestemt mindre landsdel
vil formentlig behandle et saring begraelignset omfang af oplysninger at det ikke kan anses for at vaeligre
i et stort omfang Det skyldes at der ikke behandles en stor maeligngde af personoplysninger om et
stort antal personer samt den begraelignsede geografiske udstraeligkning
I modsaeligtning hertil vil et landsdaeligkkende forsikringsselskab anses for at behandle personoplys-
ninger i et stort omfang baringde som foslashlge af maeligngden af oplysninger antallet af personer og den
geografiske udstraeligkning
Eksempel ndash laeliggepraksis
Behandling af patientdata i en laeliggepraksis med et begraelignset antal laeligger tilknyttet kan som foslashlge
af den begraelignsede maeligngde oplysninger der behandles heller ikke anses for at behandle per-
sonoplysninger i et stort omfang
Omvendt vil en stor laeliggepraksis med mange laeligger tilknyttet formentlig behandle en stor maeligngde
personoplysninger om deres patienter Her vil maeligngden af oplysninger der behandles medfoslashre
at der foretages behandling af personoplysninger i et stort omfang
I overvejelserne om fastlaeligggelse af stoslashrrelsen af en privat laeliggepraksisklinikhospital er det rele-
vant at foretage en vurdering af baringde antallet af patienter og af tilknyttede laeligger
Behandling af personoplysninger rdquoi et stort omfangrdquo kan saring-
ledes indebaeligre behandling af
en stor maeligngde af personoplysninger
oplysninger om et stort antal personer
lang varighed herunder permanent
stor geografisk udstraeligkning af behandlingsaktivite-
ter
Vejledning om databeskyttelsesraringdgivere
10
Virksomheder hvis kerneaktivitet bestaringr af behandling af personoplysninger i et stort omfang
skal dog opfylde eacuten af de to sidste betingelser inden virksomheden er forpligtet til at udpege en
databeskyttelsesraringdgiver
313 Betingelse nr 3 rdquoregelmaeligssig og systematisk overvaringgningrdquo eller rdquobehandling af
foslashlsomme oplysninger eller oplysninger om strafbare forholdrdquo
Virksomheder hvis kerneaktivitet bestaringr af behandling af personoplysninger i et stort omfang skal
enten
foretage regelmaeligssig og systematisk overvaringgning af registrerede personer
eller
behandle foslashlsomme oplysningeroplysninger om strafbare forhold
for at vaeligre forpligtede til at udpege en databeskyttelsesraringdgiver
Regelmaeligssig og systematisk overvaringgning af registrerede personer
Regelmaeligssig og systematisk overvaringgning af de registrerede omfatter en virksomheds sporringer
(tracking) eller profilering bla via internettet
Det kan bla omfatte drift af telenet eller services forbundet hermed profilering i forbindelse med
risikovurdering herunder kreditvurderinger vurdering af forsikringspraeligmie lokationstracking via
applikationer og adfaeligrdsbaseret annoncering
Eksempel ndash marketingsfima
Et marketingsfirma der foretager marketingsundersoslashgelser hvor der indgaringr personoplysninger i
et stort omfang og undersoslashgelsen er baseret paring adfaeligrdsbaseret annoncering er omfattet da de
foretager en regelmaeligssig og systematisk overvaringgning af de registrerede personer
Behandling af foslashlsomme oplysninger eller oplysninger om strafbare forhold
Oplysninger kan anses for foslashlsomme hvis de omhandler oplysninger om
Behandling i et stort omfang
Eksempler paring virksomheder der behandler
personoplysninger rdquoi et stort omfangrdquo
Privathospitaler
Stoslashrre forsikringsselskaber
Sporing via feks rejsekort
Soslashgemaskines behandling af
personoplysninger
Tele- eller internetudbydere
Vejledning om databeskyttelsesraringdgivere
11
race eller etnisk oprindelse
politisk religioslashs eller filosofisk overbevisning
fagforeningsmaeligssigt tilhoslashrsforhold
behandling af genetisk data eller biometrisk data med det formaringl entydigt at iden-
tificere en fysisk person
helbredsoplysninger
oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering
Oplysninger om strafbare forhold omfatter oplysninger om straffedomme og lovovertraeligdelser
Eksempel ndash skadesforsikringsselskaber
Skadesforsikringsselskaber kan man opdele i de selskaber der behandler foslashlsomme oplysninger
og de selskaber der ikke (eller i begraelignset omfang) behandler foslashlsomme oplysninger
For saring vidt angaringr de selskaber der ikke behandler denne type oplysninger kan naeligvnes special-
selskaber som typisk forsikrer ting (feks glasforsikring) og ikke risiko for personskader Forsik-
ringsselskaber der i begraelignset omfang jf betingelsen ovenfor behandler de omhandlede op-
lysninger vil typisk vaeligre forsikringsselskaber der tegner privatforsikringer herunder eksempelvis
indbo- og bilforsikringer eller erhvervsforsikringer for mindre virksomheder Her indhentes de
naeligvnte oplysninger i forbindelse med tegning af ulykkesforsikringer og ved behandling af per-
sonskader under ulykkesforsikringer
For saring vidt angaringr skadesforsikringsselskaber der opfylder betingelse nr 3 ndash idet de behandler
foslashlsomme oplysninger ndash kan naeligvnes specialiserede rejseforsikringsselskaber for saringvel rejsegods
som syge- og ulykkesforsikringer En betydelig del af disse selskabers forsikringer er personfor-
sikringer hvor der baringde ved tegning og ved behandlingen af personskader (ulykker og syg-
domme) indhentes foslashlsomme oplysninger Endvidere kan sygeforsikringsselskaber som daeligkker
medicin og en raeligkke andre udgifter til helbredelse naeligvnes idet der indhentes helbredsoplysnin-
ger ved optagelses- og refusionssager
Eksempel ndash HR-oplysninger
Virksomheder vil typisk behandle oplysninger om ansattes fagforeningsmaeligssige tilhoslashrsforhold
og helbredsoplysninger i forbindelse med virksomhedens HR-funktion Her er der netop tale om
foslashlsomme oplysninger men det medfoslashrer ikke i sig selv at virksomheden er forpligtet til at udpege
en databeskyttelsesraringdgiver Hertil kraeligves at behandling af personoplysninger er virksomhe-
dens kerneaktivitet og foretages i et stort omfang
Eksempler paring virksomheder der kan
opfylde alle tre betingelser
Privathospitaler
Stoslashrre forsikringssel-
skaber
Tele- eller internetud-
bydere
Marketingsfirma der
udbyder marketingsun-
dersoslashgelser
Eksempler paring virksomheder der blot op-
fylder nogle af betingelserne
Mindre privathospitaler
Mindre forsikringsselskab
Mindre laeliggepraksis
Stoslashrre virksomheder hvor
behandling af personop-
lysninger kun er en biakti-
vitet
Vejledning om databeskyttelsesraringdgivere
12
Eksempel ndash Livs- og pensionsforsikringsselskaberne
Store eller middelstore forsikringsselskaber der dels tegner livs- og pensionsforsikringer for en-
keltpersoner og dels firmapensionsordninger hvor de sikrede er en virksomheds ansatte indhen-
ter og behandler foslashlsomme oplysninger isaeligr helbredsoplysninger ved saringvel tegningindmeldelse
som ved behandlingen af tab af erhvervsevne doslashdsfald sygdom mv Henset til at behandling
af personoplysninger endvidere er disse forsikringsselskabers kerneaktivitet samt at de grundet
stoslashrrelse og geografiske udstraeligkning behandler personoplysningerne i stort omfang vil de som
udgangspunkt skulle udpege en databeskyttelsesraringdgiver
Det bemaeligrkes at det er vigtigt at have sig for oslashje at der er tale om betingelser der alle skal
vaeligre opfyldt Der skal altsaring vaeligre tale om at virksomhedens kerneaktivitet er behandling i stort
omfang af foslashlsomme oplysninger eller oplysninger om strafbart forhold Eller at virksomhedens
kerneaktivitet bestaringr af behandlingsaktiviteter i stort omfang af regelmaeligssig og systematisk over-
varinggning af personer
Virksomheder der ikke er forpligtede til at udpege en databeskyttelsesraringdgiver kan med fordel
dokumentere vurderingen saring denne kan fremvises til Datatilsynet
32 Frivillig udnaeligvnelse af en databeskyttelsesraringdgiver
Private kan under alle omstaeligndigheder frivilligt vaeliglge at udpege en databeskyttelsesraringdgiver
I de tilfaeliglde hvor der frivilligt udpeges en databeskyttelsesraringdgiver gaeliglder de samme krav til
databeskyttelsesraringdgiveren som hvis virksomheden var forpligtet til at udpege en databeskyttel-
sesraringdgiver
Det betyder at kravene til databeskyttelsesraringdgiverens opgaver kvalifikationer stilling beskyt-
telse og inddragelse skal efterleves
Vaeliglger en virksomhed derimod at udpege en medarbejder der feks er compliance-raringdgiver er
virksomheden ikke forpligtet til at efterleve forordningens krav til en databeskyttelsesraringdgiver
33 Faeliglles databeskyttelsesraringdgiver
En koncern har mulighed for at udpege en faeliglles databeskyttelsesraringdgiver for hele koncernen
forudsat at alle etableringer af koncernen har let adgang til databeskyttelsesraringdgiveren
Andre private dataansvarlige og databehandlere end koncerner har ogsaring mulighed for at udpege
en faeliglles databeskyttelsesraringdgiver Et konsulentfirma kan udoslashve funktionen som databeskyttel-
sesraringdgiver for flere dataansvarlige paring samme tid paring baggrund af tjenesteydelseskontrakter
Det er dog en forudsaeligtning for at private kan udpege en faeliglles databeskyttelsesraringdgiver at
databeskyttelsesraringdgiveren kan efterleve forordningens krav til vedkommende naringr opgaven loslash-
Vejledning om databeskyttelsesraringdgivere
13
ses for flere private paring eacuten gang Dette maring i praksis forudsaeligtte at der feks er adgang til at kom-
munikere med databeskyttelsesraringdgiveren paring et sprog som de beroslashrte medarbejdere kan forstaring
Det maring ligeledes forudsaeligtte at der er afsat saringdanne ressourcer til databeskyttelsesraringdgiveren
at det spejler omfanget af de organisationer der skal daeligkkes Der vil derfor i praksis ikke vaeligre
noget til hinder for at feks en virksomhed udpeger en faeliglles databeskyttelsesraringdgiver paring tvaeligrs
af flere stoslashrre koncernforbundne virksomheder naringr blot de ressourcer der afsaeligttes til databe-
skyttelsesraringdgiveren i form af medarbejdere rejsebudget it-understoslashttelse mv i tilstraeligkkelig om-
fang sikrer at databeskyttelsesraringdgiveren kan moslashde sine forpligtelser
34 Opsummering
Der skal rigtig meget til foslashr en privat virksomhed er forpligtet til at udpege en da-
tabeskyttelsesraringdgiver
Helt konkret skal tre betingelser der knytter sig til en virksomheds behandling af
personoplysninger alle vaeligre opfyldt foslashr der en pligt til at udpege en databeskyt-
telsesraringdgiver
Alle virksomheder boslashr foretage en konkret vurdering af om de tre betingelser er
opfyldt Er alle tre betingelser ikke opfyldt skal der ikke udpeges en databeskyt-
telsesraringdgiver
Vejledning om databeskyttelsesraringdgivere
14
4 Offentlige myndigheders forpligtelse til
at udpege en databeskyttelsesraringdgiver
Offentlige myndigheder og offentlige organer skal altid have en databeskyttelsesraringdgiver uanset
om de er dataansvarlige eller databehandlere
41 Hvornaringr skal offentlige myndigheder udpege en databeskyttelsesraringdgiver
I det omfang behandling foretages af en offentlig myndighed eller et offentligt organ skal myndig-
heden eller organet altid have en databeskyttelsesraringdgiver hvad enten de er dataansvarlige eller
databehandlere
Det betyder at der ogsaring skal udpeges en databeskyttelsesraringdgiver hvis den offentlige myndig-
hed eller organ behandler personoplysninger paring vegne af en privat eller selv outsourcer sin da-
tabehandling til en privat som ikke er forpligtet til at udpege en databeskyttelsesraringdgiver Det kan
feks vaeligre tilfaeligldet naringr offentlige myndigheder eller organer vaeliglger at overlade til en anden at
udfoslashre selve den praktiske behandling af personoplysninger paring den dataansvarliges vegne
Den eneste undtagelse hertil er domstole der ikke er forpligtede til at udpege en databeskyttel-
sesraringdgiver naringr de handler i deres egenskab af domstole
42 Hvornaringr er man en offentlig myndighed
De myndigheder der i dansk ret henregnes til den offentlige forvaltning i medfoslashr af forvaltnings-
lovens sect 1 stk 1-2 skal anses for offentlige myndigheder eller organer og er dermed forpligtede
til at udpege en databeskyttelsesraringdgiver Det fremgaringr heraf at foslashlgende virksomheder omfattes
af loven al virksomhed der udoslashves af den offentlige forvaltning og al virksomhed der udoslashves af
selvejende institutioner foreninger fonde mv der er oprettet ved lov eller i henhold til lov og
selvejende institutioner foreninger fonde mv der er oprettet paring privatretligt grundlag og som
udoslashver offentlig virksomhed af mere omfattende karakter og er undergivet intensiv offentlig regu-
lering intensivt offentlig tilsyn og intensiv offentlig kontrol
I forhold til selvejende institutioner mv oprettet paring privatretligt grundlag vil der saringledes vaeligre
nogle som omfattes af kravet om at have en databeskyttelsesraringdgiver mens andre ikke omfattes
Det vil bero paring en konkret vurdering
Selvejende institutioner mv oprettet paring privatretligt grundlag som udoslashver offentlig virksomhed
af mere omfattende karakter og er undergivet intensiv offentlig regulering intensivt offentlig tilsyn
og intensiv offentlig kontrol vil vaeligre omfattet
Det spiller endvidere ind om det offentlige har instruktionsbefoslashjelser over for institutionen om det
offentlige skal godkende institutionens vedtaeliggter og om det offentlige yder sekretariatsbistand
Vejledning om databeskyttelsesraringdgivere
15
til institutionen Herudover maring man se paring om det offentlige skal godkende institutionens regn-
skaber og om institutionens drift og virksomhed er detaljeret reguleret ved regler og retningslinjer
udstedt af det offentlige Endelig kan man tage hensyn til om det offentlige overtager institutio-
nens rettigheder og forpligtelser hvis den nedlaeliggges
Eksempler paring selvejende institutioner mv der er omfattet
- Universiteter
- Institutioner hvor kommunalbestyrelsen har indgaringet overenskomst til opfyldelse af sine forplig-
telser efter lov om social service
- Gymnasieskoler
Eksempler paring selvejende institutioner og foreninger der ikke er omfattet
- Danske Regioner og KL
- Dansk Flygtningehjaeliglp
For saring vidt angaringr statslige og kommunale institutioner der er organiseret i selskabsform feks
som aktieselskab eller interessentskab vil disse umiddelbart aldrig vaeligre omfattet Dette er ogsaring
tilfaeligldet for koncessionerede selskaber og selskaber hvori staten eller en kommune er aktionaeligr
interessent eller lignende uanset om staten eller kommunen ejer selskabet 100 Det har i den
forbindelse ingen betydning hvilke aktiviteter organet udfoslashrer ligesom det ikke i sig selv kan foslashre
til et andet resultat at selskabet maringtte vaeligre oprettet ved lov eller i henhold til lov
Dog er kommunale faeligllesskaber jf sect 60 i lov om kommunernes styrelse hvortil to eller flere
kommuner overfoslashrer opgaver til selvstaeligndig varetagelse altid offentlige myndigheder Det gaeligl-
der uanset at kommunale faeligllesskaber normalt etableres som interessentskaber Det kommu-
nale faeligllesskab er selvstaeligndigt dataansvarligt og skal udpege en databeskyttelsesraringdgiver
Eksempel paring institution der er organiseret i selskabsform der ikke er omfattet
- Staten og Kommunernes Indkoslashbs Service AS
Saringfremt der ikke er tale om en offentlig myndighed eller organ skal bedoslashmmelsen af hvorvidt
man har pligt til at udpege en databeskyttelsesraringdgiver foretages i henhold til betingelserne be-
skrevet ovenfor under punkt 3 vedroslashrende privates forpligtelse til at udpege en databeskyttel-
sesraringdgiver
43 Faeliglles databeskyttelsesraringdgiver for offentlige myndigheder
Flere myndigheder eller organer vil i mange tilfaeliglde kunne have en faeliglles databeskyttelsesraringd-
giver forudsat at det er i overensstemmelse med deres organisatoriske struktur og stoslashrrelse I
den forbindelse kan det vaeligre relevant at overveje om raringdgiveren skal fungere paring baggrund af
eacuten ansaeligttelseskontrakt for to forskellige myndigheder eller to deltidskontrakter
Herudover vil en databeskyttelsesraringdgiver kunne vaeligre ansat paring en deltidskontrakt hos eacuten myn-
dighed og ansat paring baggrund af en tjenesteydelseskontrakt i en anden myndighed eller organi-
sation
Vejledning om databeskyttelsesraringdgivere
16
Saringfremt flere myndigheder har en faeliglles databeskyttelsesraringdgiver er det dog en forudsaeligtning
at databeskyttelsesraringdgiveren kan efterleve kravene i databeskyttelsesforordningen til en data-
beskyttelsesraringdgiver herunder til dennes stilling opgaver uafhaeligngighed og tilgaeligngelighed mv
naringr denne loslashser opgaven for flere myndigheder paring eacuten gang
For saring vidt angaringr tilgaeligngelighed er der ikke et krav om fysisk tilstedevaeligrelse paring alle lokationer
saringfremt der anvendes en faeliglles databeskyttelsesraringdgiver De enkelte myndigheder har i den for-
bindelse mulighed for at aftale hvordan den fysiske tilgaeligngelighed i praksis kan loslashftes herunder
feks ved hjaeliglp af mail telefon internet mm Det er i relation til kravet om tilgaeligngelighed endvi-
dere vaeligrd at bemaeligrke at flere myndigheder som naeligvnt godt kan have en faeliglles raringdgiver men
at databeskyttelsesraringdgiveren skal kunne (naring at) varetage sin raringdgivningsopgave fyldestgoslashrende
for alle de myndigheder for hvilke den paringgaeligldende varetager opgaven som databeskyttelses-
raringdgiver Her kan det bla vaeligre relevant at se paring maeligngden af personoplysninger der behandles
i en given myndighed
I relation til uafhaeligngighedskriteriet bemaeligrkes at det kan vaeligre betaelignkeligt at lade visse myndig-
heder have en faeliglles databeskyttelsesraringdgiver jf nedenfor under afsnittet rdquoEksempel ndash Ministe-
rier og underordnede myndighederrdquo
Der henvises i oslashvrigt til afsnit 5 i denne vejledning
Det er endvidere et krav at der er eacuten der er personligt ansvarlig for hvervet som databeskyttel-
sesraringdgiver
Som foslashlge af kravet om at udpegningen af en faeliglles databeskyttelsesraringdgiver skal vaeligre i over-
ensstemmelse med myndigheden eller organets organisatoriske struktur og stoslashrrelse stilles der
krav til selve ansaeligttelsen af databeskyttelsesraringdgiveren
Den retlige graelignse for at dele en databeskyttelsesraringdgiver vil i et saringdan tilfaeliglde vaeligre de gaeligl-
dende standarder om offentlige ansattes bierhverv de almindelige habilitetsregler og muligheden
for at efterleve kravene i forordningen herunder tilstraeligkkelige ressourcer i forhold til at udfoslashre
hvervet
Vejledning om databeskyttelsesraringdgivere
17
Kommuner
Det antages ikke at vaeligre i overensstemmelse med en offentlig myndigheds struktur eller stoslashr-
relse hvis en databeskyttelsesraringdgiver fungerer paring baggrund af eacuten ansaeligttelseskontrakt i to for-
skellige kommuner Det antages derimod omvendt at vaeligre i overensstemmelse hermed saring-
fremt raringdgiveren udoslashver sin funktion paring baggrund af to deltidskontrakter i to kommuner paring
samme tid
Eksempel ndash En kommune
En kommune vil typisk vaeligre dataansvarlig for alle de behandlinger af personoplysninger som
foretages inden for den kommunale enhedsforvaltning Derfor er en kommune ikke forpligtet til at
udpege eacuten databeskyttelsesraringdgiver for de enkelte forvaltninger men vil kunne udpege eacuten data-
beskyttelsesraringdgiver for hele kommunen
Eksempel ndash organer med selvstaeligndig kompetence paring det kommunale omraringde
Det bemaeligrkes at der paring det kommunale omraringde kan vaeligre organer som ikke er en del af den
kommunale enhedsforvaltning men har selvstaeligndig kompetence paring det kommunale omraringde
feks huslejenaeligvnet ligesom der kan vaeligre kommunale organer som er en del af enhedsforvalt-
ningen der i visse henseender har en ndash i forhold til kommunalbestyrelsen ndash selvstaeligndig kompe-
tence herunder feks skoleledere
Naringr det i lovgivningen er fastsat eller forudsat at disse organer sekretariatsbetjenes af kommu-
nen og kommunen yder sekretariatsbetjening kan organerne have faeliglles databeskyttelsesraringd-
giver med kommunen og er ikke forpligtet til selvstaeligndigt at udpege en databeskyttelsesraringdgiver
ved siden af kommunens Databeskyttelsesraringdgiverens ydelser vil i den forbindelse vaeligre en del
af sekretariatsbetjeningen
Eksempel ndash Flere kommuner
Flere kommuner vil have mulighed for at dele en databeskyttelsesraringdgiver Som udgangspunkt
vurderes det at feks en gennemsnitskommune paring omkring 45000 indbyggere godt vil kunne
dele en databeskyttelsesraringdgiver med en anden tilsvarende eller en mindre kommune eller at en
lidt stoslashrre kommune vil kunne dele med en mindre kommune hvis databeskyttelsesraringdgiveren
Eksempel - Rigspolitiets databeskyttelsesenhed
Rigspolitiet har udpeget en faeliglles databeskyttelsesraringdgiver for landets 12
politikredse og Rigspolitiet for saring vidt angaringr behandlingen af personoplys-
ninger til brug for retsharingndhaeligvelsesformaringl
Den faeliglles databeskyttelsesraringdgiver understoslashttes i den forbindelse af en cen-
tral datebeskyttelsesenhed i Rigspolitiet hvor de enkelte medarbejdere be-
sidder stort kendskab til persondateretlige og forretningsmaeligssige forhold
med relevans for enhedens opgavevaretagelse Paring denne baggrund kan da-
tabeskyttelsesraringdgiveren samlet set leve op til sine forpligtelser som databe-
skyttelsesraringdgiver i medfoslashr af lov om retsharingndhaeligvende myndigheders be-
handling af personoplysninger som er lig dem der foslashlger af databeskyttel-
sesforordningen
Vejledning om databeskyttelsesraringdgivere
18
samlet set vurderes at kunne varetage opgaverne som databeskyttelsesraringdgiver Der skal saringle-
des foretages en konkret vurdering i det enkelte tilfaeliglde idet det afgoslashrende er om man som
databeskyttelsesraringdgiver kan efterleve sin funktion retmaeligssigt naringr funktionen udoslashves for flere
kommuner paring samme tid
Herudover vil to eller flere kommuner kunne oprette et kommunalt faeligllesskab til hvilket de garingr
sammen om at loslashse opgaven som databeskyttelsesraringdgiver i de deltagende kommuner
Eksempel - Regioner
En region vil typisk ogsaring vaeligre dataansvarlig for alle de behandlinger af personoplysninger der
foretages inden for regionen herunder drift af hospitaler forskning og sociale tilbud mv Hver
region vil som udgangspunkt kunne udpege eacuten databeskyttelsesraringdgiver
Eksempel - Ministerier og underordnede myndigheder
Departementer og underordnede myndigheder kan have en faeliglles databeskyttelsesraringdgiver
Dog kan der vaeligre hindringer som feks myndighedens stoslashrrelse der bevirker at man ikke kan
dele en databeskyttelsesraringdgiver Som eksempel herparing kan naeligvnes Justitsministeriet og politiet
der ikke kan have en faeliglles raringdgiver
Det skyldes at politiet anses for at vaeligre saring stor en enhed at en faeliglles databeskyttelsesraringdgiver
ikke vil kunne efterleve kravene til en databeskyttelsesraringdgiver (om bla tilgaeligngelighed) hvis
denne baringde skulle udfoslashre sin opgave for politiet som helhed og med andre myndigheder under
Justitsministeriets ressort
Dog vil politiet ndash i en ordning svarende til den ovenfor beskrevne paring retsharingndhaeligvelsesomraringdet ndash
kunne have en faeliglles databeskyttelsesraringdgiver under forordningen der udfoslashrer sin funktion for
alle politikredse
Det bemaeligrkes endvidere at forordningens krav om uafhaeligngighed skal vaeligre opfyldt for alle de
myndigheder der deler en databeskyttelsesraringdgiver
I den forbindelse ndash samt i relation til en underordnet myndigheds eventuelt saeligrlige uafhaeligngighed
ift den overordnede myndighed ndash kan der vaeligre visse situationer hvor det kan vaeligre betaelignkeligt
at lade en underordnet myndighed dele databeskyttelsesraringdgiver med et departement
Som eksempel herparing kan naeligvnes Datatilsynet og Justitsministeriets departement Dette er bla
henset til Datatilsynets funktionelle uafhaeligngighed i forhold til Justitsministeriet samt tilsynets spe-
cielle kompetence og rolle i forhold til databeskyttelsesforordningen Som et andet eksempel kan
naeligvnes Ankestyrelsens relation til (paring nuvaeligrende tidspunkt) Oslashkonomi- og Indenrigsministeriets
departement Her kan bla peges paring maeligngden og karakteren af data som behandles i Ankesty-
relsen samt styrelsens faglige uafhaeligngighed af departementet
Organisatoriske aeligndringer kan ogsaring bevirke at det i visse situationer ndash af praktiske aringrsager ndash
kan vaeligre mere oplagt for en underordnet myndighed at have sin egen databeskyttelsesraringdgiver
fremfor at dele med sit departement Hvis en underordnet myndighed saringledes har sin egen data-
beskyttelsesraringdgiver kan denne blot fortsaeligtte under samme kontrakt vilkaringr mv uanset at en
Vejledning om databeskyttelsesraringdgivere
19
myndighed efter eksempelvis et regeringsskifte organisatorisk placeres under et andet ministe-
rium
Eksempel - Selvejende institutioner
I det omfang selvejende institutioner kan anses for en offentlig myndighed eller et organ vil disse
myndigheder ogsaring have mulighed for at udpege en faeliglles databeskyttelsesraringdgiver med en an-
den selvejende institution omfattet af samme lovgivning eller feks den kommune som institutio-
nen har driftsoverenskomst med i det omfang kommunen yder sekretariatsbistand til institutio-
nen
44 Opsummering
Alle offentlige myndigheder og organer skal udpege en databeskyttelsesraringdgiver
fra den 25 maj 2018
Det er i hoslashj grad muligt at udpege en faeliglles databeskyttelsesraringdgiver der funge-
rer paring vegne af flere myndigheder paring eacuten gang
Muligheden for at have en faeliglles databeskyttelsesraringdgiver begraelignses af at
denne skal kunne leve op til sine forpligtelser efter databeskyttelsesforordningen
Databeskyttelsesraringdgiveren kan understoslashttes af en enhed for at kunne udfoslashre sit
hverv i overensstemmelse med forordningens krav Dette gaeliglder uanset om da-
tabeskyttelsesraringdgiveren fungerer for eacuten myndighed eller for flere myndigheder
og organer
Vejledning om databeskyttelsesraringdgivere
20
5 Databeskyttelsesraringdgiveren
51 Krav til faglige kvalifikationer
En databeskyttelsesraringdgiver skal udpeges paring baggrund af sine faglige kvalifikationer Dette
gaeliglder navnlig evnen til at udfoslashre sine opgaver som databeskyttelsesraringdgiver og ekspertise in-
den for databeskyttelsesret- og praksis
Der er ikke krav om at en databeskyttelsesraringdgiver skal have en bestemt uddannelsesmaeligssig
baggrund feks som jurist
Dermed er det op til den enkelte organisation at vurdere hvem der er bedst egnet til at varetage
stillingen som databeskyttelsesraringdgiver
Kravene til stillingen afhaelignger til en vis grad af kompleksiteten af den behandling af personop-
lysninger som den paringgaeligldende organisation foretager Dermed kan der for nogen organisatio-
ner vaeligre behov for at ansaeligtte en databeskyttelsesraringdgiver med stor erfaring inden for feltet og
i andre tilfaeliglde kan en eksisterende medarbejder paring baggrund af diverse kurser varetage funkti-
onen
Hvis der udpeges en databeskyttelsesraringdgiver fra egen organisation kan det med fordel vaeligre
en person som i forvejen har et vist kendskab til eller indsigt i haringndtering af databeskyttelses-
retlige sposlashrgsmaringl i organisationen
52 Hvem kan vaeligre databeskyttelsesraringdgiver
Som udgangspunkt kan alle som organisationen finder kvalificeret til at vaeligre databeskyttelses-
raringdgiver varetage funktionen
Foslashlgende kan derfor vaeligre databeskyttelsesraringdgivere
En intern medarbejder
En faeliglles databeskyttelsesraringdgiver for hele eller flere organisationer
En ekstern databeskyttelsesraringdgiver
Intern medarbejder
En organisation kan vaeliglge at udpege en eksisterende medarbejder som databeskyttelsesraringdgi-
ver
Det er ikke et krav at den medarbejder der varetager funktionen som databeskyttelsesraringdgiver
udoslashver sin funktion paring fuld tid
Vejledning om databeskyttelsesraringdgivere
21
Dermed kan en intern medarbejder der varetager funktionen som databeskyttelsesraringdgiver ud-
foslashre andre opgaver og have andre pligter i organisationen
Saringledes kan en medarbejder der feks arbejder i IT-sektionen i en organisation godt varetage
funktionen som databeskyttelsesraringdgiver paring deltid eller 10 timer om ugen alt efter behovet i
den enkelte organisation
Det afgoslashrende er at den paringgaeligldende medarbejder fyldestgoslashrende kan udoslashve sit erhverv som
databeskyttelsesraringdgiver i organisationen
Den person der udpeges kan med fordel vaeligre en person som i forvejen har et vist kendskab
til eller indsigt i haringndtering af databeskyttelsesretlige sposlashrgsmaringl i organisationen
Selve vurderingen af hvor meget tid en medarbejder skal bruge paring fyldestgoslashrende at kunne ef-
terleve kravene til en databeskyttelsesraringdgiver i organisationen afhaelignger af en konkret vurde-
ring af behovet hos organisationen
Interne ansatte der ikke kan vaeligre databeskyttelsesraringdgiver
En databeskyttelsesraringdgiver skal baringde vaeligre uafhaeligngig og vaeligre i stand til at udoslashve uvildig raringd-
givning til organisationen
Derfor kan en databeskyttelsesraringdgiver ikke vaeligre den oslashverste IT-ansvarlige eller oslashverste HR-
ansvarlige i en organisation
Eksempel ndash virksomhed med faring ansatte
Virksomheder med faring ansatte herunder feks enkeltmandsvirksomheder vil have svaeligrt ved at
opfylde betingelsen om at en databeskyttelsesraringdgiver ikke kan vaeligre oslashverste IT-ansvarlige eller
oslashverste HR-ansvarlige i en organisation (forudsat at virksomheden i oslashvrigt opfylder betingelserne
for hvornaringr private skal udpege en databeskyttelsesraringdgiver jf naeligrmere om privates forpligtelse
under punkt 3) I en saringdan situation kan virksomheden enten benytte sig af muligheden for at
udpege en faeliglles databeskyttelsesraringdgiver eller anvende en konsulent til opgaven
Databeskyttelsesraringdgiverenhed
Der kan ogsaring udpeges eacuten databeskyttelsesraringdgiver for den paringgaeligldende organisation som un-
derstoslashttes af en enhed saring den paringgaeligldende kan leve op til sine forpligtelser efter forordningen jf
den ovenfor beskrevne ordning for politiet
Faeliglles databeskyttelsesraringdgiver
Saringvel private som offentlige myndigheder kan udpege en faeliglles databeskyttelsesraringdgiver af-
haeligngig af deres struktur og stoslashrrelse
Medarbejdere som ikke har det oslashverste ansvar kan vaeligre databe-
skyttelsesraringdgivere Det betyder at ledende IT-medarbejdere
compliance-officerer eller en it-sikkerheds koordinator mv kan
udoslashve funktionen som databeskyttelsesraringdgiver i organisationen
Vejledning om databeskyttelsesraringdgivere
22
Ekstern medarbejder
Man kan ogsaring vaeliglge at udpege en ekstern databeskyttelsesraringdgiver Dette kan enten vaeligre en
raringdgiver (konsulentvirksomhed) saringsom en bestemt advokat eller revisor eller andre kvalifice-
rede eksterne parter Udoslashvelsen af hvervet som databeskyttelsesraringdgiver vil dog i sagens natur
alene kunne udoslashves i det omfang dette er foreneligt med eventuelle regler ndash herunder etiske
krav ndash for den relevante type af raringdgivervirksomhed mv
53 Databeskyttelsesraringdgiverens opgaver
Databeskyttelsesraringdgiveren funktion bestaringr i at raringdgive den dataansvarlige og hjaeliglpe med at
organisationen efterlever de databeskyttelsesretlige regler
En databeskyttelsesraringdgiver skal desuden prioritere sine opgaver og fokusere paring de behandlin-
ger af personoplysninger i den paringgaeligldende organisation som konkret indebaeligrer en hoslashjere ri-
siko for brud paring de databeskyttelsesretlige regler Dog skal oslashvrige databeskyttelsesretlige omraring-
der som indebaeligrer en lavere grad af risiko ikke undlades
Der er en raeligkke opgaver som databeskyttelsesraringdgiveren som minimum skal varetage Der er
dog ikke noget til hinder for at der overlades flere opgaver til databeskyttelsesraringdgiveren Da-
tabeskyttelsesraringdgiverens rolle som central raringdgivningsfigur i organisationen samt dennes op-
gaver kan med fordel beskrives naeligrmere i en (ansaeligttelses)aftale
Nedenfor foslashlger en naeligrmere beskrivelse af de opgaver som databeskyttelsesraringdgiveren som
minimum skal varetage i en organisation
Underrette og raringdgive organisationen og de ansatte om databeskyttelse
Det indebaeligrer
Konkret raringdgivning om beskyttelse af personoplysninger i organisationen samt
overvejelser og beslutninger om hvordan compliance sikres mv feks i forbin-
delse med foslashlgende
Organisationens indkoslashb af nyt IT-system
kravsspecifikationer til leverandoslashrer
udarbejdelse af organisationens data-politikker
ivaeligrksaeligttelse af behandling af personoplysninger
overvejelser om hvorvidt en given behandling af personoplysninger over-
holder de generelle behandlingsregler
Staring til raringdighed for ansatte samt ledelsen i organisationen vedroslashrende sposlashrgsmaringl
om databeskyttelse
Vejledning om databeskyttelsesraringdgivere
23
Raringdgivning i forbindelse med udarbejdelse af organisationens konsekvensanaly-
ser jf afsnit 3 nedenfor
Modtage underretning om og raringdgive organisationen i forbindelse med brud paring
persondatasikkerheden
Overvaringge overholdelsen af de databeskyttelsesretlige regler i organisationen
Det indebaeligrer bla ogsaring at overvaringge
organisationens politikker om databeskyttelse
uddannelse af personale i databeskyttelse
oplysningskampagner
fordeling af ansvar
revisioner
Det skal hertil bemaeligrkes at databeskyttelsesraringdgiverens opgave med at overvaringge overholdel-
sen af de databeskyttelsesretlige regler i organisationen ikke medfoslashrer at raringdgiveren overtager
selve ansvaret for at behandlingen af personoplysninger sker i overensstemmelse med reg-
lerne Dette ansvar ligger fortsat hos den dataansvarlige
Raringdgivning i forbindelse med udarbejdelse af organisationens konsekvensanalyser
I visse tilfaeliglde skal organisationer udarbejde en konsekvensanalyse af en planlagt behandling
af personoplysninger
I de tilfaeliglde hvor en organisation har udpeget en databeskyttelsesraringdgiver skal denne raringdfoslash-
res naringr der foretages en konsekvensanalyse
Herudover skal databeskyttelsesraringdgiveren raringdgive med hensyn til konsekvensanalysen naringr
der anmodes herom
Som led i overvaringgningsopgaven kan databeskyttel-
sesraringdgiveren foretage foslashlgende
indsamle oplysninger til at identificere
behandlingsaktiviteter
informere raringdgive og komme med an-
befalinger til den dataansvarlige og da-
tabehandleren
Vejledning om databeskyttelsesraringdgivere
24
I tilfaeliglde af uenighed mellem organisationen og databeskyttelsesraringdgiveren anbefales det at
det specifikt fremgaringr af selve konsekvensanalysen hvorfor databeskyttelsesraringdgiverens indstil-
ling ikke er blevet fulgt
Samarbejde med Datatilsynet paring vegne af organisationen
En organisation er forpligtet til at hoslashre Datatilsynet inden behandling hvis en konsekvensana-
lyse vedroslashrende databeskyttelse viser at behandlingen af personoplysninger vil foslashre til hoslashj ri-
siko i mangel af foranstaltninger truffet af organisation for at begraelignse risikoen
Det foslashlger af forordningen at databeskyttelsesraringdgiveren skal samarbejde med tilsynsmyndig-
heden og fungere som tilsynsmyndighedens kontaktperson Det kan feks vaeligre databeskyttel-
sesraringdgiveren der paring vegne af den dataansvarlige hoslashrer tilsynsmyndigheden
Vaeligre kontaktpunkt for tilsynsmyndigheden (Datatilsynet) angaringende alle sposlashrgsmaringl om behand-
ling af personoplysninger for de personer der behandles oplysninger om
Databeskyttelsesraringdgiveren skal inddrages af den dataansvarlige i tilfaeliglde af at konkrete kla-
gesager indbringes for Datatilsynet Databeskyttelsesraringdgiveren boslashr ligeledes orienteres naringr
Datatilsynet beslutter at gennemfoslashre et eventuelt tilsyn af den dataansvarlige
Herudover skal databeskyttelsesraringdgiveren ogsaring vaeligre i stand til at vejlede den person der be-
handles personoplysninger om Det betyder at databeskyttelsesraringdgiveren skal vaeligre i stand til
at vejlede om hvilke rettigheder den paringgaeligldende har og hvordan de kan udnyttes
Det indebaeligrer endvidere at den dataansvarlige skal give meddelelse om kontaktoplysninger paring
databeskyttelsesraringdgiveren
Det anbefales i oslashvrigt at organisationen i en funktionsbeskrivelse klart definerer hvilke opgaver
der paringhviler databeskyttelsesraringdgiveren En funktionsbeskrivelse vil goslashre det tydeligt hvornaringr
Raringdgivning i forhold til konsekvensanalyser kan bla indebaeligre raringdgiv-
ning vedroslashrende
om der skal gennemfoslashres en konsekvensanalyse
hvilken fremgangsmaringde der skal anvendes ved gennemfoslash-
relse af konsekvensanalysen
om konsekvensanalysen kan gennemfoslashres internt eller om
gennemfoslashrelsen kraeligver antagelse af ekstern bistand
hvilke sikkerhedsforanstaltninger (tekniske og organisatori-
ske) som skal anvendes for at begraelignse risici i forhold til
de registreredes rettigheder og interesser
om konsekvensanalysen er korrekt gennemfoslashrt og om
dens konklusioner er i overensstemmelse med de databe-
skyttelsesretlige regler
Vejledning om databeskyttelsesraringdgivere
25
den paringgaeligldende virker som databeskyttelsesraringdgiver og i denne egenskab ikke kan instrueres
Det vil samtidig blive tydeligt hvornaringr den paringgaeligldende udfoslashrer andre opgaver i sit ordinaeligre an-
saeligttelsesforhold i organisationen
54 Krav til organisationen ndash rettidig og tilstraeligkkelig inddragelse af databeskyt-
telsesraringdgiveren
En organisation skal sikre at databeskyttelsesraringdgiveren inddrages tilstraeligkkeligt og rettidigt i
alle sposlashrgsmaringl vedroslashrende beskyttelse af personoplysninger En saringdan inddragelse boslashr ogsaring
ske paring oslashverste ledelsesmaeligssige niveau (feks ved deltagelse paring direktions- og ledelsesmoslashder)
Det anbefales at organisationen implementerer procedurer som sikrer dette
I hvilke tilfaeliglde skal databeskyttelsesraringdgiveren inddrages
Databeskyttelsesraringdgiveren skal inddrages i alle de overvejelser og vurderinger som organisa-
tionen goslashr sig for at overholde kravene i databeskyttelsesforordningen databeskyttelsesloven
og oslashvrige regler for behandling af personoplysninger
Eksempel paring sposlashrgsmaringl hvor databeskyttelsesraringdgiveren boslashr inddrages
ved overvejelser og beslutninger om hvordan organisationens compliance med
databeskyttelsesreglerne sikres
ved overvejelser i forbindelse med datasikkerhed herunder databeskyttelse gen-
nem design og standardindstillinger og
ved udarbejdelse af konsekvensanalyser
Saringfremt databeskyttelsesraringdgiveren udpeges foslashr den 25 maj 2018 kan denne inddrages i or-
ganisationens implementering af de krav der foslashlger af forordningen
Eksempel paring sposlashrgsmaringl hvor databeskyttelsesraringdgiveren ikke
skal inddrages
Konkrete vurderinger ift registreredes rettigheder
feks anmodning paring indsigt ret til at blive glemt
mv
Deltagelse i mindre praktiske eller almindelige
driftsopgaver eller driftsmaeligssige sposlashrgsmaringl knyt-
tet til opsaeligtning af it-systemer
Udarbejdelse af konkrete databehandleraftaler
Behandling af personoplysninger der finder sted i
overensstemmelse med interne regler som den da-
taansvarlige har fastsat forudsat at disse regler er
fastsat under inddragelse af databeskyttelsesraringdgi-
veren
Vejledning om databeskyttelsesraringdgivere
26
Hvordan skal databeskyttelsesraringdgiveren inddrages
For at sikre at databeskyttelsesraringdgiveren inddrages tilstraeligkkeligt og rettidigt er organisationen
forpligtet til at holde databeskyttelsesraringdgiveren tilstraeligkkeligt og rettidigt orienteret om alle
sposlashrgsmaringl om beskyttelse af personoplysninger
Som tommelfingerregel skal databeskyttelsesraringdgiveren have mulighed for at vurdere overhol-
delsen af de databeskyttelsesretlige regler og komme med bemaeligrkninger eller lignende inden
en behandling af personoplysninger igangsaeligttes
Hvornaringr er inddragelsen rettidig
Databeskyttelsesraringdgiveren skal inddrages i saring god tid som det er muligt forud for ivaeligrksaeligttel-
sen af behandling af personoplysninger
Det er afgoslashrende at databeskyttelsesraringdgiveren inddrages i tide til at kunne foretage en reel
vurdering af om den paringtaelignkte behandling af personoplysninger er i overensstemmelse med de
databeskyttelsesretlige regler og dermed kan komme med kvalificerede bemaeligrkninger herom
med henblik paring at raringdgive organisationen
Eksempler paring rettidig inddragelse
Inddrages forud for beslutning om noslashdvendige
foranstaltninger i IT-systemer for at efterleve kra-
vene om databeskyttelse gennem design og stan-
dardindstillinger
Inddrages forud for udstedelse af retningslinjer og
procedurer for hvordan de databeskyttelsesret-
lige regler skal overholdes i organisationen
Inddragelse foslashr offentliggoslashrelse af udbudsmateri-
ale i en udbudsproces eller lignende
Eksempler paring ikke-rettidig inddragelse
Inddragelse af databeskyttelsesraringdgiveren efter
et nyt IT-system er faeligrdigudviklet
Inddragelse af databeskyttelsesraringdgiveren efter
indkoslashb af IT-systemer (dermed ikke en del af
overvejelserne vedr kravspecifikation og databe-
skyttelse gennem design og standardindstillin-
ger)
Inddragelse af databeskyttelsesraringdgiveren efter
at en konsekvensanalyse er udarbejdet
Inddragelse af databeskyttelsesraringdgiveren efter
stoslashrre aeligndringer i organisationens procedurer
der vedroslashrer databeskyttelse saringsom haringndtering
af anmodninger fra registrerede personer
Vejledning om databeskyttelsesraringdgivere
27
Behandlingsaktiviteter igangsat foslashr en databeskyttelsesraringdgiver udpeges
Naringr en organisation udpeger en databeskyttelsesraringdgiver vil der selvsagt vaeligre behandlinger af
personoplysninger der allerede er igangsat i organisationen
Databeskyttelsesraringdgiveren boslashr ved udpegelsen primaeligrt have fokus paring de fremadrettede com-
pliance aktiviteter Derudover kan databeskyttelsesraringdgiveren ndash ud fra en risikovurdering i for-
hold til de behandlinger som konkret indebaeligrer hoslashjere risiko ndash inddrages i organisationens
overvejelser om hvorvidt de igangvaeligrende aktiviteter overholder de databeskyttelsesretlige
regler
Hvornaringr er inddragelsen tilstraeligkkelig
Der skal ske en reel inddragelse af databeskyttelsesraringdgiveren i organisationens overvejelser
og beslutninger vedroslashrende databeskyttelse
Det indebaeligrer at organisationen skal inddrage og tage hoslashjde for databeskyttelsesraringdgiverens
bemaeligrkninger og raringdgivning i oslashvrigt samt dennes rapportering til oslashverste ledelsesniveau om
overholdelse af de databeskyttelsesretlige regler
Saringfremt databeskyttelsesraringdgiverens raringdgivning ikke foslashlges anbefales det at organisationen
dokumenterer dette i overensstemmelse med kravet om accountability
Ressourcer og adgang
Ressourcer
For at databeskyttelsesraringdgiveren rent faktisk kan udfoslashre sine opgaver er det noslashdvendigt at
organisationens tilvejebringer de noslashdvendige ressourcer til stoslashtte for databeskyttelsesraringdgive-
ren
Det er endvidere et krav at organisationen tilvejebringer de fornoslashdne ressourcer for at databe-
skyttelsesraringdgiveren kan opretholde sin ekspertise inden for omraringdet
Fastsaeligttelsen af de fornoslashdne ressourcer beror paring en konkret vurdering som afhaelignger af de
organisatoriske forhold i organisationen saringsom stoslashrrelsen antallet af behandlingsaktiviteter
kompleksiteten af behandlingen af personoplysninger samt de forbundne risici
Jo stoslashrre en organisation er des stoslashrre er behovet for ressourcer til stoslashtte for databeskyttelses-
raringdgiveren
Selve behovet for ressourcer beror paring en konkret vurde-
ring som organisationen er ansvarlig for at foretage
Som eksempler paring fornoslashdne ressourcer kan naeligvnes
Faciliteter og arbejdsredskaber
Oslashkonomiske ressourcer
Personaleressourcer og lignende
Vejledning om databeskyttelsesraringdgivere
28
Adgang
Databeskyttelsesraringdgiveren skal ogsaring have adgang til organisationens personoplysninger og
den behandling af disse som organisationen foretager
Der skal vaeligre tale om en vid adgang som kan tilvejebringes efter behov
Uafhaeligngighed
Det er et grundlaeligggende krav at en databeskyttelsesraringdgiver ikke maring blive instrueret af andre
om hvordan raringdgiveren skal udfoslashre sine opgaver Der gaeliglder saringledes foslashlgende for databeskyt-
telsesraringdgiveren
Maring ikke som led i sin funktion som databeskyttelsesraringdgiver modtage instruks om
hvordan denne skal udfoslashre sine opgaver (eller feks om en bestemt vurdering el-
ler fortolkning af forordningen)
Maring ikke afskediges eller sanktioneres for at udfoslashre sine opgaver
Rapporterer direkte til oslashverste ledelsesniveau
Databeskyttelsesraringdgiverens interne reaktionsmuligheder er i praksis taeligt forbundne med at
ovenstaringende krav til uafhaeligngighed efterleves Idet en databeskyttelsesraringdgiver ikke har instruk-
tionsbefoslashjelser over for andre dele af den dataansvarliges organisation er det i praksis mulighe-
den for at kunne rapportere direkte til oslashverste ledelsesniveau der er raringdgiverens interne virke-
middel overfor konstaterede brud paring forordningen
Hvor det oslashverste ledelsesniveau er afhaelignger af organiseringen hos den konkrete dataansvarlige
eller databehandleren
I forhold til det private erhvervsliv fremgaringr det af selskabsloven at det er bestyrelsen der er det
centrale eller oslashverste ledelsesorgan i selskaber der baringde har en bestyrelse og en direktion Naringr
der i databeskyttelsesforordningen henvises til det oslashverste ledelsesniveau maring det i det private
forstarings i relation til den daglige drift og dermed direktionen saringfremt selskabet har baringde en besty-
relse og en direktion Det vil i praksis betyde at direktionen skal orientere bestyrelsen om vaelig-
sentlige forhold som paringpeges af databeskyttelsesraringdgiveren
For statslige myndigheder maring den oslashverste ledelse forstarings som den oslashverste administrative le-
delse
For saring vidt angaringr kommuner og regioner gaeliglder at databeskyttelsesraringdgiveren rapporterer di-
rekte til kommunalbestyrelsen henholdsvis regionsraringdet Denne rapportering forelaeliggges for kom-
munalbestyrelsen henholdsvis regionsraringdet uden den forudgaringende udvalgsbehandling som de
kommunale og regionale sager ellers normalt skal undergives Dette udelukker dog ikke at en
kommune kan indhente en erklaeligring fra oslashkonomiudvalget forinden forelaeligggelse for kommunal-
bestyrelsen
55 Beskyttelse af databeskyttelsesraringdgiveren
Funktionen som databeskyttelsesraringdgiver er beskyttet ved et forbud mod at kunne blive afskedi-
get for udfoslashrelse af opgaverne som databeskyttelsesraringdgiver
Vejledning om databeskyttelsesraringdgivere
29
Usaglig afskedigelse af en databeskyttelsesraringdgiver er sanktioneret med en boslashde
Databeskyttelsesraringdgiveren vil kunne afskediges paring et sagligt grundlag efter almindelige ansaeligt-
telsesretlige regler
56 Opsummering
En databeskyttelsesraringdgiver udpeges paring baggrund af sine faglige kvalifikationer
Databeskyttelsesraringdgiveren kan baringde vaeligre en intern medarbejder en faeliglles da-
tabeskyttelsesraringdgiver for hele eller flere organisationer eller en ekstern databe-
skyttelsesraringdgiver
Databeskyttelsesraringdgiveren har en raeligkke opgaver denne som minimum skal va-
retage Derudover anbefales det at man klart definerer hvilke opgaver der paringhvi-
ler databeskyttelsesraringdgiveren
En organisation skal rettidig og tilstraeligkkelig inddrage databeskyttelsesraringdgiveren
i alle sposlashrgsmaringl vedroslashrende beskyttelse af personoplysninger
Databeskyttelsesraringdgiveren nyder en saeligrlig beskyttelse mod usaglig afskedi-
gelse og kan ikke afskediges eller sanktioneres for at udfoslashre sine opgaver som
Databeskyttelsesraringdgiver
Dato
20 december 2017
Justitsministeriet
Slotsholmsgade 10
1216 Koslashbenhavn K
Telefon
72 26 84 00
jmjmdk
Eksempler paring tilfaeliglde hvor en databeskyttelsesraringd-
giver kan afskediges
Ikke udfoslashrer sine arbejdsopgaver
Misligholder ansaeligttelsesforholdet
Samarbejdsvanskeligheder
Vejledning om databeskyttelsesraringdgivere
30
ISBN
978-88-98564-35-7
Foto
Scanpix
Vejledning om databeskyttelsesraringdgivere
3
1 Forord
Denne vejledning har til formaringl at redegoslashre for kravene i forordningen til at udpege en databe-
skyttelsesraringdgiver dennes opgaver kvalifikationer stilling og inddragelse
Databeskyttelsesforordningen og databeskyttelsesloven finder anvendelse i Danmark og resten
af EU fra den 25 maj 2018 Forordningen stiller blandt andet krav om at offentlige myndigheder
og organer er forpligtede til at udpege en databeskyttelsesraringdgiver Private er derimod kun i faring
tilfaeliglde forpligtet til at udpege en databeskyttelsesraringdgiver
I det omfang en organisation er forpligtet til at udpege en databeskyttelsesraringdgiver skal dette
senest ske fra den 25 maj 2018
Afsnit 2 omhandler en beskrivelse af databeskyttelsesraringdgiveren
Afsnit 3 omhandler hvornaringr private er forpligtet til at udpege en databeskyttelsesraringdgiver mu-
ligheden for at udpege en faeliglles databeskyttelsesraringdgiver og frivillig udnaeligvnelse af en databe-
skyttelsesraringdgiver
Afsnit 4 omhandler offentlige myndigheder og organers forpligtelse til at udpege en databeskyt-
telsesraringdgiver og muligheden for at udpege en faeliglles databeskyttelsesraringdgiver
Afsnit 5 omhandler selve funktionen som databeskyttelsesraringdgiver herunder kravene til dennes
faglige kvalifikationer stilling opgaver og inddragelse i organisationen
11 Databeskyttelsesraringdgivere ndash oslashget fokus paring ansvarlighed (rdquoaccountabilityrdquo)
Forpligtelsen til at skulle udpege en databeskyttelsesraringdgiver kan ses som et element i databe-
skyttelsesforordningens fokus paring ansvarlighed naringr det kommer til efterlevelse af databeskyttel-
sesreglerne
Alle dataansvarlige skal saringledes uanset om de er underlagt forpligtelsen til at udpege en data-
beskyttelsesraringdgiver eller ej efterleve kravene i forordningens artikel 24 der generelt fastlaeliggger
den dataansvarliges forpligtelser
Endvidere er det en forudsaeligtning for at kunne overholde de grundlaeligggende principper om be-
handling af personoplysninger i forordningens artikel 5 at alle dataansvarlige og databehandlere
har et overblik over hvilke personoplysninger der behandles og hvordan disse behandles i orga-
nisationen
Som foslashlge af princippet om ansvarlighed boslashr alle organisationer baringde private og offentlige data-
ansvarlige og databehandlere uanset om de er forpligtede til at udpege en databeskyttelsesraringd-
giver derfor tage stilling til hvor i organisationen ansvaret for og haringndteringen af databeskyttel-
sessposlashrgsmaringl boslashr ligge
Vejledning om databeskyttelsesraringdgivere
4
Der kan i den forbindelse henvises til Datatilsynets vejledning om forberedelse forud for EUrsquos
databeskyttelsesforordning som er tilgaeligngelig paring tilsynets hjemmeside wwwdatatilsynetdk
Der kan ligeledes henvises til en oversigt over de oslashvrige supplerende vejledninger om databe-
skyttelsesforordningen som vil blive offentliggjort forud for at forordningen finder anvendelse
12 Andre relevante kilder
Der kan i oslashvrigt henvises til Artikel 29-gruppens udtalelser herunder om databeskyttelsesraringdgi-
verehttpeceuropaeuinformation_societynewsroomimagedocument2016-
51wp243_en_40855pdf Artikel 29-gruppen er raringdgivende og uafhaeligngig og bestaringr af en repraelig-
sentant fra hvert af medlemsstaternes tilsynsmyndighed
Vejledning om databeskyttelsesraringdgivere
5
2 Hvad er en databeskyttelsesraringdgiver
En databeskyttelsesraringdgiver er en raringdgiverfunktion i en organisation der skal inddrages i alle
sposlashrgsmaringl om databeskyttelse og raringdgive om de databeskyttelsesretlige regler
Databeskyttelsesraringdgiverens funktion er at understoslashtte at den dataansvarlige overholder reg-
lerne i databeskyttelsesforordningen Databeskyttelsesraringdgiveren er en integreret del af den da-
taansvarliges organisation der efter omstaeligndighederne kan have andre opgaver for den data-
ansvarlige Databeskyttelsesraringdgiveren er altsaring ikke en del af Datatilsynet og fungerer heller
ikke som tilsynets repraeligsentant
Databeskyttelsesraringdgiveren har dog en saeligrlig stilling i forhold til Datatilsynet idet databeskyttel-
sesraringdgiveren er kontaktled til og skal samarbejde med Datatilsynet Databeskyttelsesraringdgive-
ren kan paring den maringde bla vaeligre opdateret om og tage bestik af nye afgoslashrelser vejledninger mv
Forpligtelsen til i visse tilfaeliglde at skulle udpege en databeskyttelsesraringdgiver er et element i da-
tabeskyttelsesforordningens fokus paring ansvarlighed naringr det kommer til at overholde databeskyt-
telsesreglerne
21 Relationen mellem den dataansvarlige og databeskyttelsesraringdgiveren
Det er den dataansvarlige der har ansvaret for at sikre at databeskyttelsesforordningen og da-
tabeskyttelseslovens regler overholdes
Den dataansvarlige udpeger databeskyttelsesraringdgiveren Det er databeskyttelsesraringdgiverens
opgave at raringdgive den dataansvarlige om de databeskyttelsesretlige regler og raringdgiveren kan
saringledes paring bedste vis understoslashtte en god databeskyttelse hos den dataansvarlige
Den dataansvarlige skal tage hoslashjde for databeskyttelsesraringdgiverens opfattelse af en given situ-
ation men det er den dataansvarlige der skal overholde reglerne Det er saringledes ogsaring den da-
taansvarlige der i sidste ende afgoslashr til hvilke formaringl og med hvilke hjaeliglpemidler der maring foreta-
ges behandling af personoplysninger Det er ligeledes den dataansvarlige som sanktioneres
saringfremt reglerne ikke overholdes ogsaring selvom dette skyldes ukorrekt raringdgivning fra databeskyt-
telsesraringdgiverens side
Vejledning om databeskyttelsesraringdgivere
6
3 Privates forpligtelse til at udpege en
databeskyttelsesraringdgiver
I de fleste tilfaeliglde skal private ikke udpege en databeskyttelsesraringdgiver
31 Hvornaringr skal private udpege en databeskyttelsesraringdgiver
I de fleste tilfaeliglde skal den private sektor ikke udpege en databeskyttelsesraringdgiver Kun private
virksomheder der som deres kerneaktivitet behandler foslashlsomme oplysninger eller oplysninger
om strafbare forhold i et stort omfang eller foretager regelmaeligssig og systematisk overvaringgning af
personer i stort omfang er forpligtede til at udpege en databeskyttelsesraringdgiver Forpligtelsen for
private virksomheder til at udpege en databeskyttelsesraringdgiver gaeliglder baringde den dataansvarlige
og databehandleren
Det betyder at de fleste private virksomheder i Danmark der foretager rdquogaeligngsrdquo behandling af
personoplysninger herunder administration af HR-oplysninger kundeoplysninger online
bookingsystemer mv ikke er forpligtede til at udpege en databeskyttelsesraringdgiver
Konkret skal en virksomhed opfylde tre betingelser for at vaeligre forpligtet til at udpege en databe-
skyttelsesraringdgiver (se nedenfor)
Alle betingelser skal vaeligre opfyldt og en virksomhed der feks kun opfylder eacuten eller to af betin-
gelserne ud af de tre vil ikke vaeligre forpligtet til at udpege en databeskyttelsesraringdgiver
Generelt kan det bemaeligrkes om betingelserne at de knytter sig til hvilke personoplysninger man
har og hvordan disse behandles i virksomheden
Foslashlgende tre betingelser skal alle vaeligre opfyldt
1 Behandling af personoplysninger skal vaeligre
virksomhedens kerneaktivitet
2 Der skal behandles personoplysninger i et
stort omfang
3 Behandlingsaktiviteten bestaringr i regelmaeligssig
og systematisk overvaringgning af personer eller
behandlingen vedroslashrer foslashlsomme oplysnin-
ger eller oplysninger om strafbare forhold
Vejledning om databeskyttelsesraringdgivere
7
311 Betingelse nr 1 rdquokerneaktivitetrdquo
Behandling af personoplysninger skal vaeligre virksomhedens kerneaktivitet Med rdquokerneaktivitetrdquo
forstarings ikke den gaeligngse behandling af personoplysninger som de fleste virksomheder foretager
Alle virksomheder behandler saringledes personoplysninger i et vist omfang for at virksomheden kan
fungere Det drejer sig navnlig om behandling af HR-oplysninger og kundeoplysninger i forbin-
delse med kontakt salg og support mv Virksomhedens behandling af disse oplysninger er en
forudsaeligtning for at virksomheden kan udoslashve sin hovedaktivitet feks udbyde tjenesteydelser
eller saeliglge et produkt
Disse almindelige behandlinger af personoplysninger udgoslashr ikke i sig selv en rdquokerneaktivitetrdquo De
kan i stedet anses for en rdquobiaktivitetrdquo idet oplysningerne behandles for at kunne understoslashtte virk-
somhedens hovedaktivitet
Naringr en virksomhed behandler personoplysninger som en biaktivitet vil virksomheden ikke vaeligre
forpligtet til at udpege en databeskyttelsesraringdgiver
Omfattet af begrebet rdquokerneaktivitetrdquo
Behandling af personoplysninger skal vaeligre virksomhedens rdquohovedaktivitetrdquo foslashr det kan anses for
omfattet af begrebet kerneaktivitet
Eksempler paring behandling der udgoslashr rdquobiaktivitetrdquo
Kundekontakt- eller support
HR-oplysninger
Salg
Kundekartotek
Online bookingsystem
Bonuskort
Behandling af klientoplysninger (revi-sorer advokater ingenioslashrer mv)
IT-support
Eksempler paring brancher der som udgangspunkt ikke
har behandling af personoplysninger som kerneakti-
vitet
Privatskoler og doslashgninstitutioner
Forsyningsselskaber
Haringndvaeligrksfaget
Hotel- og restaurationsbranchen
Servicebranchen
Detailhandel
Vejledning om databeskyttelsesraringdgivere
8
Det betyder at virksomheder hvis produkt eller tjeneste direkte bestaringr i behandling af personop-
lysninger kan anses som kerneaktivitet Det kan feks vaeligre virksomheder der udbyder marke-
tingsundersoslashgelser som er baseret paring personoplysninger eller cloud-virksomheder naringr det in-
debaeligrer lagring af personoplysninger
Paring samme maringde kan virksomheder hvis produkt eller tjeneste er uloslashseligt forbundet med be-
handlingen af personoplysninger anses for at have behandling af personoplysninger som deres
kerneaktivitet Det kan feks vaeligre forsikringsselskaber der saeliglger forsikringer til sine kunder
bla paring baggrund af personoplysninger indsamlet om kommende og nuvaeligrende kunder Et an-
det eksempel kan vaeligre privathospitaler
Virksomheder hvis kerneaktivitet bestaringr af behandling af personoplysninger skal dog ogsaring op-
fylde de to oslashvrige betingelser inden virksomheden er forpligtet til at udpege en databeskyttelses-
raringdgiver
312 Betingelse nr 2 rdquoet stort omfangrdquo
Hvis behandlingen af personoplysninger er virksomhedens kerneaktivitet er det ogsaring en betin-
gelse at behandlingen af personoplysninger sker i rdquoet stort omfangrdquo foslashr virksomheden er forplig-
tet til at udpege en databeskyttelsesraringdgiver
Artikel 29-gruppen1 anbefaler i deres udtalelse om databeskyttelsesraringdgivere at der ved vurde-
ringen af om der er tale om en behandling af personoplysninger rdquoi et stort omfangrdquo laeliggges vaeliggt
paring fire kriterier
1 Antallet af personer der behandles oplysninger om ndash enten det specifikke antal personer
eller som andel af den relevante population (befolkningen)
1 Artikel 29-gruppens udtalelse nr 162016 om rdquoGuidelines on Data Protection Officers (rsquoDPOsrsquo)rdquo (WP 243 rev01)
Eksempler paring behandling der udgoslashr rdquokerneaktivitetrdquo
Cloud-computing
Hosting af hjemmesiderdata
Privathospitaler
Forsikringsselskaber
Reklamebureauer der udbyder marke-
tingsundersoslashgelser
Soslashgemaskiner
Tele- eller internetudbydere
Applikationermobile tjenester baseret
paring personoplysninger
Stillingsbesaeligttende virksomhed
Vejledning om databeskyttelsesraringdgivere
9
2 Volumen af personoplysninger ogeller de forskellige typer af personoplysninger der bli-
ver behandlet
3 Tidsperioden der behandles oplysninger i samt hvorvidt behandlingen er permanent
4 Den geografiske udstraeligkning af behandlingsaktiviteterne
Eksempel ndash mindre forsikringsselskab
Et mindre forsikringsselskab der feks kun udbyder sin forretning til en bestemt mindre landsdel
vil formentlig behandle et saring begraelignset omfang af oplysninger at det ikke kan anses for at vaeligre
i et stort omfang Det skyldes at der ikke behandles en stor maeligngde af personoplysninger om et
stort antal personer samt den begraelignsede geografiske udstraeligkning
I modsaeligtning hertil vil et landsdaeligkkende forsikringsselskab anses for at behandle personoplys-
ninger i et stort omfang baringde som foslashlge af maeligngden af oplysninger antallet af personer og den
geografiske udstraeligkning
Eksempel ndash laeliggepraksis
Behandling af patientdata i en laeliggepraksis med et begraelignset antal laeligger tilknyttet kan som foslashlge
af den begraelignsede maeligngde oplysninger der behandles heller ikke anses for at behandle per-
sonoplysninger i et stort omfang
Omvendt vil en stor laeliggepraksis med mange laeligger tilknyttet formentlig behandle en stor maeligngde
personoplysninger om deres patienter Her vil maeligngden af oplysninger der behandles medfoslashre
at der foretages behandling af personoplysninger i et stort omfang
I overvejelserne om fastlaeligggelse af stoslashrrelsen af en privat laeliggepraksisklinikhospital er det rele-
vant at foretage en vurdering af baringde antallet af patienter og af tilknyttede laeligger
Behandling af personoplysninger rdquoi et stort omfangrdquo kan saring-
ledes indebaeligre behandling af
en stor maeligngde af personoplysninger
oplysninger om et stort antal personer
lang varighed herunder permanent
stor geografisk udstraeligkning af behandlingsaktivite-
ter
Vejledning om databeskyttelsesraringdgivere
10
Virksomheder hvis kerneaktivitet bestaringr af behandling af personoplysninger i et stort omfang
skal dog opfylde eacuten af de to sidste betingelser inden virksomheden er forpligtet til at udpege en
databeskyttelsesraringdgiver
313 Betingelse nr 3 rdquoregelmaeligssig og systematisk overvaringgningrdquo eller rdquobehandling af
foslashlsomme oplysninger eller oplysninger om strafbare forholdrdquo
Virksomheder hvis kerneaktivitet bestaringr af behandling af personoplysninger i et stort omfang skal
enten
foretage regelmaeligssig og systematisk overvaringgning af registrerede personer
eller
behandle foslashlsomme oplysningeroplysninger om strafbare forhold
for at vaeligre forpligtede til at udpege en databeskyttelsesraringdgiver
Regelmaeligssig og systematisk overvaringgning af registrerede personer
Regelmaeligssig og systematisk overvaringgning af de registrerede omfatter en virksomheds sporringer
(tracking) eller profilering bla via internettet
Det kan bla omfatte drift af telenet eller services forbundet hermed profilering i forbindelse med
risikovurdering herunder kreditvurderinger vurdering af forsikringspraeligmie lokationstracking via
applikationer og adfaeligrdsbaseret annoncering
Eksempel ndash marketingsfima
Et marketingsfirma der foretager marketingsundersoslashgelser hvor der indgaringr personoplysninger i
et stort omfang og undersoslashgelsen er baseret paring adfaeligrdsbaseret annoncering er omfattet da de
foretager en regelmaeligssig og systematisk overvaringgning af de registrerede personer
Behandling af foslashlsomme oplysninger eller oplysninger om strafbare forhold
Oplysninger kan anses for foslashlsomme hvis de omhandler oplysninger om
Behandling i et stort omfang
Eksempler paring virksomheder der behandler
personoplysninger rdquoi et stort omfangrdquo
Privathospitaler
Stoslashrre forsikringsselskaber
Sporing via feks rejsekort
Soslashgemaskines behandling af
personoplysninger
Tele- eller internetudbydere
Vejledning om databeskyttelsesraringdgivere
11
race eller etnisk oprindelse
politisk religioslashs eller filosofisk overbevisning
fagforeningsmaeligssigt tilhoslashrsforhold
behandling af genetisk data eller biometrisk data med det formaringl entydigt at iden-
tificere en fysisk person
helbredsoplysninger
oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering
Oplysninger om strafbare forhold omfatter oplysninger om straffedomme og lovovertraeligdelser
Eksempel ndash skadesforsikringsselskaber
Skadesforsikringsselskaber kan man opdele i de selskaber der behandler foslashlsomme oplysninger
og de selskaber der ikke (eller i begraelignset omfang) behandler foslashlsomme oplysninger
For saring vidt angaringr de selskaber der ikke behandler denne type oplysninger kan naeligvnes special-
selskaber som typisk forsikrer ting (feks glasforsikring) og ikke risiko for personskader Forsik-
ringsselskaber der i begraelignset omfang jf betingelsen ovenfor behandler de omhandlede op-
lysninger vil typisk vaeligre forsikringsselskaber der tegner privatforsikringer herunder eksempelvis
indbo- og bilforsikringer eller erhvervsforsikringer for mindre virksomheder Her indhentes de
naeligvnte oplysninger i forbindelse med tegning af ulykkesforsikringer og ved behandling af per-
sonskader under ulykkesforsikringer
For saring vidt angaringr skadesforsikringsselskaber der opfylder betingelse nr 3 ndash idet de behandler
foslashlsomme oplysninger ndash kan naeligvnes specialiserede rejseforsikringsselskaber for saringvel rejsegods
som syge- og ulykkesforsikringer En betydelig del af disse selskabers forsikringer er personfor-
sikringer hvor der baringde ved tegning og ved behandlingen af personskader (ulykker og syg-
domme) indhentes foslashlsomme oplysninger Endvidere kan sygeforsikringsselskaber som daeligkker
medicin og en raeligkke andre udgifter til helbredelse naeligvnes idet der indhentes helbredsoplysnin-
ger ved optagelses- og refusionssager
Eksempel ndash HR-oplysninger
Virksomheder vil typisk behandle oplysninger om ansattes fagforeningsmaeligssige tilhoslashrsforhold
og helbredsoplysninger i forbindelse med virksomhedens HR-funktion Her er der netop tale om
foslashlsomme oplysninger men det medfoslashrer ikke i sig selv at virksomheden er forpligtet til at udpege
en databeskyttelsesraringdgiver Hertil kraeligves at behandling af personoplysninger er virksomhe-
dens kerneaktivitet og foretages i et stort omfang
Eksempler paring virksomheder der kan
opfylde alle tre betingelser
Privathospitaler
Stoslashrre forsikringssel-
skaber
Tele- eller internetud-
bydere
Marketingsfirma der
udbyder marketingsun-
dersoslashgelser
Eksempler paring virksomheder der blot op-
fylder nogle af betingelserne
Mindre privathospitaler
Mindre forsikringsselskab
Mindre laeliggepraksis
Stoslashrre virksomheder hvor
behandling af personop-
lysninger kun er en biakti-
vitet
Vejledning om databeskyttelsesraringdgivere
12
Eksempel ndash Livs- og pensionsforsikringsselskaberne
Store eller middelstore forsikringsselskaber der dels tegner livs- og pensionsforsikringer for en-
keltpersoner og dels firmapensionsordninger hvor de sikrede er en virksomheds ansatte indhen-
ter og behandler foslashlsomme oplysninger isaeligr helbredsoplysninger ved saringvel tegningindmeldelse
som ved behandlingen af tab af erhvervsevne doslashdsfald sygdom mv Henset til at behandling
af personoplysninger endvidere er disse forsikringsselskabers kerneaktivitet samt at de grundet
stoslashrrelse og geografiske udstraeligkning behandler personoplysningerne i stort omfang vil de som
udgangspunkt skulle udpege en databeskyttelsesraringdgiver
Det bemaeligrkes at det er vigtigt at have sig for oslashje at der er tale om betingelser der alle skal
vaeligre opfyldt Der skal altsaring vaeligre tale om at virksomhedens kerneaktivitet er behandling i stort
omfang af foslashlsomme oplysninger eller oplysninger om strafbart forhold Eller at virksomhedens
kerneaktivitet bestaringr af behandlingsaktiviteter i stort omfang af regelmaeligssig og systematisk over-
varinggning af personer
Virksomheder der ikke er forpligtede til at udpege en databeskyttelsesraringdgiver kan med fordel
dokumentere vurderingen saring denne kan fremvises til Datatilsynet
32 Frivillig udnaeligvnelse af en databeskyttelsesraringdgiver
Private kan under alle omstaeligndigheder frivilligt vaeliglge at udpege en databeskyttelsesraringdgiver
I de tilfaeliglde hvor der frivilligt udpeges en databeskyttelsesraringdgiver gaeliglder de samme krav til
databeskyttelsesraringdgiveren som hvis virksomheden var forpligtet til at udpege en databeskyttel-
sesraringdgiver
Det betyder at kravene til databeskyttelsesraringdgiverens opgaver kvalifikationer stilling beskyt-
telse og inddragelse skal efterleves
Vaeliglger en virksomhed derimod at udpege en medarbejder der feks er compliance-raringdgiver er
virksomheden ikke forpligtet til at efterleve forordningens krav til en databeskyttelsesraringdgiver
33 Faeliglles databeskyttelsesraringdgiver
En koncern har mulighed for at udpege en faeliglles databeskyttelsesraringdgiver for hele koncernen
forudsat at alle etableringer af koncernen har let adgang til databeskyttelsesraringdgiveren
Andre private dataansvarlige og databehandlere end koncerner har ogsaring mulighed for at udpege
en faeliglles databeskyttelsesraringdgiver Et konsulentfirma kan udoslashve funktionen som databeskyttel-
sesraringdgiver for flere dataansvarlige paring samme tid paring baggrund af tjenesteydelseskontrakter
Det er dog en forudsaeligtning for at private kan udpege en faeliglles databeskyttelsesraringdgiver at
databeskyttelsesraringdgiveren kan efterleve forordningens krav til vedkommende naringr opgaven loslash-
Vejledning om databeskyttelsesraringdgivere
13
ses for flere private paring eacuten gang Dette maring i praksis forudsaeligtte at der feks er adgang til at kom-
munikere med databeskyttelsesraringdgiveren paring et sprog som de beroslashrte medarbejdere kan forstaring
Det maring ligeledes forudsaeligtte at der er afsat saringdanne ressourcer til databeskyttelsesraringdgiveren
at det spejler omfanget af de organisationer der skal daeligkkes Der vil derfor i praksis ikke vaeligre
noget til hinder for at feks en virksomhed udpeger en faeliglles databeskyttelsesraringdgiver paring tvaeligrs
af flere stoslashrre koncernforbundne virksomheder naringr blot de ressourcer der afsaeligttes til databe-
skyttelsesraringdgiveren i form af medarbejdere rejsebudget it-understoslashttelse mv i tilstraeligkkelig om-
fang sikrer at databeskyttelsesraringdgiveren kan moslashde sine forpligtelser
34 Opsummering
Der skal rigtig meget til foslashr en privat virksomhed er forpligtet til at udpege en da-
tabeskyttelsesraringdgiver
Helt konkret skal tre betingelser der knytter sig til en virksomheds behandling af
personoplysninger alle vaeligre opfyldt foslashr der en pligt til at udpege en databeskyt-
telsesraringdgiver
Alle virksomheder boslashr foretage en konkret vurdering af om de tre betingelser er
opfyldt Er alle tre betingelser ikke opfyldt skal der ikke udpeges en databeskyt-
telsesraringdgiver
Vejledning om databeskyttelsesraringdgivere
14
4 Offentlige myndigheders forpligtelse til
at udpege en databeskyttelsesraringdgiver
Offentlige myndigheder og offentlige organer skal altid have en databeskyttelsesraringdgiver uanset
om de er dataansvarlige eller databehandlere
41 Hvornaringr skal offentlige myndigheder udpege en databeskyttelsesraringdgiver
I det omfang behandling foretages af en offentlig myndighed eller et offentligt organ skal myndig-
heden eller organet altid have en databeskyttelsesraringdgiver hvad enten de er dataansvarlige eller
databehandlere
Det betyder at der ogsaring skal udpeges en databeskyttelsesraringdgiver hvis den offentlige myndig-
hed eller organ behandler personoplysninger paring vegne af en privat eller selv outsourcer sin da-
tabehandling til en privat som ikke er forpligtet til at udpege en databeskyttelsesraringdgiver Det kan
feks vaeligre tilfaeligldet naringr offentlige myndigheder eller organer vaeliglger at overlade til en anden at
udfoslashre selve den praktiske behandling af personoplysninger paring den dataansvarliges vegne
Den eneste undtagelse hertil er domstole der ikke er forpligtede til at udpege en databeskyttel-
sesraringdgiver naringr de handler i deres egenskab af domstole
42 Hvornaringr er man en offentlig myndighed
De myndigheder der i dansk ret henregnes til den offentlige forvaltning i medfoslashr af forvaltnings-
lovens sect 1 stk 1-2 skal anses for offentlige myndigheder eller organer og er dermed forpligtede
til at udpege en databeskyttelsesraringdgiver Det fremgaringr heraf at foslashlgende virksomheder omfattes
af loven al virksomhed der udoslashves af den offentlige forvaltning og al virksomhed der udoslashves af
selvejende institutioner foreninger fonde mv der er oprettet ved lov eller i henhold til lov og
selvejende institutioner foreninger fonde mv der er oprettet paring privatretligt grundlag og som
udoslashver offentlig virksomhed af mere omfattende karakter og er undergivet intensiv offentlig regu-
lering intensivt offentlig tilsyn og intensiv offentlig kontrol
I forhold til selvejende institutioner mv oprettet paring privatretligt grundlag vil der saringledes vaeligre
nogle som omfattes af kravet om at have en databeskyttelsesraringdgiver mens andre ikke omfattes
Det vil bero paring en konkret vurdering
Selvejende institutioner mv oprettet paring privatretligt grundlag som udoslashver offentlig virksomhed
af mere omfattende karakter og er undergivet intensiv offentlig regulering intensivt offentlig tilsyn
og intensiv offentlig kontrol vil vaeligre omfattet
Det spiller endvidere ind om det offentlige har instruktionsbefoslashjelser over for institutionen om det
offentlige skal godkende institutionens vedtaeliggter og om det offentlige yder sekretariatsbistand
Vejledning om databeskyttelsesraringdgivere
15
til institutionen Herudover maring man se paring om det offentlige skal godkende institutionens regn-
skaber og om institutionens drift og virksomhed er detaljeret reguleret ved regler og retningslinjer
udstedt af det offentlige Endelig kan man tage hensyn til om det offentlige overtager institutio-
nens rettigheder og forpligtelser hvis den nedlaeliggges
Eksempler paring selvejende institutioner mv der er omfattet
- Universiteter
- Institutioner hvor kommunalbestyrelsen har indgaringet overenskomst til opfyldelse af sine forplig-
telser efter lov om social service
- Gymnasieskoler
Eksempler paring selvejende institutioner og foreninger der ikke er omfattet
- Danske Regioner og KL
- Dansk Flygtningehjaeliglp
For saring vidt angaringr statslige og kommunale institutioner der er organiseret i selskabsform feks
som aktieselskab eller interessentskab vil disse umiddelbart aldrig vaeligre omfattet Dette er ogsaring
tilfaeligldet for koncessionerede selskaber og selskaber hvori staten eller en kommune er aktionaeligr
interessent eller lignende uanset om staten eller kommunen ejer selskabet 100 Det har i den
forbindelse ingen betydning hvilke aktiviteter organet udfoslashrer ligesom det ikke i sig selv kan foslashre
til et andet resultat at selskabet maringtte vaeligre oprettet ved lov eller i henhold til lov
Dog er kommunale faeligllesskaber jf sect 60 i lov om kommunernes styrelse hvortil to eller flere
kommuner overfoslashrer opgaver til selvstaeligndig varetagelse altid offentlige myndigheder Det gaeligl-
der uanset at kommunale faeligllesskaber normalt etableres som interessentskaber Det kommu-
nale faeligllesskab er selvstaeligndigt dataansvarligt og skal udpege en databeskyttelsesraringdgiver
Eksempel paring institution der er organiseret i selskabsform der ikke er omfattet
- Staten og Kommunernes Indkoslashbs Service AS
Saringfremt der ikke er tale om en offentlig myndighed eller organ skal bedoslashmmelsen af hvorvidt
man har pligt til at udpege en databeskyttelsesraringdgiver foretages i henhold til betingelserne be-
skrevet ovenfor under punkt 3 vedroslashrende privates forpligtelse til at udpege en databeskyttel-
sesraringdgiver
43 Faeliglles databeskyttelsesraringdgiver for offentlige myndigheder
Flere myndigheder eller organer vil i mange tilfaeliglde kunne have en faeliglles databeskyttelsesraringd-
giver forudsat at det er i overensstemmelse med deres organisatoriske struktur og stoslashrrelse I
den forbindelse kan det vaeligre relevant at overveje om raringdgiveren skal fungere paring baggrund af
eacuten ansaeligttelseskontrakt for to forskellige myndigheder eller to deltidskontrakter
Herudover vil en databeskyttelsesraringdgiver kunne vaeligre ansat paring en deltidskontrakt hos eacuten myn-
dighed og ansat paring baggrund af en tjenesteydelseskontrakt i en anden myndighed eller organi-
sation
Vejledning om databeskyttelsesraringdgivere
16
Saringfremt flere myndigheder har en faeliglles databeskyttelsesraringdgiver er det dog en forudsaeligtning
at databeskyttelsesraringdgiveren kan efterleve kravene i databeskyttelsesforordningen til en data-
beskyttelsesraringdgiver herunder til dennes stilling opgaver uafhaeligngighed og tilgaeligngelighed mv
naringr denne loslashser opgaven for flere myndigheder paring eacuten gang
For saring vidt angaringr tilgaeligngelighed er der ikke et krav om fysisk tilstedevaeligrelse paring alle lokationer
saringfremt der anvendes en faeliglles databeskyttelsesraringdgiver De enkelte myndigheder har i den for-
bindelse mulighed for at aftale hvordan den fysiske tilgaeligngelighed i praksis kan loslashftes herunder
feks ved hjaeliglp af mail telefon internet mm Det er i relation til kravet om tilgaeligngelighed endvi-
dere vaeligrd at bemaeligrke at flere myndigheder som naeligvnt godt kan have en faeliglles raringdgiver men
at databeskyttelsesraringdgiveren skal kunne (naring at) varetage sin raringdgivningsopgave fyldestgoslashrende
for alle de myndigheder for hvilke den paringgaeligldende varetager opgaven som databeskyttelses-
raringdgiver Her kan det bla vaeligre relevant at se paring maeligngden af personoplysninger der behandles
i en given myndighed
I relation til uafhaeligngighedskriteriet bemaeligrkes at det kan vaeligre betaelignkeligt at lade visse myndig-
heder have en faeliglles databeskyttelsesraringdgiver jf nedenfor under afsnittet rdquoEksempel ndash Ministe-
rier og underordnede myndighederrdquo
Der henvises i oslashvrigt til afsnit 5 i denne vejledning
Det er endvidere et krav at der er eacuten der er personligt ansvarlig for hvervet som databeskyttel-
sesraringdgiver
Som foslashlge af kravet om at udpegningen af en faeliglles databeskyttelsesraringdgiver skal vaeligre i over-
ensstemmelse med myndigheden eller organets organisatoriske struktur og stoslashrrelse stilles der
krav til selve ansaeligttelsen af databeskyttelsesraringdgiveren
Den retlige graelignse for at dele en databeskyttelsesraringdgiver vil i et saringdan tilfaeliglde vaeligre de gaeligl-
dende standarder om offentlige ansattes bierhverv de almindelige habilitetsregler og muligheden
for at efterleve kravene i forordningen herunder tilstraeligkkelige ressourcer i forhold til at udfoslashre
hvervet
Vejledning om databeskyttelsesraringdgivere
17
Kommuner
Det antages ikke at vaeligre i overensstemmelse med en offentlig myndigheds struktur eller stoslashr-
relse hvis en databeskyttelsesraringdgiver fungerer paring baggrund af eacuten ansaeligttelseskontrakt i to for-
skellige kommuner Det antages derimod omvendt at vaeligre i overensstemmelse hermed saring-
fremt raringdgiveren udoslashver sin funktion paring baggrund af to deltidskontrakter i to kommuner paring
samme tid
Eksempel ndash En kommune
En kommune vil typisk vaeligre dataansvarlig for alle de behandlinger af personoplysninger som
foretages inden for den kommunale enhedsforvaltning Derfor er en kommune ikke forpligtet til at
udpege eacuten databeskyttelsesraringdgiver for de enkelte forvaltninger men vil kunne udpege eacuten data-
beskyttelsesraringdgiver for hele kommunen
Eksempel ndash organer med selvstaeligndig kompetence paring det kommunale omraringde
Det bemaeligrkes at der paring det kommunale omraringde kan vaeligre organer som ikke er en del af den
kommunale enhedsforvaltning men har selvstaeligndig kompetence paring det kommunale omraringde
feks huslejenaeligvnet ligesom der kan vaeligre kommunale organer som er en del af enhedsforvalt-
ningen der i visse henseender har en ndash i forhold til kommunalbestyrelsen ndash selvstaeligndig kompe-
tence herunder feks skoleledere
Naringr det i lovgivningen er fastsat eller forudsat at disse organer sekretariatsbetjenes af kommu-
nen og kommunen yder sekretariatsbetjening kan organerne have faeliglles databeskyttelsesraringd-
giver med kommunen og er ikke forpligtet til selvstaeligndigt at udpege en databeskyttelsesraringdgiver
ved siden af kommunens Databeskyttelsesraringdgiverens ydelser vil i den forbindelse vaeligre en del
af sekretariatsbetjeningen
Eksempel ndash Flere kommuner
Flere kommuner vil have mulighed for at dele en databeskyttelsesraringdgiver Som udgangspunkt
vurderes det at feks en gennemsnitskommune paring omkring 45000 indbyggere godt vil kunne
dele en databeskyttelsesraringdgiver med en anden tilsvarende eller en mindre kommune eller at en
lidt stoslashrre kommune vil kunne dele med en mindre kommune hvis databeskyttelsesraringdgiveren
Eksempel - Rigspolitiets databeskyttelsesenhed
Rigspolitiet har udpeget en faeliglles databeskyttelsesraringdgiver for landets 12
politikredse og Rigspolitiet for saring vidt angaringr behandlingen af personoplys-
ninger til brug for retsharingndhaeligvelsesformaringl
Den faeliglles databeskyttelsesraringdgiver understoslashttes i den forbindelse af en cen-
tral datebeskyttelsesenhed i Rigspolitiet hvor de enkelte medarbejdere be-
sidder stort kendskab til persondateretlige og forretningsmaeligssige forhold
med relevans for enhedens opgavevaretagelse Paring denne baggrund kan da-
tabeskyttelsesraringdgiveren samlet set leve op til sine forpligtelser som databe-
skyttelsesraringdgiver i medfoslashr af lov om retsharingndhaeligvende myndigheders be-
handling af personoplysninger som er lig dem der foslashlger af databeskyttel-
sesforordningen
Vejledning om databeskyttelsesraringdgivere
18
samlet set vurderes at kunne varetage opgaverne som databeskyttelsesraringdgiver Der skal saringle-
des foretages en konkret vurdering i det enkelte tilfaeliglde idet det afgoslashrende er om man som
databeskyttelsesraringdgiver kan efterleve sin funktion retmaeligssigt naringr funktionen udoslashves for flere
kommuner paring samme tid
Herudover vil to eller flere kommuner kunne oprette et kommunalt faeligllesskab til hvilket de garingr
sammen om at loslashse opgaven som databeskyttelsesraringdgiver i de deltagende kommuner
Eksempel - Regioner
En region vil typisk ogsaring vaeligre dataansvarlig for alle de behandlinger af personoplysninger der
foretages inden for regionen herunder drift af hospitaler forskning og sociale tilbud mv Hver
region vil som udgangspunkt kunne udpege eacuten databeskyttelsesraringdgiver
Eksempel - Ministerier og underordnede myndigheder
Departementer og underordnede myndigheder kan have en faeliglles databeskyttelsesraringdgiver
Dog kan der vaeligre hindringer som feks myndighedens stoslashrrelse der bevirker at man ikke kan
dele en databeskyttelsesraringdgiver Som eksempel herparing kan naeligvnes Justitsministeriet og politiet
der ikke kan have en faeliglles raringdgiver
Det skyldes at politiet anses for at vaeligre saring stor en enhed at en faeliglles databeskyttelsesraringdgiver
ikke vil kunne efterleve kravene til en databeskyttelsesraringdgiver (om bla tilgaeligngelighed) hvis
denne baringde skulle udfoslashre sin opgave for politiet som helhed og med andre myndigheder under
Justitsministeriets ressort
Dog vil politiet ndash i en ordning svarende til den ovenfor beskrevne paring retsharingndhaeligvelsesomraringdet ndash
kunne have en faeliglles databeskyttelsesraringdgiver under forordningen der udfoslashrer sin funktion for
alle politikredse
Det bemaeligrkes endvidere at forordningens krav om uafhaeligngighed skal vaeligre opfyldt for alle de
myndigheder der deler en databeskyttelsesraringdgiver
I den forbindelse ndash samt i relation til en underordnet myndigheds eventuelt saeligrlige uafhaeligngighed
ift den overordnede myndighed ndash kan der vaeligre visse situationer hvor det kan vaeligre betaelignkeligt
at lade en underordnet myndighed dele databeskyttelsesraringdgiver med et departement
Som eksempel herparing kan naeligvnes Datatilsynet og Justitsministeriets departement Dette er bla
henset til Datatilsynets funktionelle uafhaeligngighed i forhold til Justitsministeriet samt tilsynets spe-
cielle kompetence og rolle i forhold til databeskyttelsesforordningen Som et andet eksempel kan
naeligvnes Ankestyrelsens relation til (paring nuvaeligrende tidspunkt) Oslashkonomi- og Indenrigsministeriets
departement Her kan bla peges paring maeligngden og karakteren af data som behandles i Ankesty-
relsen samt styrelsens faglige uafhaeligngighed af departementet
Organisatoriske aeligndringer kan ogsaring bevirke at det i visse situationer ndash af praktiske aringrsager ndash
kan vaeligre mere oplagt for en underordnet myndighed at have sin egen databeskyttelsesraringdgiver
fremfor at dele med sit departement Hvis en underordnet myndighed saringledes har sin egen data-
beskyttelsesraringdgiver kan denne blot fortsaeligtte under samme kontrakt vilkaringr mv uanset at en
Vejledning om databeskyttelsesraringdgivere
19
myndighed efter eksempelvis et regeringsskifte organisatorisk placeres under et andet ministe-
rium
Eksempel - Selvejende institutioner
I det omfang selvejende institutioner kan anses for en offentlig myndighed eller et organ vil disse
myndigheder ogsaring have mulighed for at udpege en faeliglles databeskyttelsesraringdgiver med en an-
den selvejende institution omfattet af samme lovgivning eller feks den kommune som institutio-
nen har driftsoverenskomst med i det omfang kommunen yder sekretariatsbistand til institutio-
nen
44 Opsummering
Alle offentlige myndigheder og organer skal udpege en databeskyttelsesraringdgiver
fra den 25 maj 2018
Det er i hoslashj grad muligt at udpege en faeliglles databeskyttelsesraringdgiver der funge-
rer paring vegne af flere myndigheder paring eacuten gang
Muligheden for at have en faeliglles databeskyttelsesraringdgiver begraelignses af at
denne skal kunne leve op til sine forpligtelser efter databeskyttelsesforordningen
Databeskyttelsesraringdgiveren kan understoslashttes af en enhed for at kunne udfoslashre sit
hverv i overensstemmelse med forordningens krav Dette gaeliglder uanset om da-
tabeskyttelsesraringdgiveren fungerer for eacuten myndighed eller for flere myndigheder
og organer
Vejledning om databeskyttelsesraringdgivere
20
5 Databeskyttelsesraringdgiveren
51 Krav til faglige kvalifikationer
En databeskyttelsesraringdgiver skal udpeges paring baggrund af sine faglige kvalifikationer Dette
gaeliglder navnlig evnen til at udfoslashre sine opgaver som databeskyttelsesraringdgiver og ekspertise in-
den for databeskyttelsesret- og praksis
Der er ikke krav om at en databeskyttelsesraringdgiver skal have en bestemt uddannelsesmaeligssig
baggrund feks som jurist
Dermed er det op til den enkelte organisation at vurdere hvem der er bedst egnet til at varetage
stillingen som databeskyttelsesraringdgiver
Kravene til stillingen afhaelignger til en vis grad af kompleksiteten af den behandling af personop-
lysninger som den paringgaeligldende organisation foretager Dermed kan der for nogen organisatio-
ner vaeligre behov for at ansaeligtte en databeskyttelsesraringdgiver med stor erfaring inden for feltet og
i andre tilfaeliglde kan en eksisterende medarbejder paring baggrund af diverse kurser varetage funkti-
onen
Hvis der udpeges en databeskyttelsesraringdgiver fra egen organisation kan det med fordel vaeligre
en person som i forvejen har et vist kendskab til eller indsigt i haringndtering af databeskyttelses-
retlige sposlashrgsmaringl i organisationen
52 Hvem kan vaeligre databeskyttelsesraringdgiver
Som udgangspunkt kan alle som organisationen finder kvalificeret til at vaeligre databeskyttelses-
raringdgiver varetage funktionen
Foslashlgende kan derfor vaeligre databeskyttelsesraringdgivere
En intern medarbejder
En faeliglles databeskyttelsesraringdgiver for hele eller flere organisationer
En ekstern databeskyttelsesraringdgiver
Intern medarbejder
En organisation kan vaeliglge at udpege en eksisterende medarbejder som databeskyttelsesraringdgi-
ver
Det er ikke et krav at den medarbejder der varetager funktionen som databeskyttelsesraringdgiver
udoslashver sin funktion paring fuld tid
Vejledning om databeskyttelsesraringdgivere
21
Dermed kan en intern medarbejder der varetager funktionen som databeskyttelsesraringdgiver ud-
foslashre andre opgaver og have andre pligter i organisationen
Saringledes kan en medarbejder der feks arbejder i IT-sektionen i en organisation godt varetage
funktionen som databeskyttelsesraringdgiver paring deltid eller 10 timer om ugen alt efter behovet i
den enkelte organisation
Det afgoslashrende er at den paringgaeligldende medarbejder fyldestgoslashrende kan udoslashve sit erhverv som
databeskyttelsesraringdgiver i organisationen
Den person der udpeges kan med fordel vaeligre en person som i forvejen har et vist kendskab
til eller indsigt i haringndtering af databeskyttelsesretlige sposlashrgsmaringl i organisationen
Selve vurderingen af hvor meget tid en medarbejder skal bruge paring fyldestgoslashrende at kunne ef-
terleve kravene til en databeskyttelsesraringdgiver i organisationen afhaelignger af en konkret vurde-
ring af behovet hos organisationen
Interne ansatte der ikke kan vaeligre databeskyttelsesraringdgiver
En databeskyttelsesraringdgiver skal baringde vaeligre uafhaeligngig og vaeligre i stand til at udoslashve uvildig raringd-
givning til organisationen
Derfor kan en databeskyttelsesraringdgiver ikke vaeligre den oslashverste IT-ansvarlige eller oslashverste HR-
ansvarlige i en organisation
Eksempel ndash virksomhed med faring ansatte
Virksomheder med faring ansatte herunder feks enkeltmandsvirksomheder vil have svaeligrt ved at
opfylde betingelsen om at en databeskyttelsesraringdgiver ikke kan vaeligre oslashverste IT-ansvarlige eller
oslashverste HR-ansvarlige i en organisation (forudsat at virksomheden i oslashvrigt opfylder betingelserne
for hvornaringr private skal udpege en databeskyttelsesraringdgiver jf naeligrmere om privates forpligtelse
under punkt 3) I en saringdan situation kan virksomheden enten benytte sig af muligheden for at
udpege en faeliglles databeskyttelsesraringdgiver eller anvende en konsulent til opgaven
Databeskyttelsesraringdgiverenhed
Der kan ogsaring udpeges eacuten databeskyttelsesraringdgiver for den paringgaeligldende organisation som un-
derstoslashttes af en enhed saring den paringgaeligldende kan leve op til sine forpligtelser efter forordningen jf
den ovenfor beskrevne ordning for politiet
Faeliglles databeskyttelsesraringdgiver
Saringvel private som offentlige myndigheder kan udpege en faeliglles databeskyttelsesraringdgiver af-
haeligngig af deres struktur og stoslashrrelse
Medarbejdere som ikke har det oslashverste ansvar kan vaeligre databe-
skyttelsesraringdgivere Det betyder at ledende IT-medarbejdere
compliance-officerer eller en it-sikkerheds koordinator mv kan
udoslashve funktionen som databeskyttelsesraringdgiver i organisationen
Vejledning om databeskyttelsesraringdgivere
22
Ekstern medarbejder
Man kan ogsaring vaeliglge at udpege en ekstern databeskyttelsesraringdgiver Dette kan enten vaeligre en
raringdgiver (konsulentvirksomhed) saringsom en bestemt advokat eller revisor eller andre kvalifice-
rede eksterne parter Udoslashvelsen af hvervet som databeskyttelsesraringdgiver vil dog i sagens natur
alene kunne udoslashves i det omfang dette er foreneligt med eventuelle regler ndash herunder etiske
krav ndash for den relevante type af raringdgivervirksomhed mv
53 Databeskyttelsesraringdgiverens opgaver
Databeskyttelsesraringdgiveren funktion bestaringr i at raringdgive den dataansvarlige og hjaeliglpe med at
organisationen efterlever de databeskyttelsesretlige regler
En databeskyttelsesraringdgiver skal desuden prioritere sine opgaver og fokusere paring de behandlin-
ger af personoplysninger i den paringgaeligldende organisation som konkret indebaeligrer en hoslashjere ri-
siko for brud paring de databeskyttelsesretlige regler Dog skal oslashvrige databeskyttelsesretlige omraring-
der som indebaeligrer en lavere grad af risiko ikke undlades
Der er en raeligkke opgaver som databeskyttelsesraringdgiveren som minimum skal varetage Der er
dog ikke noget til hinder for at der overlades flere opgaver til databeskyttelsesraringdgiveren Da-
tabeskyttelsesraringdgiverens rolle som central raringdgivningsfigur i organisationen samt dennes op-
gaver kan med fordel beskrives naeligrmere i en (ansaeligttelses)aftale
Nedenfor foslashlger en naeligrmere beskrivelse af de opgaver som databeskyttelsesraringdgiveren som
minimum skal varetage i en organisation
Underrette og raringdgive organisationen og de ansatte om databeskyttelse
Det indebaeligrer
Konkret raringdgivning om beskyttelse af personoplysninger i organisationen samt
overvejelser og beslutninger om hvordan compliance sikres mv feks i forbin-
delse med foslashlgende
Organisationens indkoslashb af nyt IT-system
kravsspecifikationer til leverandoslashrer
udarbejdelse af organisationens data-politikker
ivaeligrksaeligttelse af behandling af personoplysninger
overvejelser om hvorvidt en given behandling af personoplysninger over-
holder de generelle behandlingsregler
Staring til raringdighed for ansatte samt ledelsen i organisationen vedroslashrende sposlashrgsmaringl
om databeskyttelse
Vejledning om databeskyttelsesraringdgivere
23
Raringdgivning i forbindelse med udarbejdelse af organisationens konsekvensanaly-
ser jf afsnit 3 nedenfor
Modtage underretning om og raringdgive organisationen i forbindelse med brud paring
persondatasikkerheden
Overvaringge overholdelsen af de databeskyttelsesretlige regler i organisationen
Det indebaeligrer bla ogsaring at overvaringge
organisationens politikker om databeskyttelse
uddannelse af personale i databeskyttelse
oplysningskampagner
fordeling af ansvar
revisioner
Det skal hertil bemaeligrkes at databeskyttelsesraringdgiverens opgave med at overvaringge overholdel-
sen af de databeskyttelsesretlige regler i organisationen ikke medfoslashrer at raringdgiveren overtager
selve ansvaret for at behandlingen af personoplysninger sker i overensstemmelse med reg-
lerne Dette ansvar ligger fortsat hos den dataansvarlige
Raringdgivning i forbindelse med udarbejdelse af organisationens konsekvensanalyser
I visse tilfaeliglde skal organisationer udarbejde en konsekvensanalyse af en planlagt behandling
af personoplysninger
I de tilfaeliglde hvor en organisation har udpeget en databeskyttelsesraringdgiver skal denne raringdfoslash-
res naringr der foretages en konsekvensanalyse
Herudover skal databeskyttelsesraringdgiveren raringdgive med hensyn til konsekvensanalysen naringr
der anmodes herom
Som led i overvaringgningsopgaven kan databeskyttel-
sesraringdgiveren foretage foslashlgende
indsamle oplysninger til at identificere
behandlingsaktiviteter
informere raringdgive og komme med an-
befalinger til den dataansvarlige og da-
tabehandleren
Vejledning om databeskyttelsesraringdgivere
24
I tilfaeliglde af uenighed mellem organisationen og databeskyttelsesraringdgiveren anbefales det at
det specifikt fremgaringr af selve konsekvensanalysen hvorfor databeskyttelsesraringdgiverens indstil-
ling ikke er blevet fulgt
Samarbejde med Datatilsynet paring vegne af organisationen
En organisation er forpligtet til at hoslashre Datatilsynet inden behandling hvis en konsekvensana-
lyse vedroslashrende databeskyttelse viser at behandlingen af personoplysninger vil foslashre til hoslashj ri-
siko i mangel af foranstaltninger truffet af organisation for at begraelignse risikoen
Det foslashlger af forordningen at databeskyttelsesraringdgiveren skal samarbejde med tilsynsmyndig-
heden og fungere som tilsynsmyndighedens kontaktperson Det kan feks vaeligre databeskyttel-
sesraringdgiveren der paring vegne af den dataansvarlige hoslashrer tilsynsmyndigheden
Vaeligre kontaktpunkt for tilsynsmyndigheden (Datatilsynet) angaringende alle sposlashrgsmaringl om behand-
ling af personoplysninger for de personer der behandles oplysninger om
Databeskyttelsesraringdgiveren skal inddrages af den dataansvarlige i tilfaeliglde af at konkrete kla-
gesager indbringes for Datatilsynet Databeskyttelsesraringdgiveren boslashr ligeledes orienteres naringr
Datatilsynet beslutter at gennemfoslashre et eventuelt tilsyn af den dataansvarlige
Herudover skal databeskyttelsesraringdgiveren ogsaring vaeligre i stand til at vejlede den person der be-
handles personoplysninger om Det betyder at databeskyttelsesraringdgiveren skal vaeligre i stand til
at vejlede om hvilke rettigheder den paringgaeligldende har og hvordan de kan udnyttes
Det indebaeligrer endvidere at den dataansvarlige skal give meddelelse om kontaktoplysninger paring
databeskyttelsesraringdgiveren
Det anbefales i oslashvrigt at organisationen i en funktionsbeskrivelse klart definerer hvilke opgaver
der paringhviler databeskyttelsesraringdgiveren En funktionsbeskrivelse vil goslashre det tydeligt hvornaringr
Raringdgivning i forhold til konsekvensanalyser kan bla indebaeligre raringdgiv-
ning vedroslashrende
om der skal gennemfoslashres en konsekvensanalyse
hvilken fremgangsmaringde der skal anvendes ved gennemfoslash-
relse af konsekvensanalysen
om konsekvensanalysen kan gennemfoslashres internt eller om
gennemfoslashrelsen kraeligver antagelse af ekstern bistand
hvilke sikkerhedsforanstaltninger (tekniske og organisatori-
ske) som skal anvendes for at begraelignse risici i forhold til
de registreredes rettigheder og interesser
om konsekvensanalysen er korrekt gennemfoslashrt og om
dens konklusioner er i overensstemmelse med de databe-
skyttelsesretlige regler
Vejledning om databeskyttelsesraringdgivere
25
den paringgaeligldende virker som databeskyttelsesraringdgiver og i denne egenskab ikke kan instrueres
Det vil samtidig blive tydeligt hvornaringr den paringgaeligldende udfoslashrer andre opgaver i sit ordinaeligre an-
saeligttelsesforhold i organisationen
54 Krav til organisationen ndash rettidig og tilstraeligkkelig inddragelse af databeskyt-
telsesraringdgiveren
En organisation skal sikre at databeskyttelsesraringdgiveren inddrages tilstraeligkkeligt og rettidigt i
alle sposlashrgsmaringl vedroslashrende beskyttelse af personoplysninger En saringdan inddragelse boslashr ogsaring
ske paring oslashverste ledelsesmaeligssige niveau (feks ved deltagelse paring direktions- og ledelsesmoslashder)
Det anbefales at organisationen implementerer procedurer som sikrer dette
I hvilke tilfaeliglde skal databeskyttelsesraringdgiveren inddrages
Databeskyttelsesraringdgiveren skal inddrages i alle de overvejelser og vurderinger som organisa-
tionen goslashr sig for at overholde kravene i databeskyttelsesforordningen databeskyttelsesloven
og oslashvrige regler for behandling af personoplysninger
Eksempel paring sposlashrgsmaringl hvor databeskyttelsesraringdgiveren boslashr inddrages
ved overvejelser og beslutninger om hvordan organisationens compliance med
databeskyttelsesreglerne sikres
ved overvejelser i forbindelse med datasikkerhed herunder databeskyttelse gen-
nem design og standardindstillinger og
ved udarbejdelse af konsekvensanalyser
Saringfremt databeskyttelsesraringdgiveren udpeges foslashr den 25 maj 2018 kan denne inddrages i or-
ganisationens implementering af de krav der foslashlger af forordningen
Eksempel paring sposlashrgsmaringl hvor databeskyttelsesraringdgiveren ikke
skal inddrages
Konkrete vurderinger ift registreredes rettigheder
feks anmodning paring indsigt ret til at blive glemt
mv
Deltagelse i mindre praktiske eller almindelige
driftsopgaver eller driftsmaeligssige sposlashrgsmaringl knyt-
tet til opsaeligtning af it-systemer
Udarbejdelse af konkrete databehandleraftaler
Behandling af personoplysninger der finder sted i
overensstemmelse med interne regler som den da-
taansvarlige har fastsat forudsat at disse regler er
fastsat under inddragelse af databeskyttelsesraringdgi-
veren
Vejledning om databeskyttelsesraringdgivere
26
Hvordan skal databeskyttelsesraringdgiveren inddrages
For at sikre at databeskyttelsesraringdgiveren inddrages tilstraeligkkeligt og rettidigt er organisationen
forpligtet til at holde databeskyttelsesraringdgiveren tilstraeligkkeligt og rettidigt orienteret om alle
sposlashrgsmaringl om beskyttelse af personoplysninger
Som tommelfingerregel skal databeskyttelsesraringdgiveren have mulighed for at vurdere overhol-
delsen af de databeskyttelsesretlige regler og komme med bemaeligrkninger eller lignende inden
en behandling af personoplysninger igangsaeligttes
Hvornaringr er inddragelsen rettidig
Databeskyttelsesraringdgiveren skal inddrages i saring god tid som det er muligt forud for ivaeligrksaeligttel-
sen af behandling af personoplysninger
Det er afgoslashrende at databeskyttelsesraringdgiveren inddrages i tide til at kunne foretage en reel
vurdering af om den paringtaelignkte behandling af personoplysninger er i overensstemmelse med de
databeskyttelsesretlige regler og dermed kan komme med kvalificerede bemaeligrkninger herom
med henblik paring at raringdgive organisationen
Eksempler paring rettidig inddragelse
Inddrages forud for beslutning om noslashdvendige
foranstaltninger i IT-systemer for at efterleve kra-
vene om databeskyttelse gennem design og stan-
dardindstillinger
Inddrages forud for udstedelse af retningslinjer og
procedurer for hvordan de databeskyttelsesret-
lige regler skal overholdes i organisationen
Inddragelse foslashr offentliggoslashrelse af udbudsmateri-
ale i en udbudsproces eller lignende
Eksempler paring ikke-rettidig inddragelse
Inddragelse af databeskyttelsesraringdgiveren efter
et nyt IT-system er faeligrdigudviklet
Inddragelse af databeskyttelsesraringdgiveren efter
indkoslashb af IT-systemer (dermed ikke en del af
overvejelserne vedr kravspecifikation og databe-
skyttelse gennem design og standardindstillin-
ger)
Inddragelse af databeskyttelsesraringdgiveren efter
at en konsekvensanalyse er udarbejdet
Inddragelse af databeskyttelsesraringdgiveren efter
stoslashrre aeligndringer i organisationens procedurer
der vedroslashrer databeskyttelse saringsom haringndtering
af anmodninger fra registrerede personer
Vejledning om databeskyttelsesraringdgivere
27
Behandlingsaktiviteter igangsat foslashr en databeskyttelsesraringdgiver udpeges
Naringr en organisation udpeger en databeskyttelsesraringdgiver vil der selvsagt vaeligre behandlinger af
personoplysninger der allerede er igangsat i organisationen
Databeskyttelsesraringdgiveren boslashr ved udpegelsen primaeligrt have fokus paring de fremadrettede com-
pliance aktiviteter Derudover kan databeskyttelsesraringdgiveren ndash ud fra en risikovurdering i for-
hold til de behandlinger som konkret indebaeligrer hoslashjere risiko ndash inddrages i organisationens
overvejelser om hvorvidt de igangvaeligrende aktiviteter overholder de databeskyttelsesretlige
regler
Hvornaringr er inddragelsen tilstraeligkkelig
Der skal ske en reel inddragelse af databeskyttelsesraringdgiveren i organisationens overvejelser
og beslutninger vedroslashrende databeskyttelse
Det indebaeligrer at organisationen skal inddrage og tage hoslashjde for databeskyttelsesraringdgiverens
bemaeligrkninger og raringdgivning i oslashvrigt samt dennes rapportering til oslashverste ledelsesniveau om
overholdelse af de databeskyttelsesretlige regler
Saringfremt databeskyttelsesraringdgiverens raringdgivning ikke foslashlges anbefales det at organisationen
dokumenterer dette i overensstemmelse med kravet om accountability
Ressourcer og adgang
Ressourcer
For at databeskyttelsesraringdgiveren rent faktisk kan udfoslashre sine opgaver er det noslashdvendigt at
organisationens tilvejebringer de noslashdvendige ressourcer til stoslashtte for databeskyttelsesraringdgive-
ren
Det er endvidere et krav at organisationen tilvejebringer de fornoslashdne ressourcer for at databe-
skyttelsesraringdgiveren kan opretholde sin ekspertise inden for omraringdet
Fastsaeligttelsen af de fornoslashdne ressourcer beror paring en konkret vurdering som afhaelignger af de
organisatoriske forhold i organisationen saringsom stoslashrrelsen antallet af behandlingsaktiviteter
kompleksiteten af behandlingen af personoplysninger samt de forbundne risici
Jo stoslashrre en organisation er des stoslashrre er behovet for ressourcer til stoslashtte for databeskyttelses-
raringdgiveren
Selve behovet for ressourcer beror paring en konkret vurde-
ring som organisationen er ansvarlig for at foretage
Som eksempler paring fornoslashdne ressourcer kan naeligvnes
Faciliteter og arbejdsredskaber
Oslashkonomiske ressourcer
Personaleressourcer og lignende
Vejledning om databeskyttelsesraringdgivere
28
Adgang
Databeskyttelsesraringdgiveren skal ogsaring have adgang til organisationens personoplysninger og
den behandling af disse som organisationen foretager
Der skal vaeligre tale om en vid adgang som kan tilvejebringes efter behov
Uafhaeligngighed
Det er et grundlaeligggende krav at en databeskyttelsesraringdgiver ikke maring blive instrueret af andre
om hvordan raringdgiveren skal udfoslashre sine opgaver Der gaeliglder saringledes foslashlgende for databeskyt-
telsesraringdgiveren
Maring ikke som led i sin funktion som databeskyttelsesraringdgiver modtage instruks om
hvordan denne skal udfoslashre sine opgaver (eller feks om en bestemt vurdering el-
ler fortolkning af forordningen)
Maring ikke afskediges eller sanktioneres for at udfoslashre sine opgaver
Rapporterer direkte til oslashverste ledelsesniveau
Databeskyttelsesraringdgiverens interne reaktionsmuligheder er i praksis taeligt forbundne med at
ovenstaringende krav til uafhaeligngighed efterleves Idet en databeskyttelsesraringdgiver ikke har instruk-
tionsbefoslashjelser over for andre dele af den dataansvarliges organisation er det i praksis mulighe-
den for at kunne rapportere direkte til oslashverste ledelsesniveau der er raringdgiverens interne virke-
middel overfor konstaterede brud paring forordningen
Hvor det oslashverste ledelsesniveau er afhaelignger af organiseringen hos den konkrete dataansvarlige
eller databehandleren
I forhold til det private erhvervsliv fremgaringr det af selskabsloven at det er bestyrelsen der er det
centrale eller oslashverste ledelsesorgan i selskaber der baringde har en bestyrelse og en direktion Naringr
der i databeskyttelsesforordningen henvises til det oslashverste ledelsesniveau maring det i det private
forstarings i relation til den daglige drift og dermed direktionen saringfremt selskabet har baringde en besty-
relse og en direktion Det vil i praksis betyde at direktionen skal orientere bestyrelsen om vaelig-
sentlige forhold som paringpeges af databeskyttelsesraringdgiveren
For statslige myndigheder maring den oslashverste ledelse forstarings som den oslashverste administrative le-
delse
For saring vidt angaringr kommuner og regioner gaeliglder at databeskyttelsesraringdgiveren rapporterer di-
rekte til kommunalbestyrelsen henholdsvis regionsraringdet Denne rapportering forelaeliggges for kom-
munalbestyrelsen henholdsvis regionsraringdet uden den forudgaringende udvalgsbehandling som de
kommunale og regionale sager ellers normalt skal undergives Dette udelukker dog ikke at en
kommune kan indhente en erklaeligring fra oslashkonomiudvalget forinden forelaeligggelse for kommunal-
bestyrelsen
55 Beskyttelse af databeskyttelsesraringdgiveren
Funktionen som databeskyttelsesraringdgiver er beskyttet ved et forbud mod at kunne blive afskedi-
get for udfoslashrelse af opgaverne som databeskyttelsesraringdgiver
Vejledning om databeskyttelsesraringdgivere
29
Usaglig afskedigelse af en databeskyttelsesraringdgiver er sanktioneret med en boslashde
Databeskyttelsesraringdgiveren vil kunne afskediges paring et sagligt grundlag efter almindelige ansaeligt-
telsesretlige regler
56 Opsummering
En databeskyttelsesraringdgiver udpeges paring baggrund af sine faglige kvalifikationer
Databeskyttelsesraringdgiveren kan baringde vaeligre en intern medarbejder en faeliglles da-
tabeskyttelsesraringdgiver for hele eller flere organisationer eller en ekstern databe-
skyttelsesraringdgiver
Databeskyttelsesraringdgiveren har en raeligkke opgaver denne som minimum skal va-
retage Derudover anbefales det at man klart definerer hvilke opgaver der paringhvi-
ler databeskyttelsesraringdgiveren
En organisation skal rettidig og tilstraeligkkelig inddrage databeskyttelsesraringdgiveren
i alle sposlashrgsmaringl vedroslashrende beskyttelse af personoplysninger
Databeskyttelsesraringdgiveren nyder en saeligrlig beskyttelse mod usaglig afskedi-
gelse og kan ikke afskediges eller sanktioneres for at udfoslashre sine opgaver som
Databeskyttelsesraringdgiver
Dato
20 december 2017
Justitsministeriet
Slotsholmsgade 10
1216 Koslashbenhavn K
Telefon
72 26 84 00
jmjmdk
Eksempler paring tilfaeliglde hvor en databeskyttelsesraringd-
giver kan afskediges
Ikke udfoslashrer sine arbejdsopgaver
Misligholder ansaeligttelsesforholdet
Samarbejdsvanskeligheder
Vejledning om databeskyttelsesraringdgivere
30
ISBN
978-88-98564-35-7
Foto
Scanpix
Vejledning om databeskyttelsesraringdgivere
4
Der kan i den forbindelse henvises til Datatilsynets vejledning om forberedelse forud for EUrsquos
databeskyttelsesforordning som er tilgaeligngelig paring tilsynets hjemmeside wwwdatatilsynetdk
Der kan ligeledes henvises til en oversigt over de oslashvrige supplerende vejledninger om databe-
skyttelsesforordningen som vil blive offentliggjort forud for at forordningen finder anvendelse
12 Andre relevante kilder
Der kan i oslashvrigt henvises til Artikel 29-gruppens udtalelser herunder om databeskyttelsesraringdgi-
verehttpeceuropaeuinformation_societynewsroomimagedocument2016-
51wp243_en_40855pdf Artikel 29-gruppen er raringdgivende og uafhaeligngig og bestaringr af en repraelig-
sentant fra hvert af medlemsstaternes tilsynsmyndighed
Vejledning om databeskyttelsesraringdgivere
5
2 Hvad er en databeskyttelsesraringdgiver
En databeskyttelsesraringdgiver er en raringdgiverfunktion i en organisation der skal inddrages i alle
sposlashrgsmaringl om databeskyttelse og raringdgive om de databeskyttelsesretlige regler
Databeskyttelsesraringdgiverens funktion er at understoslashtte at den dataansvarlige overholder reg-
lerne i databeskyttelsesforordningen Databeskyttelsesraringdgiveren er en integreret del af den da-
taansvarliges organisation der efter omstaeligndighederne kan have andre opgaver for den data-
ansvarlige Databeskyttelsesraringdgiveren er altsaring ikke en del af Datatilsynet og fungerer heller
ikke som tilsynets repraeligsentant
Databeskyttelsesraringdgiveren har dog en saeligrlig stilling i forhold til Datatilsynet idet databeskyttel-
sesraringdgiveren er kontaktled til og skal samarbejde med Datatilsynet Databeskyttelsesraringdgive-
ren kan paring den maringde bla vaeligre opdateret om og tage bestik af nye afgoslashrelser vejledninger mv
Forpligtelsen til i visse tilfaeliglde at skulle udpege en databeskyttelsesraringdgiver er et element i da-
tabeskyttelsesforordningens fokus paring ansvarlighed naringr det kommer til at overholde databeskyt-
telsesreglerne
21 Relationen mellem den dataansvarlige og databeskyttelsesraringdgiveren
Det er den dataansvarlige der har ansvaret for at sikre at databeskyttelsesforordningen og da-
tabeskyttelseslovens regler overholdes
Den dataansvarlige udpeger databeskyttelsesraringdgiveren Det er databeskyttelsesraringdgiverens
opgave at raringdgive den dataansvarlige om de databeskyttelsesretlige regler og raringdgiveren kan
saringledes paring bedste vis understoslashtte en god databeskyttelse hos den dataansvarlige
Den dataansvarlige skal tage hoslashjde for databeskyttelsesraringdgiverens opfattelse af en given situ-
ation men det er den dataansvarlige der skal overholde reglerne Det er saringledes ogsaring den da-
taansvarlige der i sidste ende afgoslashr til hvilke formaringl og med hvilke hjaeliglpemidler der maring foreta-
ges behandling af personoplysninger Det er ligeledes den dataansvarlige som sanktioneres
saringfremt reglerne ikke overholdes ogsaring selvom dette skyldes ukorrekt raringdgivning fra databeskyt-
telsesraringdgiverens side
Vejledning om databeskyttelsesraringdgivere
6
3 Privates forpligtelse til at udpege en
databeskyttelsesraringdgiver
I de fleste tilfaeliglde skal private ikke udpege en databeskyttelsesraringdgiver
31 Hvornaringr skal private udpege en databeskyttelsesraringdgiver
I de fleste tilfaeliglde skal den private sektor ikke udpege en databeskyttelsesraringdgiver Kun private
virksomheder der som deres kerneaktivitet behandler foslashlsomme oplysninger eller oplysninger
om strafbare forhold i et stort omfang eller foretager regelmaeligssig og systematisk overvaringgning af
personer i stort omfang er forpligtede til at udpege en databeskyttelsesraringdgiver Forpligtelsen for
private virksomheder til at udpege en databeskyttelsesraringdgiver gaeliglder baringde den dataansvarlige
og databehandleren
Det betyder at de fleste private virksomheder i Danmark der foretager rdquogaeligngsrdquo behandling af
personoplysninger herunder administration af HR-oplysninger kundeoplysninger online
bookingsystemer mv ikke er forpligtede til at udpege en databeskyttelsesraringdgiver
Konkret skal en virksomhed opfylde tre betingelser for at vaeligre forpligtet til at udpege en databe-
skyttelsesraringdgiver (se nedenfor)
Alle betingelser skal vaeligre opfyldt og en virksomhed der feks kun opfylder eacuten eller to af betin-
gelserne ud af de tre vil ikke vaeligre forpligtet til at udpege en databeskyttelsesraringdgiver
Generelt kan det bemaeligrkes om betingelserne at de knytter sig til hvilke personoplysninger man
har og hvordan disse behandles i virksomheden
Foslashlgende tre betingelser skal alle vaeligre opfyldt
1 Behandling af personoplysninger skal vaeligre
virksomhedens kerneaktivitet
2 Der skal behandles personoplysninger i et
stort omfang
3 Behandlingsaktiviteten bestaringr i regelmaeligssig
og systematisk overvaringgning af personer eller
behandlingen vedroslashrer foslashlsomme oplysnin-
ger eller oplysninger om strafbare forhold
Vejledning om databeskyttelsesraringdgivere
7
311 Betingelse nr 1 rdquokerneaktivitetrdquo
Behandling af personoplysninger skal vaeligre virksomhedens kerneaktivitet Med rdquokerneaktivitetrdquo
forstarings ikke den gaeligngse behandling af personoplysninger som de fleste virksomheder foretager
Alle virksomheder behandler saringledes personoplysninger i et vist omfang for at virksomheden kan
fungere Det drejer sig navnlig om behandling af HR-oplysninger og kundeoplysninger i forbin-
delse med kontakt salg og support mv Virksomhedens behandling af disse oplysninger er en
forudsaeligtning for at virksomheden kan udoslashve sin hovedaktivitet feks udbyde tjenesteydelser
eller saeliglge et produkt
Disse almindelige behandlinger af personoplysninger udgoslashr ikke i sig selv en rdquokerneaktivitetrdquo De
kan i stedet anses for en rdquobiaktivitetrdquo idet oplysningerne behandles for at kunne understoslashtte virk-
somhedens hovedaktivitet
Naringr en virksomhed behandler personoplysninger som en biaktivitet vil virksomheden ikke vaeligre
forpligtet til at udpege en databeskyttelsesraringdgiver
Omfattet af begrebet rdquokerneaktivitetrdquo
Behandling af personoplysninger skal vaeligre virksomhedens rdquohovedaktivitetrdquo foslashr det kan anses for
omfattet af begrebet kerneaktivitet
Eksempler paring behandling der udgoslashr rdquobiaktivitetrdquo
Kundekontakt- eller support
HR-oplysninger
Salg
Kundekartotek
Online bookingsystem
Bonuskort
Behandling af klientoplysninger (revi-sorer advokater ingenioslashrer mv)
IT-support
Eksempler paring brancher der som udgangspunkt ikke
har behandling af personoplysninger som kerneakti-
vitet
Privatskoler og doslashgninstitutioner
Forsyningsselskaber
Haringndvaeligrksfaget
Hotel- og restaurationsbranchen
Servicebranchen
Detailhandel
Vejledning om databeskyttelsesraringdgivere
8
Det betyder at virksomheder hvis produkt eller tjeneste direkte bestaringr i behandling af personop-
lysninger kan anses som kerneaktivitet Det kan feks vaeligre virksomheder der udbyder marke-
tingsundersoslashgelser som er baseret paring personoplysninger eller cloud-virksomheder naringr det in-
debaeligrer lagring af personoplysninger
Paring samme maringde kan virksomheder hvis produkt eller tjeneste er uloslashseligt forbundet med be-
handlingen af personoplysninger anses for at have behandling af personoplysninger som deres
kerneaktivitet Det kan feks vaeligre forsikringsselskaber der saeliglger forsikringer til sine kunder
bla paring baggrund af personoplysninger indsamlet om kommende og nuvaeligrende kunder Et an-
det eksempel kan vaeligre privathospitaler
Virksomheder hvis kerneaktivitet bestaringr af behandling af personoplysninger skal dog ogsaring op-
fylde de to oslashvrige betingelser inden virksomheden er forpligtet til at udpege en databeskyttelses-
raringdgiver
312 Betingelse nr 2 rdquoet stort omfangrdquo
Hvis behandlingen af personoplysninger er virksomhedens kerneaktivitet er det ogsaring en betin-
gelse at behandlingen af personoplysninger sker i rdquoet stort omfangrdquo foslashr virksomheden er forplig-
tet til at udpege en databeskyttelsesraringdgiver
Artikel 29-gruppen1 anbefaler i deres udtalelse om databeskyttelsesraringdgivere at der ved vurde-
ringen af om der er tale om en behandling af personoplysninger rdquoi et stort omfangrdquo laeliggges vaeliggt
paring fire kriterier
1 Antallet af personer der behandles oplysninger om ndash enten det specifikke antal personer
eller som andel af den relevante population (befolkningen)
1 Artikel 29-gruppens udtalelse nr 162016 om rdquoGuidelines on Data Protection Officers (rsquoDPOsrsquo)rdquo (WP 243 rev01)
Eksempler paring behandling der udgoslashr rdquokerneaktivitetrdquo
Cloud-computing
Hosting af hjemmesiderdata
Privathospitaler
Forsikringsselskaber
Reklamebureauer der udbyder marke-
tingsundersoslashgelser
Soslashgemaskiner
Tele- eller internetudbydere
Applikationermobile tjenester baseret
paring personoplysninger
Stillingsbesaeligttende virksomhed
Vejledning om databeskyttelsesraringdgivere
9
2 Volumen af personoplysninger ogeller de forskellige typer af personoplysninger der bli-
ver behandlet
3 Tidsperioden der behandles oplysninger i samt hvorvidt behandlingen er permanent
4 Den geografiske udstraeligkning af behandlingsaktiviteterne
Eksempel ndash mindre forsikringsselskab
Et mindre forsikringsselskab der feks kun udbyder sin forretning til en bestemt mindre landsdel
vil formentlig behandle et saring begraelignset omfang af oplysninger at det ikke kan anses for at vaeligre
i et stort omfang Det skyldes at der ikke behandles en stor maeligngde af personoplysninger om et
stort antal personer samt den begraelignsede geografiske udstraeligkning
I modsaeligtning hertil vil et landsdaeligkkende forsikringsselskab anses for at behandle personoplys-
ninger i et stort omfang baringde som foslashlge af maeligngden af oplysninger antallet af personer og den
geografiske udstraeligkning
Eksempel ndash laeliggepraksis
Behandling af patientdata i en laeliggepraksis med et begraelignset antal laeligger tilknyttet kan som foslashlge
af den begraelignsede maeligngde oplysninger der behandles heller ikke anses for at behandle per-
sonoplysninger i et stort omfang
Omvendt vil en stor laeliggepraksis med mange laeligger tilknyttet formentlig behandle en stor maeligngde
personoplysninger om deres patienter Her vil maeligngden af oplysninger der behandles medfoslashre
at der foretages behandling af personoplysninger i et stort omfang
I overvejelserne om fastlaeligggelse af stoslashrrelsen af en privat laeliggepraksisklinikhospital er det rele-
vant at foretage en vurdering af baringde antallet af patienter og af tilknyttede laeligger
Behandling af personoplysninger rdquoi et stort omfangrdquo kan saring-
ledes indebaeligre behandling af
en stor maeligngde af personoplysninger
oplysninger om et stort antal personer
lang varighed herunder permanent
stor geografisk udstraeligkning af behandlingsaktivite-
ter
Vejledning om databeskyttelsesraringdgivere
10
Virksomheder hvis kerneaktivitet bestaringr af behandling af personoplysninger i et stort omfang
skal dog opfylde eacuten af de to sidste betingelser inden virksomheden er forpligtet til at udpege en
databeskyttelsesraringdgiver
313 Betingelse nr 3 rdquoregelmaeligssig og systematisk overvaringgningrdquo eller rdquobehandling af
foslashlsomme oplysninger eller oplysninger om strafbare forholdrdquo
Virksomheder hvis kerneaktivitet bestaringr af behandling af personoplysninger i et stort omfang skal
enten
foretage regelmaeligssig og systematisk overvaringgning af registrerede personer
eller
behandle foslashlsomme oplysningeroplysninger om strafbare forhold
for at vaeligre forpligtede til at udpege en databeskyttelsesraringdgiver
Regelmaeligssig og systematisk overvaringgning af registrerede personer
Regelmaeligssig og systematisk overvaringgning af de registrerede omfatter en virksomheds sporringer
(tracking) eller profilering bla via internettet
Det kan bla omfatte drift af telenet eller services forbundet hermed profilering i forbindelse med
risikovurdering herunder kreditvurderinger vurdering af forsikringspraeligmie lokationstracking via
applikationer og adfaeligrdsbaseret annoncering
Eksempel ndash marketingsfima
Et marketingsfirma der foretager marketingsundersoslashgelser hvor der indgaringr personoplysninger i
et stort omfang og undersoslashgelsen er baseret paring adfaeligrdsbaseret annoncering er omfattet da de
foretager en regelmaeligssig og systematisk overvaringgning af de registrerede personer
Behandling af foslashlsomme oplysninger eller oplysninger om strafbare forhold
Oplysninger kan anses for foslashlsomme hvis de omhandler oplysninger om
Behandling i et stort omfang
Eksempler paring virksomheder der behandler
personoplysninger rdquoi et stort omfangrdquo
Privathospitaler
Stoslashrre forsikringsselskaber
Sporing via feks rejsekort
Soslashgemaskines behandling af
personoplysninger
Tele- eller internetudbydere
Vejledning om databeskyttelsesraringdgivere
11
race eller etnisk oprindelse
politisk religioslashs eller filosofisk overbevisning
fagforeningsmaeligssigt tilhoslashrsforhold
behandling af genetisk data eller biometrisk data med det formaringl entydigt at iden-
tificere en fysisk person
helbredsoplysninger
oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering
Oplysninger om strafbare forhold omfatter oplysninger om straffedomme og lovovertraeligdelser
Eksempel ndash skadesforsikringsselskaber
Skadesforsikringsselskaber kan man opdele i de selskaber der behandler foslashlsomme oplysninger
og de selskaber der ikke (eller i begraelignset omfang) behandler foslashlsomme oplysninger
For saring vidt angaringr de selskaber der ikke behandler denne type oplysninger kan naeligvnes special-
selskaber som typisk forsikrer ting (feks glasforsikring) og ikke risiko for personskader Forsik-
ringsselskaber der i begraelignset omfang jf betingelsen ovenfor behandler de omhandlede op-
lysninger vil typisk vaeligre forsikringsselskaber der tegner privatforsikringer herunder eksempelvis
indbo- og bilforsikringer eller erhvervsforsikringer for mindre virksomheder Her indhentes de
naeligvnte oplysninger i forbindelse med tegning af ulykkesforsikringer og ved behandling af per-
sonskader under ulykkesforsikringer
For saring vidt angaringr skadesforsikringsselskaber der opfylder betingelse nr 3 ndash idet de behandler
foslashlsomme oplysninger ndash kan naeligvnes specialiserede rejseforsikringsselskaber for saringvel rejsegods
som syge- og ulykkesforsikringer En betydelig del af disse selskabers forsikringer er personfor-
sikringer hvor der baringde ved tegning og ved behandlingen af personskader (ulykker og syg-
domme) indhentes foslashlsomme oplysninger Endvidere kan sygeforsikringsselskaber som daeligkker
medicin og en raeligkke andre udgifter til helbredelse naeligvnes idet der indhentes helbredsoplysnin-
ger ved optagelses- og refusionssager
Eksempel ndash HR-oplysninger
Virksomheder vil typisk behandle oplysninger om ansattes fagforeningsmaeligssige tilhoslashrsforhold
og helbredsoplysninger i forbindelse med virksomhedens HR-funktion Her er der netop tale om
foslashlsomme oplysninger men det medfoslashrer ikke i sig selv at virksomheden er forpligtet til at udpege
en databeskyttelsesraringdgiver Hertil kraeligves at behandling af personoplysninger er virksomhe-
dens kerneaktivitet og foretages i et stort omfang
Eksempler paring virksomheder der kan
opfylde alle tre betingelser
Privathospitaler
Stoslashrre forsikringssel-
skaber
Tele- eller internetud-
bydere
Marketingsfirma der
udbyder marketingsun-
dersoslashgelser
Eksempler paring virksomheder der blot op-
fylder nogle af betingelserne
Mindre privathospitaler
Mindre forsikringsselskab
Mindre laeliggepraksis
Stoslashrre virksomheder hvor
behandling af personop-
lysninger kun er en biakti-
vitet
Vejledning om databeskyttelsesraringdgivere
12
Eksempel ndash Livs- og pensionsforsikringsselskaberne
Store eller middelstore forsikringsselskaber der dels tegner livs- og pensionsforsikringer for en-
keltpersoner og dels firmapensionsordninger hvor de sikrede er en virksomheds ansatte indhen-
ter og behandler foslashlsomme oplysninger isaeligr helbredsoplysninger ved saringvel tegningindmeldelse
som ved behandlingen af tab af erhvervsevne doslashdsfald sygdom mv Henset til at behandling
af personoplysninger endvidere er disse forsikringsselskabers kerneaktivitet samt at de grundet
stoslashrrelse og geografiske udstraeligkning behandler personoplysningerne i stort omfang vil de som
udgangspunkt skulle udpege en databeskyttelsesraringdgiver
Det bemaeligrkes at det er vigtigt at have sig for oslashje at der er tale om betingelser der alle skal
vaeligre opfyldt Der skal altsaring vaeligre tale om at virksomhedens kerneaktivitet er behandling i stort
omfang af foslashlsomme oplysninger eller oplysninger om strafbart forhold Eller at virksomhedens
kerneaktivitet bestaringr af behandlingsaktiviteter i stort omfang af regelmaeligssig og systematisk over-
varinggning af personer
Virksomheder der ikke er forpligtede til at udpege en databeskyttelsesraringdgiver kan med fordel
dokumentere vurderingen saring denne kan fremvises til Datatilsynet
32 Frivillig udnaeligvnelse af en databeskyttelsesraringdgiver
Private kan under alle omstaeligndigheder frivilligt vaeliglge at udpege en databeskyttelsesraringdgiver
I de tilfaeliglde hvor der frivilligt udpeges en databeskyttelsesraringdgiver gaeliglder de samme krav til
databeskyttelsesraringdgiveren som hvis virksomheden var forpligtet til at udpege en databeskyttel-
sesraringdgiver
Det betyder at kravene til databeskyttelsesraringdgiverens opgaver kvalifikationer stilling beskyt-
telse og inddragelse skal efterleves
Vaeliglger en virksomhed derimod at udpege en medarbejder der feks er compliance-raringdgiver er
virksomheden ikke forpligtet til at efterleve forordningens krav til en databeskyttelsesraringdgiver
33 Faeliglles databeskyttelsesraringdgiver
En koncern har mulighed for at udpege en faeliglles databeskyttelsesraringdgiver for hele koncernen
forudsat at alle etableringer af koncernen har let adgang til databeskyttelsesraringdgiveren
Andre private dataansvarlige og databehandlere end koncerner har ogsaring mulighed for at udpege
en faeliglles databeskyttelsesraringdgiver Et konsulentfirma kan udoslashve funktionen som databeskyttel-
sesraringdgiver for flere dataansvarlige paring samme tid paring baggrund af tjenesteydelseskontrakter
Det er dog en forudsaeligtning for at private kan udpege en faeliglles databeskyttelsesraringdgiver at
databeskyttelsesraringdgiveren kan efterleve forordningens krav til vedkommende naringr opgaven loslash-
Vejledning om databeskyttelsesraringdgivere
13
ses for flere private paring eacuten gang Dette maring i praksis forudsaeligtte at der feks er adgang til at kom-
munikere med databeskyttelsesraringdgiveren paring et sprog som de beroslashrte medarbejdere kan forstaring
Det maring ligeledes forudsaeligtte at der er afsat saringdanne ressourcer til databeskyttelsesraringdgiveren
at det spejler omfanget af de organisationer der skal daeligkkes Der vil derfor i praksis ikke vaeligre
noget til hinder for at feks en virksomhed udpeger en faeliglles databeskyttelsesraringdgiver paring tvaeligrs
af flere stoslashrre koncernforbundne virksomheder naringr blot de ressourcer der afsaeligttes til databe-
skyttelsesraringdgiveren i form af medarbejdere rejsebudget it-understoslashttelse mv i tilstraeligkkelig om-
fang sikrer at databeskyttelsesraringdgiveren kan moslashde sine forpligtelser
34 Opsummering
Der skal rigtig meget til foslashr en privat virksomhed er forpligtet til at udpege en da-
tabeskyttelsesraringdgiver
Helt konkret skal tre betingelser der knytter sig til en virksomheds behandling af
personoplysninger alle vaeligre opfyldt foslashr der en pligt til at udpege en databeskyt-
telsesraringdgiver
Alle virksomheder boslashr foretage en konkret vurdering af om de tre betingelser er
opfyldt Er alle tre betingelser ikke opfyldt skal der ikke udpeges en databeskyt-
telsesraringdgiver
Vejledning om databeskyttelsesraringdgivere
14
4 Offentlige myndigheders forpligtelse til
at udpege en databeskyttelsesraringdgiver
Offentlige myndigheder og offentlige organer skal altid have en databeskyttelsesraringdgiver uanset
om de er dataansvarlige eller databehandlere
41 Hvornaringr skal offentlige myndigheder udpege en databeskyttelsesraringdgiver
I det omfang behandling foretages af en offentlig myndighed eller et offentligt organ skal myndig-
heden eller organet altid have en databeskyttelsesraringdgiver hvad enten de er dataansvarlige eller
databehandlere
Det betyder at der ogsaring skal udpeges en databeskyttelsesraringdgiver hvis den offentlige myndig-
hed eller organ behandler personoplysninger paring vegne af en privat eller selv outsourcer sin da-
tabehandling til en privat som ikke er forpligtet til at udpege en databeskyttelsesraringdgiver Det kan
feks vaeligre tilfaeligldet naringr offentlige myndigheder eller organer vaeliglger at overlade til en anden at
udfoslashre selve den praktiske behandling af personoplysninger paring den dataansvarliges vegne
Den eneste undtagelse hertil er domstole der ikke er forpligtede til at udpege en databeskyttel-
sesraringdgiver naringr de handler i deres egenskab af domstole
42 Hvornaringr er man en offentlig myndighed
De myndigheder der i dansk ret henregnes til den offentlige forvaltning i medfoslashr af forvaltnings-
lovens sect 1 stk 1-2 skal anses for offentlige myndigheder eller organer og er dermed forpligtede
til at udpege en databeskyttelsesraringdgiver Det fremgaringr heraf at foslashlgende virksomheder omfattes
af loven al virksomhed der udoslashves af den offentlige forvaltning og al virksomhed der udoslashves af
selvejende institutioner foreninger fonde mv der er oprettet ved lov eller i henhold til lov og
selvejende institutioner foreninger fonde mv der er oprettet paring privatretligt grundlag og som
udoslashver offentlig virksomhed af mere omfattende karakter og er undergivet intensiv offentlig regu-
lering intensivt offentlig tilsyn og intensiv offentlig kontrol
I forhold til selvejende institutioner mv oprettet paring privatretligt grundlag vil der saringledes vaeligre
nogle som omfattes af kravet om at have en databeskyttelsesraringdgiver mens andre ikke omfattes
Det vil bero paring en konkret vurdering
Selvejende institutioner mv oprettet paring privatretligt grundlag som udoslashver offentlig virksomhed
af mere omfattende karakter og er undergivet intensiv offentlig regulering intensivt offentlig tilsyn
og intensiv offentlig kontrol vil vaeligre omfattet
Det spiller endvidere ind om det offentlige har instruktionsbefoslashjelser over for institutionen om det
offentlige skal godkende institutionens vedtaeliggter og om det offentlige yder sekretariatsbistand
Vejledning om databeskyttelsesraringdgivere
15
til institutionen Herudover maring man se paring om det offentlige skal godkende institutionens regn-
skaber og om institutionens drift og virksomhed er detaljeret reguleret ved regler og retningslinjer
udstedt af det offentlige Endelig kan man tage hensyn til om det offentlige overtager institutio-
nens rettigheder og forpligtelser hvis den nedlaeliggges
Eksempler paring selvejende institutioner mv der er omfattet
- Universiteter
- Institutioner hvor kommunalbestyrelsen har indgaringet overenskomst til opfyldelse af sine forplig-
telser efter lov om social service
- Gymnasieskoler
Eksempler paring selvejende institutioner og foreninger der ikke er omfattet
- Danske Regioner og KL
- Dansk Flygtningehjaeliglp
For saring vidt angaringr statslige og kommunale institutioner der er organiseret i selskabsform feks
som aktieselskab eller interessentskab vil disse umiddelbart aldrig vaeligre omfattet Dette er ogsaring
tilfaeligldet for koncessionerede selskaber og selskaber hvori staten eller en kommune er aktionaeligr
interessent eller lignende uanset om staten eller kommunen ejer selskabet 100 Det har i den
forbindelse ingen betydning hvilke aktiviteter organet udfoslashrer ligesom det ikke i sig selv kan foslashre
til et andet resultat at selskabet maringtte vaeligre oprettet ved lov eller i henhold til lov
Dog er kommunale faeligllesskaber jf sect 60 i lov om kommunernes styrelse hvortil to eller flere
kommuner overfoslashrer opgaver til selvstaeligndig varetagelse altid offentlige myndigheder Det gaeligl-
der uanset at kommunale faeligllesskaber normalt etableres som interessentskaber Det kommu-
nale faeligllesskab er selvstaeligndigt dataansvarligt og skal udpege en databeskyttelsesraringdgiver
Eksempel paring institution der er organiseret i selskabsform der ikke er omfattet
- Staten og Kommunernes Indkoslashbs Service AS
Saringfremt der ikke er tale om en offentlig myndighed eller organ skal bedoslashmmelsen af hvorvidt
man har pligt til at udpege en databeskyttelsesraringdgiver foretages i henhold til betingelserne be-
skrevet ovenfor under punkt 3 vedroslashrende privates forpligtelse til at udpege en databeskyttel-
sesraringdgiver
43 Faeliglles databeskyttelsesraringdgiver for offentlige myndigheder
Flere myndigheder eller organer vil i mange tilfaeliglde kunne have en faeliglles databeskyttelsesraringd-
giver forudsat at det er i overensstemmelse med deres organisatoriske struktur og stoslashrrelse I
den forbindelse kan det vaeligre relevant at overveje om raringdgiveren skal fungere paring baggrund af
eacuten ansaeligttelseskontrakt for to forskellige myndigheder eller to deltidskontrakter
Herudover vil en databeskyttelsesraringdgiver kunne vaeligre ansat paring en deltidskontrakt hos eacuten myn-
dighed og ansat paring baggrund af en tjenesteydelseskontrakt i en anden myndighed eller organi-
sation
Vejledning om databeskyttelsesraringdgivere
16
Saringfremt flere myndigheder har en faeliglles databeskyttelsesraringdgiver er det dog en forudsaeligtning
at databeskyttelsesraringdgiveren kan efterleve kravene i databeskyttelsesforordningen til en data-
beskyttelsesraringdgiver herunder til dennes stilling opgaver uafhaeligngighed og tilgaeligngelighed mv
naringr denne loslashser opgaven for flere myndigheder paring eacuten gang
For saring vidt angaringr tilgaeligngelighed er der ikke et krav om fysisk tilstedevaeligrelse paring alle lokationer
saringfremt der anvendes en faeliglles databeskyttelsesraringdgiver De enkelte myndigheder har i den for-
bindelse mulighed for at aftale hvordan den fysiske tilgaeligngelighed i praksis kan loslashftes herunder
feks ved hjaeliglp af mail telefon internet mm Det er i relation til kravet om tilgaeligngelighed endvi-
dere vaeligrd at bemaeligrke at flere myndigheder som naeligvnt godt kan have en faeliglles raringdgiver men
at databeskyttelsesraringdgiveren skal kunne (naring at) varetage sin raringdgivningsopgave fyldestgoslashrende
for alle de myndigheder for hvilke den paringgaeligldende varetager opgaven som databeskyttelses-
raringdgiver Her kan det bla vaeligre relevant at se paring maeligngden af personoplysninger der behandles
i en given myndighed
I relation til uafhaeligngighedskriteriet bemaeligrkes at det kan vaeligre betaelignkeligt at lade visse myndig-
heder have en faeliglles databeskyttelsesraringdgiver jf nedenfor under afsnittet rdquoEksempel ndash Ministe-
rier og underordnede myndighederrdquo
Der henvises i oslashvrigt til afsnit 5 i denne vejledning
Det er endvidere et krav at der er eacuten der er personligt ansvarlig for hvervet som databeskyttel-
sesraringdgiver
Som foslashlge af kravet om at udpegningen af en faeliglles databeskyttelsesraringdgiver skal vaeligre i over-
ensstemmelse med myndigheden eller organets organisatoriske struktur og stoslashrrelse stilles der
krav til selve ansaeligttelsen af databeskyttelsesraringdgiveren
Den retlige graelignse for at dele en databeskyttelsesraringdgiver vil i et saringdan tilfaeliglde vaeligre de gaeligl-
dende standarder om offentlige ansattes bierhverv de almindelige habilitetsregler og muligheden
for at efterleve kravene i forordningen herunder tilstraeligkkelige ressourcer i forhold til at udfoslashre
hvervet
Vejledning om databeskyttelsesraringdgivere
17
Kommuner
Det antages ikke at vaeligre i overensstemmelse med en offentlig myndigheds struktur eller stoslashr-
relse hvis en databeskyttelsesraringdgiver fungerer paring baggrund af eacuten ansaeligttelseskontrakt i to for-
skellige kommuner Det antages derimod omvendt at vaeligre i overensstemmelse hermed saring-
fremt raringdgiveren udoslashver sin funktion paring baggrund af to deltidskontrakter i to kommuner paring
samme tid
Eksempel ndash En kommune
En kommune vil typisk vaeligre dataansvarlig for alle de behandlinger af personoplysninger som
foretages inden for den kommunale enhedsforvaltning Derfor er en kommune ikke forpligtet til at
udpege eacuten databeskyttelsesraringdgiver for de enkelte forvaltninger men vil kunne udpege eacuten data-
beskyttelsesraringdgiver for hele kommunen
Eksempel ndash organer med selvstaeligndig kompetence paring det kommunale omraringde
Det bemaeligrkes at der paring det kommunale omraringde kan vaeligre organer som ikke er en del af den
kommunale enhedsforvaltning men har selvstaeligndig kompetence paring det kommunale omraringde
feks huslejenaeligvnet ligesom der kan vaeligre kommunale organer som er en del af enhedsforvalt-
ningen der i visse henseender har en ndash i forhold til kommunalbestyrelsen ndash selvstaeligndig kompe-
tence herunder feks skoleledere
Naringr det i lovgivningen er fastsat eller forudsat at disse organer sekretariatsbetjenes af kommu-
nen og kommunen yder sekretariatsbetjening kan organerne have faeliglles databeskyttelsesraringd-
giver med kommunen og er ikke forpligtet til selvstaeligndigt at udpege en databeskyttelsesraringdgiver
ved siden af kommunens Databeskyttelsesraringdgiverens ydelser vil i den forbindelse vaeligre en del
af sekretariatsbetjeningen
Eksempel ndash Flere kommuner
Flere kommuner vil have mulighed for at dele en databeskyttelsesraringdgiver Som udgangspunkt
vurderes det at feks en gennemsnitskommune paring omkring 45000 indbyggere godt vil kunne
dele en databeskyttelsesraringdgiver med en anden tilsvarende eller en mindre kommune eller at en
lidt stoslashrre kommune vil kunne dele med en mindre kommune hvis databeskyttelsesraringdgiveren
Eksempel - Rigspolitiets databeskyttelsesenhed
Rigspolitiet har udpeget en faeliglles databeskyttelsesraringdgiver for landets 12
politikredse og Rigspolitiet for saring vidt angaringr behandlingen af personoplys-
ninger til brug for retsharingndhaeligvelsesformaringl
Den faeliglles databeskyttelsesraringdgiver understoslashttes i den forbindelse af en cen-
tral datebeskyttelsesenhed i Rigspolitiet hvor de enkelte medarbejdere be-
sidder stort kendskab til persondateretlige og forretningsmaeligssige forhold
med relevans for enhedens opgavevaretagelse Paring denne baggrund kan da-
tabeskyttelsesraringdgiveren samlet set leve op til sine forpligtelser som databe-
skyttelsesraringdgiver i medfoslashr af lov om retsharingndhaeligvende myndigheders be-
handling af personoplysninger som er lig dem der foslashlger af databeskyttel-
sesforordningen
Vejledning om databeskyttelsesraringdgivere
18
samlet set vurderes at kunne varetage opgaverne som databeskyttelsesraringdgiver Der skal saringle-
des foretages en konkret vurdering i det enkelte tilfaeliglde idet det afgoslashrende er om man som
databeskyttelsesraringdgiver kan efterleve sin funktion retmaeligssigt naringr funktionen udoslashves for flere
kommuner paring samme tid
Herudover vil to eller flere kommuner kunne oprette et kommunalt faeligllesskab til hvilket de garingr
sammen om at loslashse opgaven som databeskyttelsesraringdgiver i de deltagende kommuner
Eksempel - Regioner
En region vil typisk ogsaring vaeligre dataansvarlig for alle de behandlinger af personoplysninger der
foretages inden for regionen herunder drift af hospitaler forskning og sociale tilbud mv Hver
region vil som udgangspunkt kunne udpege eacuten databeskyttelsesraringdgiver
Eksempel - Ministerier og underordnede myndigheder
Departementer og underordnede myndigheder kan have en faeliglles databeskyttelsesraringdgiver
Dog kan der vaeligre hindringer som feks myndighedens stoslashrrelse der bevirker at man ikke kan
dele en databeskyttelsesraringdgiver Som eksempel herparing kan naeligvnes Justitsministeriet og politiet
der ikke kan have en faeliglles raringdgiver
Det skyldes at politiet anses for at vaeligre saring stor en enhed at en faeliglles databeskyttelsesraringdgiver
ikke vil kunne efterleve kravene til en databeskyttelsesraringdgiver (om bla tilgaeligngelighed) hvis
denne baringde skulle udfoslashre sin opgave for politiet som helhed og med andre myndigheder under
Justitsministeriets ressort
Dog vil politiet ndash i en ordning svarende til den ovenfor beskrevne paring retsharingndhaeligvelsesomraringdet ndash
kunne have en faeliglles databeskyttelsesraringdgiver under forordningen der udfoslashrer sin funktion for
alle politikredse
Det bemaeligrkes endvidere at forordningens krav om uafhaeligngighed skal vaeligre opfyldt for alle de
myndigheder der deler en databeskyttelsesraringdgiver
I den forbindelse ndash samt i relation til en underordnet myndigheds eventuelt saeligrlige uafhaeligngighed
ift den overordnede myndighed ndash kan der vaeligre visse situationer hvor det kan vaeligre betaelignkeligt
at lade en underordnet myndighed dele databeskyttelsesraringdgiver med et departement
Som eksempel herparing kan naeligvnes Datatilsynet og Justitsministeriets departement Dette er bla
henset til Datatilsynets funktionelle uafhaeligngighed i forhold til Justitsministeriet samt tilsynets spe-
cielle kompetence og rolle i forhold til databeskyttelsesforordningen Som et andet eksempel kan
naeligvnes Ankestyrelsens relation til (paring nuvaeligrende tidspunkt) Oslashkonomi- og Indenrigsministeriets
departement Her kan bla peges paring maeligngden og karakteren af data som behandles i Ankesty-
relsen samt styrelsens faglige uafhaeligngighed af departementet
Organisatoriske aeligndringer kan ogsaring bevirke at det i visse situationer ndash af praktiske aringrsager ndash
kan vaeligre mere oplagt for en underordnet myndighed at have sin egen databeskyttelsesraringdgiver
fremfor at dele med sit departement Hvis en underordnet myndighed saringledes har sin egen data-
beskyttelsesraringdgiver kan denne blot fortsaeligtte under samme kontrakt vilkaringr mv uanset at en
Vejledning om databeskyttelsesraringdgivere
19
myndighed efter eksempelvis et regeringsskifte organisatorisk placeres under et andet ministe-
rium
Eksempel - Selvejende institutioner
I det omfang selvejende institutioner kan anses for en offentlig myndighed eller et organ vil disse
myndigheder ogsaring have mulighed for at udpege en faeliglles databeskyttelsesraringdgiver med en an-
den selvejende institution omfattet af samme lovgivning eller feks den kommune som institutio-
nen har driftsoverenskomst med i det omfang kommunen yder sekretariatsbistand til institutio-
nen
44 Opsummering
Alle offentlige myndigheder og organer skal udpege en databeskyttelsesraringdgiver
fra den 25 maj 2018
Det er i hoslashj grad muligt at udpege en faeliglles databeskyttelsesraringdgiver der funge-
rer paring vegne af flere myndigheder paring eacuten gang
Muligheden for at have en faeliglles databeskyttelsesraringdgiver begraelignses af at
denne skal kunne leve op til sine forpligtelser efter databeskyttelsesforordningen
Databeskyttelsesraringdgiveren kan understoslashttes af en enhed for at kunne udfoslashre sit
hverv i overensstemmelse med forordningens krav Dette gaeliglder uanset om da-
tabeskyttelsesraringdgiveren fungerer for eacuten myndighed eller for flere myndigheder
og organer
Vejledning om databeskyttelsesraringdgivere
20
5 Databeskyttelsesraringdgiveren
51 Krav til faglige kvalifikationer
En databeskyttelsesraringdgiver skal udpeges paring baggrund af sine faglige kvalifikationer Dette
gaeliglder navnlig evnen til at udfoslashre sine opgaver som databeskyttelsesraringdgiver og ekspertise in-
den for databeskyttelsesret- og praksis
Der er ikke krav om at en databeskyttelsesraringdgiver skal have en bestemt uddannelsesmaeligssig
baggrund feks som jurist
Dermed er det op til den enkelte organisation at vurdere hvem der er bedst egnet til at varetage
stillingen som databeskyttelsesraringdgiver
Kravene til stillingen afhaelignger til en vis grad af kompleksiteten af den behandling af personop-
lysninger som den paringgaeligldende organisation foretager Dermed kan der for nogen organisatio-
ner vaeligre behov for at ansaeligtte en databeskyttelsesraringdgiver med stor erfaring inden for feltet og
i andre tilfaeliglde kan en eksisterende medarbejder paring baggrund af diverse kurser varetage funkti-
onen
Hvis der udpeges en databeskyttelsesraringdgiver fra egen organisation kan det med fordel vaeligre
en person som i forvejen har et vist kendskab til eller indsigt i haringndtering af databeskyttelses-
retlige sposlashrgsmaringl i organisationen
52 Hvem kan vaeligre databeskyttelsesraringdgiver
Som udgangspunkt kan alle som organisationen finder kvalificeret til at vaeligre databeskyttelses-
raringdgiver varetage funktionen
Foslashlgende kan derfor vaeligre databeskyttelsesraringdgivere
En intern medarbejder
En faeliglles databeskyttelsesraringdgiver for hele eller flere organisationer
En ekstern databeskyttelsesraringdgiver
Intern medarbejder
En organisation kan vaeliglge at udpege en eksisterende medarbejder som databeskyttelsesraringdgi-
ver
Det er ikke et krav at den medarbejder der varetager funktionen som databeskyttelsesraringdgiver
udoslashver sin funktion paring fuld tid
Vejledning om databeskyttelsesraringdgivere
21
Dermed kan en intern medarbejder der varetager funktionen som databeskyttelsesraringdgiver ud-
foslashre andre opgaver og have andre pligter i organisationen
Saringledes kan en medarbejder der feks arbejder i IT-sektionen i en organisation godt varetage
funktionen som databeskyttelsesraringdgiver paring deltid eller 10 timer om ugen alt efter behovet i
den enkelte organisation
Det afgoslashrende er at den paringgaeligldende medarbejder fyldestgoslashrende kan udoslashve sit erhverv som
databeskyttelsesraringdgiver i organisationen
Den person der udpeges kan med fordel vaeligre en person som i forvejen har et vist kendskab
til eller indsigt i haringndtering af databeskyttelsesretlige sposlashrgsmaringl i organisationen
Selve vurderingen af hvor meget tid en medarbejder skal bruge paring fyldestgoslashrende at kunne ef-
terleve kravene til en databeskyttelsesraringdgiver i organisationen afhaelignger af en konkret vurde-
ring af behovet hos organisationen
Interne ansatte der ikke kan vaeligre databeskyttelsesraringdgiver
En databeskyttelsesraringdgiver skal baringde vaeligre uafhaeligngig og vaeligre i stand til at udoslashve uvildig raringd-
givning til organisationen
Derfor kan en databeskyttelsesraringdgiver ikke vaeligre den oslashverste IT-ansvarlige eller oslashverste HR-
ansvarlige i en organisation
Eksempel ndash virksomhed med faring ansatte
Virksomheder med faring ansatte herunder feks enkeltmandsvirksomheder vil have svaeligrt ved at
opfylde betingelsen om at en databeskyttelsesraringdgiver ikke kan vaeligre oslashverste IT-ansvarlige eller
oslashverste HR-ansvarlige i en organisation (forudsat at virksomheden i oslashvrigt opfylder betingelserne
for hvornaringr private skal udpege en databeskyttelsesraringdgiver jf naeligrmere om privates forpligtelse
under punkt 3) I en saringdan situation kan virksomheden enten benytte sig af muligheden for at
udpege en faeliglles databeskyttelsesraringdgiver eller anvende en konsulent til opgaven
Databeskyttelsesraringdgiverenhed
Der kan ogsaring udpeges eacuten databeskyttelsesraringdgiver for den paringgaeligldende organisation som un-
derstoslashttes af en enhed saring den paringgaeligldende kan leve op til sine forpligtelser efter forordningen jf
den ovenfor beskrevne ordning for politiet
Faeliglles databeskyttelsesraringdgiver
Saringvel private som offentlige myndigheder kan udpege en faeliglles databeskyttelsesraringdgiver af-
haeligngig af deres struktur og stoslashrrelse
Medarbejdere som ikke har det oslashverste ansvar kan vaeligre databe-
skyttelsesraringdgivere Det betyder at ledende IT-medarbejdere
compliance-officerer eller en it-sikkerheds koordinator mv kan
udoslashve funktionen som databeskyttelsesraringdgiver i organisationen
Vejledning om databeskyttelsesraringdgivere
22
Ekstern medarbejder
Man kan ogsaring vaeliglge at udpege en ekstern databeskyttelsesraringdgiver Dette kan enten vaeligre en
raringdgiver (konsulentvirksomhed) saringsom en bestemt advokat eller revisor eller andre kvalifice-
rede eksterne parter Udoslashvelsen af hvervet som databeskyttelsesraringdgiver vil dog i sagens natur
alene kunne udoslashves i det omfang dette er foreneligt med eventuelle regler ndash herunder etiske
krav ndash for den relevante type af raringdgivervirksomhed mv
53 Databeskyttelsesraringdgiverens opgaver
Databeskyttelsesraringdgiveren funktion bestaringr i at raringdgive den dataansvarlige og hjaeliglpe med at
organisationen efterlever de databeskyttelsesretlige regler
En databeskyttelsesraringdgiver skal desuden prioritere sine opgaver og fokusere paring de behandlin-
ger af personoplysninger i den paringgaeligldende organisation som konkret indebaeligrer en hoslashjere ri-
siko for brud paring de databeskyttelsesretlige regler Dog skal oslashvrige databeskyttelsesretlige omraring-
der som indebaeligrer en lavere grad af risiko ikke undlades
Der er en raeligkke opgaver som databeskyttelsesraringdgiveren som minimum skal varetage Der er
dog ikke noget til hinder for at der overlades flere opgaver til databeskyttelsesraringdgiveren Da-
tabeskyttelsesraringdgiverens rolle som central raringdgivningsfigur i organisationen samt dennes op-
gaver kan med fordel beskrives naeligrmere i en (ansaeligttelses)aftale
Nedenfor foslashlger en naeligrmere beskrivelse af de opgaver som databeskyttelsesraringdgiveren som
minimum skal varetage i en organisation
Underrette og raringdgive organisationen og de ansatte om databeskyttelse
Det indebaeligrer
Konkret raringdgivning om beskyttelse af personoplysninger i organisationen samt
overvejelser og beslutninger om hvordan compliance sikres mv feks i forbin-
delse med foslashlgende
Organisationens indkoslashb af nyt IT-system
kravsspecifikationer til leverandoslashrer
udarbejdelse af organisationens data-politikker
ivaeligrksaeligttelse af behandling af personoplysninger
overvejelser om hvorvidt en given behandling af personoplysninger over-
holder de generelle behandlingsregler
Staring til raringdighed for ansatte samt ledelsen i organisationen vedroslashrende sposlashrgsmaringl
om databeskyttelse
Vejledning om databeskyttelsesraringdgivere
23
Raringdgivning i forbindelse med udarbejdelse af organisationens konsekvensanaly-
ser jf afsnit 3 nedenfor
Modtage underretning om og raringdgive organisationen i forbindelse med brud paring
persondatasikkerheden
Overvaringge overholdelsen af de databeskyttelsesretlige regler i organisationen
Det indebaeligrer bla ogsaring at overvaringge
organisationens politikker om databeskyttelse
uddannelse af personale i databeskyttelse
oplysningskampagner
fordeling af ansvar
revisioner
Det skal hertil bemaeligrkes at databeskyttelsesraringdgiverens opgave med at overvaringge overholdel-
sen af de databeskyttelsesretlige regler i organisationen ikke medfoslashrer at raringdgiveren overtager
selve ansvaret for at behandlingen af personoplysninger sker i overensstemmelse med reg-
lerne Dette ansvar ligger fortsat hos den dataansvarlige
Raringdgivning i forbindelse med udarbejdelse af organisationens konsekvensanalyser
I visse tilfaeliglde skal organisationer udarbejde en konsekvensanalyse af en planlagt behandling
af personoplysninger
I de tilfaeliglde hvor en organisation har udpeget en databeskyttelsesraringdgiver skal denne raringdfoslash-
res naringr der foretages en konsekvensanalyse
Herudover skal databeskyttelsesraringdgiveren raringdgive med hensyn til konsekvensanalysen naringr
der anmodes herom
Som led i overvaringgningsopgaven kan databeskyttel-
sesraringdgiveren foretage foslashlgende
indsamle oplysninger til at identificere
behandlingsaktiviteter
informere raringdgive og komme med an-
befalinger til den dataansvarlige og da-
tabehandleren
Vejledning om databeskyttelsesraringdgivere
24
I tilfaeliglde af uenighed mellem organisationen og databeskyttelsesraringdgiveren anbefales det at
det specifikt fremgaringr af selve konsekvensanalysen hvorfor databeskyttelsesraringdgiverens indstil-
ling ikke er blevet fulgt
Samarbejde med Datatilsynet paring vegne af organisationen
En organisation er forpligtet til at hoslashre Datatilsynet inden behandling hvis en konsekvensana-
lyse vedroslashrende databeskyttelse viser at behandlingen af personoplysninger vil foslashre til hoslashj ri-
siko i mangel af foranstaltninger truffet af organisation for at begraelignse risikoen
Det foslashlger af forordningen at databeskyttelsesraringdgiveren skal samarbejde med tilsynsmyndig-
heden og fungere som tilsynsmyndighedens kontaktperson Det kan feks vaeligre databeskyttel-
sesraringdgiveren der paring vegne af den dataansvarlige hoslashrer tilsynsmyndigheden
Vaeligre kontaktpunkt for tilsynsmyndigheden (Datatilsynet) angaringende alle sposlashrgsmaringl om behand-
ling af personoplysninger for de personer der behandles oplysninger om
Databeskyttelsesraringdgiveren skal inddrages af den dataansvarlige i tilfaeliglde af at konkrete kla-
gesager indbringes for Datatilsynet Databeskyttelsesraringdgiveren boslashr ligeledes orienteres naringr
Datatilsynet beslutter at gennemfoslashre et eventuelt tilsyn af den dataansvarlige
Herudover skal databeskyttelsesraringdgiveren ogsaring vaeligre i stand til at vejlede den person der be-
handles personoplysninger om Det betyder at databeskyttelsesraringdgiveren skal vaeligre i stand til
at vejlede om hvilke rettigheder den paringgaeligldende har og hvordan de kan udnyttes
Det indebaeligrer endvidere at den dataansvarlige skal give meddelelse om kontaktoplysninger paring
databeskyttelsesraringdgiveren
Det anbefales i oslashvrigt at organisationen i en funktionsbeskrivelse klart definerer hvilke opgaver
der paringhviler databeskyttelsesraringdgiveren En funktionsbeskrivelse vil goslashre det tydeligt hvornaringr
Raringdgivning i forhold til konsekvensanalyser kan bla indebaeligre raringdgiv-
ning vedroslashrende
om der skal gennemfoslashres en konsekvensanalyse
hvilken fremgangsmaringde der skal anvendes ved gennemfoslash-
relse af konsekvensanalysen
om konsekvensanalysen kan gennemfoslashres internt eller om
gennemfoslashrelsen kraeligver antagelse af ekstern bistand
hvilke sikkerhedsforanstaltninger (tekniske og organisatori-
ske) som skal anvendes for at begraelignse risici i forhold til
de registreredes rettigheder og interesser
om konsekvensanalysen er korrekt gennemfoslashrt og om
dens konklusioner er i overensstemmelse med de databe-
skyttelsesretlige regler
Vejledning om databeskyttelsesraringdgivere
25
den paringgaeligldende virker som databeskyttelsesraringdgiver og i denne egenskab ikke kan instrueres
Det vil samtidig blive tydeligt hvornaringr den paringgaeligldende udfoslashrer andre opgaver i sit ordinaeligre an-
saeligttelsesforhold i organisationen
54 Krav til organisationen ndash rettidig og tilstraeligkkelig inddragelse af databeskyt-
telsesraringdgiveren
En organisation skal sikre at databeskyttelsesraringdgiveren inddrages tilstraeligkkeligt og rettidigt i
alle sposlashrgsmaringl vedroslashrende beskyttelse af personoplysninger En saringdan inddragelse boslashr ogsaring
ske paring oslashverste ledelsesmaeligssige niveau (feks ved deltagelse paring direktions- og ledelsesmoslashder)
Det anbefales at organisationen implementerer procedurer som sikrer dette
I hvilke tilfaeliglde skal databeskyttelsesraringdgiveren inddrages
Databeskyttelsesraringdgiveren skal inddrages i alle de overvejelser og vurderinger som organisa-
tionen goslashr sig for at overholde kravene i databeskyttelsesforordningen databeskyttelsesloven
og oslashvrige regler for behandling af personoplysninger
Eksempel paring sposlashrgsmaringl hvor databeskyttelsesraringdgiveren boslashr inddrages
ved overvejelser og beslutninger om hvordan organisationens compliance med
databeskyttelsesreglerne sikres
ved overvejelser i forbindelse med datasikkerhed herunder databeskyttelse gen-
nem design og standardindstillinger og
ved udarbejdelse af konsekvensanalyser
Saringfremt databeskyttelsesraringdgiveren udpeges foslashr den 25 maj 2018 kan denne inddrages i or-
ganisationens implementering af de krav der foslashlger af forordningen
Eksempel paring sposlashrgsmaringl hvor databeskyttelsesraringdgiveren ikke
skal inddrages
Konkrete vurderinger ift registreredes rettigheder
feks anmodning paring indsigt ret til at blive glemt
mv
Deltagelse i mindre praktiske eller almindelige
driftsopgaver eller driftsmaeligssige sposlashrgsmaringl knyt-
tet til opsaeligtning af it-systemer
Udarbejdelse af konkrete databehandleraftaler
Behandling af personoplysninger der finder sted i
overensstemmelse med interne regler som den da-
taansvarlige har fastsat forudsat at disse regler er
fastsat under inddragelse af databeskyttelsesraringdgi-
veren
Vejledning om databeskyttelsesraringdgivere
26
Hvordan skal databeskyttelsesraringdgiveren inddrages
For at sikre at databeskyttelsesraringdgiveren inddrages tilstraeligkkeligt og rettidigt er organisationen
forpligtet til at holde databeskyttelsesraringdgiveren tilstraeligkkeligt og rettidigt orienteret om alle
sposlashrgsmaringl om beskyttelse af personoplysninger
Som tommelfingerregel skal databeskyttelsesraringdgiveren have mulighed for at vurdere overhol-
delsen af de databeskyttelsesretlige regler og komme med bemaeligrkninger eller lignende inden
en behandling af personoplysninger igangsaeligttes
Hvornaringr er inddragelsen rettidig
Databeskyttelsesraringdgiveren skal inddrages i saring god tid som det er muligt forud for ivaeligrksaeligttel-
sen af behandling af personoplysninger
Det er afgoslashrende at databeskyttelsesraringdgiveren inddrages i tide til at kunne foretage en reel
vurdering af om den paringtaelignkte behandling af personoplysninger er i overensstemmelse med de
databeskyttelsesretlige regler og dermed kan komme med kvalificerede bemaeligrkninger herom
med henblik paring at raringdgive organisationen
Eksempler paring rettidig inddragelse
Inddrages forud for beslutning om noslashdvendige
foranstaltninger i IT-systemer for at efterleve kra-
vene om databeskyttelse gennem design og stan-
dardindstillinger
Inddrages forud for udstedelse af retningslinjer og
procedurer for hvordan de databeskyttelsesret-
lige regler skal overholdes i organisationen
Inddragelse foslashr offentliggoslashrelse af udbudsmateri-
ale i en udbudsproces eller lignende
Eksempler paring ikke-rettidig inddragelse
Inddragelse af databeskyttelsesraringdgiveren efter
et nyt IT-system er faeligrdigudviklet
Inddragelse af databeskyttelsesraringdgiveren efter
indkoslashb af IT-systemer (dermed ikke en del af
overvejelserne vedr kravspecifikation og databe-
skyttelse gennem design og standardindstillin-
ger)
Inddragelse af databeskyttelsesraringdgiveren efter
at en konsekvensanalyse er udarbejdet
Inddragelse af databeskyttelsesraringdgiveren efter
stoslashrre aeligndringer i organisationens procedurer
der vedroslashrer databeskyttelse saringsom haringndtering
af anmodninger fra registrerede personer
Vejledning om databeskyttelsesraringdgivere
27
Behandlingsaktiviteter igangsat foslashr en databeskyttelsesraringdgiver udpeges
Naringr en organisation udpeger en databeskyttelsesraringdgiver vil der selvsagt vaeligre behandlinger af
personoplysninger der allerede er igangsat i organisationen
Databeskyttelsesraringdgiveren boslashr ved udpegelsen primaeligrt have fokus paring de fremadrettede com-
pliance aktiviteter Derudover kan databeskyttelsesraringdgiveren ndash ud fra en risikovurdering i for-
hold til de behandlinger som konkret indebaeligrer hoslashjere risiko ndash inddrages i organisationens
overvejelser om hvorvidt de igangvaeligrende aktiviteter overholder de databeskyttelsesretlige
regler
Hvornaringr er inddragelsen tilstraeligkkelig
Der skal ske en reel inddragelse af databeskyttelsesraringdgiveren i organisationens overvejelser
og beslutninger vedroslashrende databeskyttelse
Det indebaeligrer at organisationen skal inddrage og tage hoslashjde for databeskyttelsesraringdgiverens
bemaeligrkninger og raringdgivning i oslashvrigt samt dennes rapportering til oslashverste ledelsesniveau om
overholdelse af de databeskyttelsesretlige regler
Saringfremt databeskyttelsesraringdgiverens raringdgivning ikke foslashlges anbefales det at organisationen
dokumenterer dette i overensstemmelse med kravet om accountability
Ressourcer og adgang
Ressourcer
For at databeskyttelsesraringdgiveren rent faktisk kan udfoslashre sine opgaver er det noslashdvendigt at
organisationens tilvejebringer de noslashdvendige ressourcer til stoslashtte for databeskyttelsesraringdgive-
ren
Det er endvidere et krav at organisationen tilvejebringer de fornoslashdne ressourcer for at databe-
skyttelsesraringdgiveren kan opretholde sin ekspertise inden for omraringdet
Fastsaeligttelsen af de fornoslashdne ressourcer beror paring en konkret vurdering som afhaelignger af de
organisatoriske forhold i organisationen saringsom stoslashrrelsen antallet af behandlingsaktiviteter
kompleksiteten af behandlingen af personoplysninger samt de forbundne risici
Jo stoslashrre en organisation er des stoslashrre er behovet for ressourcer til stoslashtte for databeskyttelses-
raringdgiveren
Selve behovet for ressourcer beror paring en konkret vurde-
ring som organisationen er ansvarlig for at foretage
Som eksempler paring fornoslashdne ressourcer kan naeligvnes
Faciliteter og arbejdsredskaber
Oslashkonomiske ressourcer
Personaleressourcer og lignende
Vejledning om databeskyttelsesraringdgivere
28
Adgang
Databeskyttelsesraringdgiveren skal ogsaring have adgang til organisationens personoplysninger og
den behandling af disse som organisationen foretager
Der skal vaeligre tale om en vid adgang som kan tilvejebringes efter behov
Uafhaeligngighed
Det er et grundlaeligggende krav at en databeskyttelsesraringdgiver ikke maring blive instrueret af andre
om hvordan raringdgiveren skal udfoslashre sine opgaver Der gaeliglder saringledes foslashlgende for databeskyt-
telsesraringdgiveren
Maring ikke som led i sin funktion som databeskyttelsesraringdgiver modtage instruks om
hvordan denne skal udfoslashre sine opgaver (eller feks om en bestemt vurdering el-
ler fortolkning af forordningen)
Maring ikke afskediges eller sanktioneres for at udfoslashre sine opgaver
Rapporterer direkte til oslashverste ledelsesniveau
Databeskyttelsesraringdgiverens interne reaktionsmuligheder er i praksis taeligt forbundne med at
ovenstaringende krav til uafhaeligngighed efterleves Idet en databeskyttelsesraringdgiver ikke har instruk-
tionsbefoslashjelser over for andre dele af den dataansvarliges organisation er det i praksis mulighe-
den for at kunne rapportere direkte til oslashverste ledelsesniveau der er raringdgiverens interne virke-
middel overfor konstaterede brud paring forordningen
Hvor det oslashverste ledelsesniveau er afhaelignger af organiseringen hos den konkrete dataansvarlige
eller databehandleren
I forhold til det private erhvervsliv fremgaringr det af selskabsloven at det er bestyrelsen der er det
centrale eller oslashverste ledelsesorgan i selskaber der baringde har en bestyrelse og en direktion Naringr
der i databeskyttelsesforordningen henvises til det oslashverste ledelsesniveau maring det i det private
forstarings i relation til den daglige drift og dermed direktionen saringfremt selskabet har baringde en besty-
relse og en direktion Det vil i praksis betyde at direktionen skal orientere bestyrelsen om vaelig-
sentlige forhold som paringpeges af databeskyttelsesraringdgiveren
For statslige myndigheder maring den oslashverste ledelse forstarings som den oslashverste administrative le-
delse
For saring vidt angaringr kommuner og regioner gaeliglder at databeskyttelsesraringdgiveren rapporterer di-
rekte til kommunalbestyrelsen henholdsvis regionsraringdet Denne rapportering forelaeliggges for kom-
munalbestyrelsen henholdsvis regionsraringdet uden den forudgaringende udvalgsbehandling som de
kommunale og regionale sager ellers normalt skal undergives Dette udelukker dog ikke at en
kommune kan indhente en erklaeligring fra oslashkonomiudvalget forinden forelaeligggelse for kommunal-
bestyrelsen
55 Beskyttelse af databeskyttelsesraringdgiveren
Funktionen som databeskyttelsesraringdgiver er beskyttet ved et forbud mod at kunne blive afskedi-
get for udfoslashrelse af opgaverne som databeskyttelsesraringdgiver
Vejledning om databeskyttelsesraringdgivere
29
Usaglig afskedigelse af en databeskyttelsesraringdgiver er sanktioneret med en boslashde
Databeskyttelsesraringdgiveren vil kunne afskediges paring et sagligt grundlag efter almindelige ansaeligt-
telsesretlige regler
56 Opsummering
En databeskyttelsesraringdgiver udpeges paring baggrund af sine faglige kvalifikationer
Databeskyttelsesraringdgiveren kan baringde vaeligre en intern medarbejder en faeliglles da-
tabeskyttelsesraringdgiver for hele eller flere organisationer eller en ekstern databe-
skyttelsesraringdgiver
Databeskyttelsesraringdgiveren har en raeligkke opgaver denne som minimum skal va-
retage Derudover anbefales det at man klart definerer hvilke opgaver der paringhvi-
ler databeskyttelsesraringdgiveren
En organisation skal rettidig og tilstraeligkkelig inddrage databeskyttelsesraringdgiveren
i alle sposlashrgsmaringl vedroslashrende beskyttelse af personoplysninger
Databeskyttelsesraringdgiveren nyder en saeligrlig beskyttelse mod usaglig afskedi-
gelse og kan ikke afskediges eller sanktioneres for at udfoslashre sine opgaver som
Databeskyttelsesraringdgiver
Dato
20 december 2017
Justitsministeriet
Slotsholmsgade 10
1216 Koslashbenhavn K
Telefon
72 26 84 00
jmjmdk
Eksempler paring tilfaeliglde hvor en databeskyttelsesraringd-
giver kan afskediges
Ikke udfoslashrer sine arbejdsopgaver
Misligholder ansaeligttelsesforholdet
Samarbejdsvanskeligheder
Vejledning om databeskyttelsesraringdgivere
30
ISBN
978-88-98564-35-7
Foto
Scanpix
Vejledning om databeskyttelsesraringdgivere
5
2 Hvad er en databeskyttelsesraringdgiver
En databeskyttelsesraringdgiver er en raringdgiverfunktion i en organisation der skal inddrages i alle
sposlashrgsmaringl om databeskyttelse og raringdgive om de databeskyttelsesretlige regler
Databeskyttelsesraringdgiverens funktion er at understoslashtte at den dataansvarlige overholder reg-
lerne i databeskyttelsesforordningen Databeskyttelsesraringdgiveren er en integreret del af den da-
taansvarliges organisation der efter omstaeligndighederne kan have andre opgaver for den data-
ansvarlige Databeskyttelsesraringdgiveren er altsaring ikke en del af Datatilsynet og fungerer heller
ikke som tilsynets repraeligsentant
Databeskyttelsesraringdgiveren har dog en saeligrlig stilling i forhold til Datatilsynet idet databeskyttel-
sesraringdgiveren er kontaktled til og skal samarbejde med Datatilsynet Databeskyttelsesraringdgive-
ren kan paring den maringde bla vaeligre opdateret om og tage bestik af nye afgoslashrelser vejledninger mv
Forpligtelsen til i visse tilfaeliglde at skulle udpege en databeskyttelsesraringdgiver er et element i da-
tabeskyttelsesforordningens fokus paring ansvarlighed naringr det kommer til at overholde databeskyt-
telsesreglerne
21 Relationen mellem den dataansvarlige og databeskyttelsesraringdgiveren
Det er den dataansvarlige der har ansvaret for at sikre at databeskyttelsesforordningen og da-
tabeskyttelseslovens regler overholdes
Den dataansvarlige udpeger databeskyttelsesraringdgiveren Det er databeskyttelsesraringdgiverens
opgave at raringdgive den dataansvarlige om de databeskyttelsesretlige regler og raringdgiveren kan
saringledes paring bedste vis understoslashtte en god databeskyttelse hos den dataansvarlige
Den dataansvarlige skal tage hoslashjde for databeskyttelsesraringdgiverens opfattelse af en given situ-
ation men det er den dataansvarlige der skal overholde reglerne Det er saringledes ogsaring den da-
taansvarlige der i sidste ende afgoslashr til hvilke formaringl og med hvilke hjaeliglpemidler der maring foreta-
ges behandling af personoplysninger Det er ligeledes den dataansvarlige som sanktioneres
saringfremt reglerne ikke overholdes ogsaring selvom dette skyldes ukorrekt raringdgivning fra databeskyt-
telsesraringdgiverens side
Vejledning om databeskyttelsesraringdgivere
6
3 Privates forpligtelse til at udpege en
databeskyttelsesraringdgiver
I de fleste tilfaeliglde skal private ikke udpege en databeskyttelsesraringdgiver
31 Hvornaringr skal private udpege en databeskyttelsesraringdgiver
I de fleste tilfaeliglde skal den private sektor ikke udpege en databeskyttelsesraringdgiver Kun private
virksomheder der som deres kerneaktivitet behandler foslashlsomme oplysninger eller oplysninger
om strafbare forhold i et stort omfang eller foretager regelmaeligssig og systematisk overvaringgning af
personer i stort omfang er forpligtede til at udpege en databeskyttelsesraringdgiver Forpligtelsen for
private virksomheder til at udpege en databeskyttelsesraringdgiver gaeliglder baringde den dataansvarlige
og databehandleren
Det betyder at de fleste private virksomheder i Danmark der foretager rdquogaeligngsrdquo behandling af
personoplysninger herunder administration af HR-oplysninger kundeoplysninger online
bookingsystemer mv ikke er forpligtede til at udpege en databeskyttelsesraringdgiver
Konkret skal en virksomhed opfylde tre betingelser for at vaeligre forpligtet til at udpege en databe-
skyttelsesraringdgiver (se nedenfor)
Alle betingelser skal vaeligre opfyldt og en virksomhed der feks kun opfylder eacuten eller to af betin-
gelserne ud af de tre vil ikke vaeligre forpligtet til at udpege en databeskyttelsesraringdgiver
Generelt kan det bemaeligrkes om betingelserne at de knytter sig til hvilke personoplysninger man
har og hvordan disse behandles i virksomheden
Foslashlgende tre betingelser skal alle vaeligre opfyldt
1 Behandling af personoplysninger skal vaeligre
virksomhedens kerneaktivitet
2 Der skal behandles personoplysninger i et
stort omfang
3 Behandlingsaktiviteten bestaringr i regelmaeligssig
og systematisk overvaringgning af personer eller
behandlingen vedroslashrer foslashlsomme oplysnin-
ger eller oplysninger om strafbare forhold
Vejledning om databeskyttelsesraringdgivere
7
311 Betingelse nr 1 rdquokerneaktivitetrdquo
Behandling af personoplysninger skal vaeligre virksomhedens kerneaktivitet Med rdquokerneaktivitetrdquo
forstarings ikke den gaeligngse behandling af personoplysninger som de fleste virksomheder foretager
Alle virksomheder behandler saringledes personoplysninger i et vist omfang for at virksomheden kan
fungere Det drejer sig navnlig om behandling af HR-oplysninger og kundeoplysninger i forbin-
delse med kontakt salg og support mv Virksomhedens behandling af disse oplysninger er en
forudsaeligtning for at virksomheden kan udoslashve sin hovedaktivitet feks udbyde tjenesteydelser
eller saeliglge et produkt
Disse almindelige behandlinger af personoplysninger udgoslashr ikke i sig selv en rdquokerneaktivitetrdquo De
kan i stedet anses for en rdquobiaktivitetrdquo idet oplysningerne behandles for at kunne understoslashtte virk-
somhedens hovedaktivitet
Naringr en virksomhed behandler personoplysninger som en biaktivitet vil virksomheden ikke vaeligre
forpligtet til at udpege en databeskyttelsesraringdgiver
Omfattet af begrebet rdquokerneaktivitetrdquo
Behandling af personoplysninger skal vaeligre virksomhedens rdquohovedaktivitetrdquo foslashr det kan anses for
omfattet af begrebet kerneaktivitet
Eksempler paring behandling der udgoslashr rdquobiaktivitetrdquo
Kundekontakt- eller support
HR-oplysninger
Salg
Kundekartotek
Online bookingsystem
Bonuskort
Behandling af klientoplysninger (revi-sorer advokater ingenioslashrer mv)
IT-support
Eksempler paring brancher der som udgangspunkt ikke
har behandling af personoplysninger som kerneakti-
vitet
Privatskoler og doslashgninstitutioner
Forsyningsselskaber
Haringndvaeligrksfaget
Hotel- og restaurationsbranchen
Servicebranchen
Detailhandel
Vejledning om databeskyttelsesraringdgivere
8
Det betyder at virksomheder hvis produkt eller tjeneste direkte bestaringr i behandling af personop-
lysninger kan anses som kerneaktivitet Det kan feks vaeligre virksomheder der udbyder marke-
tingsundersoslashgelser som er baseret paring personoplysninger eller cloud-virksomheder naringr det in-
debaeligrer lagring af personoplysninger
Paring samme maringde kan virksomheder hvis produkt eller tjeneste er uloslashseligt forbundet med be-
handlingen af personoplysninger anses for at have behandling af personoplysninger som deres
kerneaktivitet Det kan feks vaeligre forsikringsselskaber der saeliglger forsikringer til sine kunder
bla paring baggrund af personoplysninger indsamlet om kommende og nuvaeligrende kunder Et an-
det eksempel kan vaeligre privathospitaler
Virksomheder hvis kerneaktivitet bestaringr af behandling af personoplysninger skal dog ogsaring op-
fylde de to oslashvrige betingelser inden virksomheden er forpligtet til at udpege en databeskyttelses-
raringdgiver
312 Betingelse nr 2 rdquoet stort omfangrdquo
Hvis behandlingen af personoplysninger er virksomhedens kerneaktivitet er det ogsaring en betin-
gelse at behandlingen af personoplysninger sker i rdquoet stort omfangrdquo foslashr virksomheden er forplig-
tet til at udpege en databeskyttelsesraringdgiver
Artikel 29-gruppen1 anbefaler i deres udtalelse om databeskyttelsesraringdgivere at der ved vurde-
ringen af om der er tale om en behandling af personoplysninger rdquoi et stort omfangrdquo laeliggges vaeliggt
paring fire kriterier
1 Antallet af personer der behandles oplysninger om ndash enten det specifikke antal personer
eller som andel af den relevante population (befolkningen)
1 Artikel 29-gruppens udtalelse nr 162016 om rdquoGuidelines on Data Protection Officers (rsquoDPOsrsquo)rdquo (WP 243 rev01)
Eksempler paring behandling der udgoslashr rdquokerneaktivitetrdquo
Cloud-computing
Hosting af hjemmesiderdata
Privathospitaler
Forsikringsselskaber
Reklamebureauer der udbyder marke-
tingsundersoslashgelser
Soslashgemaskiner
Tele- eller internetudbydere
Applikationermobile tjenester baseret
paring personoplysninger
Stillingsbesaeligttende virksomhed
Vejledning om databeskyttelsesraringdgivere
9
2 Volumen af personoplysninger ogeller de forskellige typer af personoplysninger der bli-
ver behandlet
3 Tidsperioden der behandles oplysninger i samt hvorvidt behandlingen er permanent
4 Den geografiske udstraeligkning af behandlingsaktiviteterne
Eksempel ndash mindre forsikringsselskab
Et mindre forsikringsselskab der feks kun udbyder sin forretning til en bestemt mindre landsdel
vil formentlig behandle et saring begraelignset omfang af oplysninger at det ikke kan anses for at vaeligre
i et stort omfang Det skyldes at der ikke behandles en stor maeligngde af personoplysninger om et
stort antal personer samt den begraelignsede geografiske udstraeligkning
I modsaeligtning hertil vil et landsdaeligkkende forsikringsselskab anses for at behandle personoplys-
ninger i et stort omfang baringde som foslashlge af maeligngden af oplysninger antallet af personer og den
geografiske udstraeligkning
Eksempel ndash laeliggepraksis
Behandling af patientdata i en laeliggepraksis med et begraelignset antal laeligger tilknyttet kan som foslashlge
af den begraelignsede maeligngde oplysninger der behandles heller ikke anses for at behandle per-
sonoplysninger i et stort omfang
Omvendt vil en stor laeliggepraksis med mange laeligger tilknyttet formentlig behandle en stor maeligngde
personoplysninger om deres patienter Her vil maeligngden af oplysninger der behandles medfoslashre
at der foretages behandling af personoplysninger i et stort omfang
I overvejelserne om fastlaeligggelse af stoslashrrelsen af en privat laeliggepraksisklinikhospital er det rele-
vant at foretage en vurdering af baringde antallet af patienter og af tilknyttede laeligger
Behandling af personoplysninger rdquoi et stort omfangrdquo kan saring-
ledes indebaeligre behandling af
en stor maeligngde af personoplysninger
oplysninger om et stort antal personer
lang varighed herunder permanent
stor geografisk udstraeligkning af behandlingsaktivite-
ter
Vejledning om databeskyttelsesraringdgivere
10
Virksomheder hvis kerneaktivitet bestaringr af behandling af personoplysninger i et stort omfang
skal dog opfylde eacuten af de to sidste betingelser inden virksomheden er forpligtet til at udpege en
databeskyttelsesraringdgiver
313 Betingelse nr 3 rdquoregelmaeligssig og systematisk overvaringgningrdquo eller rdquobehandling af
foslashlsomme oplysninger eller oplysninger om strafbare forholdrdquo
Virksomheder hvis kerneaktivitet bestaringr af behandling af personoplysninger i et stort omfang skal
enten
foretage regelmaeligssig og systematisk overvaringgning af registrerede personer
eller
behandle foslashlsomme oplysningeroplysninger om strafbare forhold
for at vaeligre forpligtede til at udpege en databeskyttelsesraringdgiver
Regelmaeligssig og systematisk overvaringgning af registrerede personer
Regelmaeligssig og systematisk overvaringgning af de registrerede omfatter en virksomheds sporringer
(tracking) eller profilering bla via internettet
Det kan bla omfatte drift af telenet eller services forbundet hermed profilering i forbindelse med
risikovurdering herunder kreditvurderinger vurdering af forsikringspraeligmie lokationstracking via
applikationer og adfaeligrdsbaseret annoncering
Eksempel ndash marketingsfima
Et marketingsfirma der foretager marketingsundersoslashgelser hvor der indgaringr personoplysninger i
et stort omfang og undersoslashgelsen er baseret paring adfaeligrdsbaseret annoncering er omfattet da de
foretager en regelmaeligssig og systematisk overvaringgning af de registrerede personer
Behandling af foslashlsomme oplysninger eller oplysninger om strafbare forhold
Oplysninger kan anses for foslashlsomme hvis de omhandler oplysninger om
Behandling i et stort omfang
Eksempler paring virksomheder der behandler
personoplysninger rdquoi et stort omfangrdquo
Privathospitaler
Stoslashrre forsikringsselskaber
Sporing via feks rejsekort
Soslashgemaskines behandling af
personoplysninger
Tele- eller internetudbydere
Vejledning om databeskyttelsesraringdgivere
11
race eller etnisk oprindelse
politisk religioslashs eller filosofisk overbevisning
fagforeningsmaeligssigt tilhoslashrsforhold
behandling af genetisk data eller biometrisk data med det formaringl entydigt at iden-
tificere en fysisk person
helbredsoplysninger
oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering
Oplysninger om strafbare forhold omfatter oplysninger om straffedomme og lovovertraeligdelser
Eksempel ndash skadesforsikringsselskaber
Skadesforsikringsselskaber kan man opdele i de selskaber der behandler foslashlsomme oplysninger
og de selskaber der ikke (eller i begraelignset omfang) behandler foslashlsomme oplysninger
For saring vidt angaringr de selskaber der ikke behandler denne type oplysninger kan naeligvnes special-
selskaber som typisk forsikrer ting (feks glasforsikring) og ikke risiko for personskader Forsik-
ringsselskaber der i begraelignset omfang jf betingelsen ovenfor behandler de omhandlede op-
lysninger vil typisk vaeligre forsikringsselskaber der tegner privatforsikringer herunder eksempelvis
indbo- og bilforsikringer eller erhvervsforsikringer for mindre virksomheder Her indhentes de
naeligvnte oplysninger i forbindelse med tegning af ulykkesforsikringer og ved behandling af per-
sonskader under ulykkesforsikringer
For saring vidt angaringr skadesforsikringsselskaber der opfylder betingelse nr 3 ndash idet de behandler
foslashlsomme oplysninger ndash kan naeligvnes specialiserede rejseforsikringsselskaber for saringvel rejsegods
som syge- og ulykkesforsikringer En betydelig del af disse selskabers forsikringer er personfor-
sikringer hvor der baringde ved tegning og ved behandlingen af personskader (ulykker og syg-
domme) indhentes foslashlsomme oplysninger Endvidere kan sygeforsikringsselskaber som daeligkker
medicin og en raeligkke andre udgifter til helbredelse naeligvnes idet der indhentes helbredsoplysnin-
ger ved optagelses- og refusionssager
Eksempel ndash HR-oplysninger
Virksomheder vil typisk behandle oplysninger om ansattes fagforeningsmaeligssige tilhoslashrsforhold
og helbredsoplysninger i forbindelse med virksomhedens HR-funktion Her er der netop tale om
foslashlsomme oplysninger men det medfoslashrer ikke i sig selv at virksomheden er forpligtet til at udpege
en databeskyttelsesraringdgiver Hertil kraeligves at behandling af personoplysninger er virksomhe-
dens kerneaktivitet og foretages i et stort omfang
Eksempler paring virksomheder der kan
opfylde alle tre betingelser
Privathospitaler
Stoslashrre forsikringssel-
skaber
Tele- eller internetud-
bydere
Marketingsfirma der
udbyder marketingsun-
dersoslashgelser
Eksempler paring virksomheder der blot op-
fylder nogle af betingelserne
Mindre privathospitaler
Mindre forsikringsselskab
Mindre laeliggepraksis
Stoslashrre virksomheder hvor
behandling af personop-
lysninger kun er en biakti-
vitet
Vejledning om databeskyttelsesraringdgivere
12
Eksempel ndash Livs- og pensionsforsikringsselskaberne
Store eller middelstore forsikringsselskaber der dels tegner livs- og pensionsforsikringer for en-
keltpersoner og dels firmapensionsordninger hvor de sikrede er en virksomheds ansatte indhen-
ter og behandler foslashlsomme oplysninger isaeligr helbredsoplysninger ved saringvel tegningindmeldelse
som ved behandlingen af tab af erhvervsevne doslashdsfald sygdom mv Henset til at behandling
af personoplysninger endvidere er disse forsikringsselskabers kerneaktivitet samt at de grundet
stoslashrrelse og geografiske udstraeligkning behandler personoplysningerne i stort omfang vil de som
udgangspunkt skulle udpege en databeskyttelsesraringdgiver
Det bemaeligrkes at det er vigtigt at have sig for oslashje at der er tale om betingelser der alle skal
vaeligre opfyldt Der skal altsaring vaeligre tale om at virksomhedens kerneaktivitet er behandling i stort
omfang af foslashlsomme oplysninger eller oplysninger om strafbart forhold Eller at virksomhedens
kerneaktivitet bestaringr af behandlingsaktiviteter i stort omfang af regelmaeligssig og systematisk over-
varinggning af personer
Virksomheder der ikke er forpligtede til at udpege en databeskyttelsesraringdgiver kan med fordel
dokumentere vurderingen saring denne kan fremvises til Datatilsynet
32 Frivillig udnaeligvnelse af en databeskyttelsesraringdgiver
Private kan under alle omstaeligndigheder frivilligt vaeliglge at udpege en databeskyttelsesraringdgiver
I de tilfaeliglde hvor der frivilligt udpeges en databeskyttelsesraringdgiver gaeliglder de samme krav til
databeskyttelsesraringdgiveren som hvis virksomheden var forpligtet til at udpege en databeskyttel-
sesraringdgiver
Det betyder at kravene til databeskyttelsesraringdgiverens opgaver kvalifikationer stilling beskyt-
telse og inddragelse skal efterleves
Vaeliglger en virksomhed derimod at udpege en medarbejder der feks er compliance-raringdgiver er
virksomheden ikke forpligtet til at efterleve forordningens krav til en databeskyttelsesraringdgiver
33 Faeliglles databeskyttelsesraringdgiver
En koncern har mulighed for at udpege en faeliglles databeskyttelsesraringdgiver for hele koncernen
forudsat at alle etableringer af koncernen har let adgang til databeskyttelsesraringdgiveren
Andre private dataansvarlige og databehandlere end koncerner har ogsaring mulighed for at udpege
en faeliglles databeskyttelsesraringdgiver Et konsulentfirma kan udoslashve funktionen som databeskyttel-
sesraringdgiver for flere dataansvarlige paring samme tid paring baggrund af tjenesteydelseskontrakter
Det er dog en forudsaeligtning for at private kan udpege en faeliglles databeskyttelsesraringdgiver at
databeskyttelsesraringdgiveren kan efterleve forordningens krav til vedkommende naringr opgaven loslash-
Vejledning om databeskyttelsesraringdgivere
13
ses for flere private paring eacuten gang Dette maring i praksis forudsaeligtte at der feks er adgang til at kom-
munikere med databeskyttelsesraringdgiveren paring et sprog som de beroslashrte medarbejdere kan forstaring
Det maring ligeledes forudsaeligtte at der er afsat saringdanne ressourcer til databeskyttelsesraringdgiveren
at det spejler omfanget af de organisationer der skal daeligkkes Der vil derfor i praksis ikke vaeligre
noget til hinder for at feks en virksomhed udpeger en faeliglles databeskyttelsesraringdgiver paring tvaeligrs
af flere stoslashrre koncernforbundne virksomheder naringr blot de ressourcer der afsaeligttes til databe-
skyttelsesraringdgiveren i form af medarbejdere rejsebudget it-understoslashttelse mv i tilstraeligkkelig om-
fang sikrer at databeskyttelsesraringdgiveren kan moslashde sine forpligtelser
34 Opsummering
Der skal rigtig meget til foslashr en privat virksomhed er forpligtet til at udpege en da-
tabeskyttelsesraringdgiver
Helt konkret skal tre betingelser der knytter sig til en virksomheds behandling af
personoplysninger alle vaeligre opfyldt foslashr der en pligt til at udpege en databeskyt-
telsesraringdgiver
Alle virksomheder boslashr foretage en konkret vurdering af om de tre betingelser er
opfyldt Er alle tre betingelser ikke opfyldt skal der ikke udpeges en databeskyt-
telsesraringdgiver
Vejledning om databeskyttelsesraringdgivere
14
4 Offentlige myndigheders forpligtelse til
at udpege en databeskyttelsesraringdgiver
Offentlige myndigheder og offentlige organer skal altid have en databeskyttelsesraringdgiver uanset
om de er dataansvarlige eller databehandlere
41 Hvornaringr skal offentlige myndigheder udpege en databeskyttelsesraringdgiver
I det omfang behandling foretages af en offentlig myndighed eller et offentligt organ skal myndig-
heden eller organet altid have en databeskyttelsesraringdgiver hvad enten de er dataansvarlige eller
databehandlere
Det betyder at der ogsaring skal udpeges en databeskyttelsesraringdgiver hvis den offentlige myndig-
hed eller organ behandler personoplysninger paring vegne af en privat eller selv outsourcer sin da-
tabehandling til en privat som ikke er forpligtet til at udpege en databeskyttelsesraringdgiver Det kan
feks vaeligre tilfaeligldet naringr offentlige myndigheder eller organer vaeliglger at overlade til en anden at
udfoslashre selve den praktiske behandling af personoplysninger paring den dataansvarliges vegne
Den eneste undtagelse hertil er domstole der ikke er forpligtede til at udpege en databeskyttel-
sesraringdgiver naringr de handler i deres egenskab af domstole
42 Hvornaringr er man en offentlig myndighed
De myndigheder der i dansk ret henregnes til den offentlige forvaltning i medfoslashr af forvaltnings-
lovens sect 1 stk 1-2 skal anses for offentlige myndigheder eller organer og er dermed forpligtede
til at udpege en databeskyttelsesraringdgiver Det fremgaringr heraf at foslashlgende virksomheder omfattes
af loven al virksomhed der udoslashves af den offentlige forvaltning og al virksomhed der udoslashves af
selvejende institutioner foreninger fonde mv der er oprettet ved lov eller i henhold til lov og
selvejende institutioner foreninger fonde mv der er oprettet paring privatretligt grundlag og som
udoslashver offentlig virksomhed af mere omfattende karakter og er undergivet intensiv offentlig regu-
lering intensivt offentlig tilsyn og intensiv offentlig kontrol
I forhold til selvejende institutioner mv oprettet paring privatretligt grundlag vil der saringledes vaeligre
nogle som omfattes af kravet om at have en databeskyttelsesraringdgiver mens andre ikke omfattes
Det vil bero paring en konkret vurdering
Selvejende institutioner mv oprettet paring privatretligt grundlag som udoslashver offentlig virksomhed
af mere omfattende karakter og er undergivet intensiv offentlig regulering intensivt offentlig tilsyn
og intensiv offentlig kontrol vil vaeligre omfattet
Det spiller endvidere ind om det offentlige har instruktionsbefoslashjelser over for institutionen om det
offentlige skal godkende institutionens vedtaeliggter og om det offentlige yder sekretariatsbistand
Vejledning om databeskyttelsesraringdgivere
15
til institutionen Herudover maring man se paring om det offentlige skal godkende institutionens regn-
skaber og om institutionens drift og virksomhed er detaljeret reguleret ved regler og retningslinjer
udstedt af det offentlige Endelig kan man tage hensyn til om det offentlige overtager institutio-
nens rettigheder og forpligtelser hvis den nedlaeliggges
Eksempler paring selvejende institutioner mv der er omfattet
- Universiteter
- Institutioner hvor kommunalbestyrelsen har indgaringet overenskomst til opfyldelse af sine forplig-
telser efter lov om social service
- Gymnasieskoler
Eksempler paring selvejende institutioner og foreninger der ikke er omfattet
- Danske Regioner og KL
- Dansk Flygtningehjaeliglp
For saring vidt angaringr statslige og kommunale institutioner der er organiseret i selskabsform feks
som aktieselskab eller interessentskab vil disse umiddelbart aldrig vaeligre omfattet Dette er ogsaring
tilfaeligldet for koncessionerede selskaber og selskaber hvori staten eller en kommune er aktionaeligr
interessent eller lignende uanset om staten eller kommunen ejer selskabet 100 Det har i den
forbindelse ingen betydning hvilke aktiviteter organet udfoslashrer ligesom det ikke i sig selv kan foslashre
til et andet resultat at selskabet maringtte vaeligre oprettet ved lov eller i henhold til lov
Dog er kommunale faeligllesskaber jf sect 60 i lov om kommunernes styrelse hvortil to eller flere
kommuner overfoslashrer opgaver til selvstaeligndig varetagelse altid offentlige myndigheder Det gaeligl-
der uanset at kommunale faeligllesskaber normalt etableres som interessentskaber Det kommu-
nale faeligllesskab er selvstaeligndigt dataansvarligt og skal udpege en databeskyttelsesraringdgiver
Eksempel paring institution der er organiseret i selskabsform der ikke er omfattet
- Staten og Kommunernes Indkoslashbs Service AS
Saringfremt der ikke er tale om en offentlig myndighed eller organ skal bedoslashmmelsen af hvorvidt
man har pligt til at udpege en databeskyttelsesraringdgiver foretages i henhold til betingelserne be-
skrevet ovenfor under punkt 3 vedroslashrende privates forpligtelse til at udpege en databeskyttel-
sesraringdgiver
43 Faeliglles databeskyttelsesraringdgiver for offentlige myndigheder
Flere myndigheder eller organer vil i mange tilfaeliglde kunne have en faeliglles databeskyttelsesraringd-
giver forudsat at det er i overensstemmelse med deres organisatoriske struktur og stoslashrrelse I
den forbindelse kan det vaeligre relevant at overveje om raringdgiveren skal fungere paring baggrund af
eacuten ansaeligttelseskontrakt for to forskellige myndigheder eller to deltidskontrakter
Herudover vil en databeskyttelsesraringdgiver kunne vaeligre ansat paring en deltidskontrakt hos eacuten myn-
dighed og ansat paring baggrund af en tjenesteydelseskontrakt i en anden myndighed eller organi-
sation
Vejledning om databeskyttelsesraringdgivere
16
Saringfremt flere myndigheder har en faeliglles databeskyttelsesraringdgiver er det dog en forudsaeligtning
at databeskyttelsesraringdgiveren kan efterleve kravene i databeskyttelsesforordningen til en data-
beskyttelsesraringdgiver herunder til dennes stilling opgaver uafhaeligngighed og tilgaeligngelighed mv
naringr denne loslashser opgaven for flere myndigheder paring eacuten gang
For saring vidt angaringr tilgaeligngelighed er der ikke et krav om fysisk tilstedevaeligrelse paring alle lokationer
saringfremt der anvendes en faeliglles databeskyttelsesraringdgiver De enkelte myndigheder har i den for-
bindelse mulighed for at aftale hvordan den fysiske tilgaeligngelighed i praksis kan loslashftes herunder
feks ved hjaeliglp af mail telefon internet mm Det er i relation til kravet om tilgaeligngelighed endvi-
dere vaeligrd at bemaeligrke at flere myndigheder som naeligvnt godt kan have en faeliglles raringdgiver men
at databeskyttelsesraringdgiveren skal kunne (naring at) varetage sin raringdgivningsopgave fyldestgoslashrende
for alle de myndigheder for hvilke den paringgaeligldende varetager opgaven som databeskyttelses-
raringdgiver Her kan det bla vaeligre relevant at se paring maeligngden af personoplysninger der behandles
i en given myndighed
I relation til uafhaeligngighedskriteriet bemaeligrkes at det kan vaeligre betaelignkeligt at lade visse myndig-
heder have en faeliglles databeskyttelsesraringdgiver jf nedenfor under afsnittet rdquoEksempel ndash Ministe-
rier og underordnede myndighederrdquo
Der henvises i oslashvrigt til afsnit 5 i denne vejledning
Det er endvidere et krav at der er eacuten der er personligt ansvarlig for hvervet som databeskyttel-
sesraringdgiver
Som foslashlge af kravet om at udpegningen af en faeliglles databeskyttelsesraringdgiver skal vaeligre i over-
ensstemmelse med myndigheden eller organets organisatoriske struktur og stoslashrrelse stilles der
krav til selve ansaeligttelsen af databeskyttelsesraringdgiveren
Den retlige graelignse for at dele en databeskyttelsesraringdgiver vil i et saringdan tilfaeliglde vaeligre de gaeligl-
dende standarder om offentlige ansattes bierhverv de almindelige habilitetsregler og muligheden
for at efterleve kravene i forordningen herunder tilstraeligkkelige ressourcer i forhold til at udfoslashre
hvervet
Vejledning om databeskyttelsesraringdgivere
17
Kommuner
Det antages ikke at vaeligre i overensstemmelse med en offentlig myndigheds struktur eller stoslashr-
relse hvis en databeskyttelsesraringdgiver fungerer paring baggrund af eacuten ansaeligttelseskontrakt i to for-
skellige kommuner Det antages derimod omvendt at vaeligre i overensstemmelse hermed saring-
fremt raringdgiveren udoslashver sin funktion paring baggrund af to deltidskontrakter i to kommuner paring
samme tid
Eksempel ndash En kommune
En kommune vil typisk vaeligre dataansvarlig for alle de behandlinger af personoplysninger som
foretages inden for den kommunale enhedsforvaltning Derfor er en kommune ikke forpligtet til at
udpege eacuten databeskyttelsesraringdgiver for de enkelte forvaltninger men vil kunne udpege eacuten data-
beskyttelsesraringdgiver for hele kommunen
Eksempel ndash organer med selvstaeligndig kompetence paring det kommunale omraringde
Det bemaeligrkes at der paring det kommunale omraringde kan vaeligre organer som ikke er en del af den
kommunale enhedsforvaltning men har selvstaeligndig kompetence paring det kommunale omraringde
feks huslejenaeligvnet ligesom der kan vaeligre kommunale organer som er en del af enhedsforvalt-
ningen der i visse henseender har en ndash i forhold til kommunalbestyrelsen ndash selvstaeligndig kompe-
tence herunder feks skoleledere
Naringr det i lovgivningen er fastsat eller forudsat at disse organer sekretariatsbetjenes af kommu-
nen og kommunen yder sekretariatsbetjening kan organerne have faeliglles databeskyttelsesraringd-
giver med kommunen og er ikke forpligtet til selvstaeligndigt at udpege en databeskyttelsesraringdgiver
ved siden af kommunens Databeskyttelsesraringdgiverens ydelser vil i den forbindelse vaeligre en del
af sekretariatsbetjeningen
Eksempel ndash Flere kommuner
Flere kommuner vil have mulighed for at dele en databeskyttelsesraringdgiver Som udgangspunkt
vurderes det at feks en gennemsnitskommune paring omkring 45000 indbyggere godt vil kunne
dele en databeskyttelsesraringdgiver med en anden tilsvarende eller en mindre kommune eller at en
lidt stoslashrre kommune vil kunne dele med en mindre kommune hvis databeskyttelsesraringdgiveren
Eksempel - Rigspolitiets databeskyttelsesenhed
Rigspolitiet har udpeget en faeliglles databeskyttelsesraringdgiver for landets 12
politikredse og Rigspolitiet for saring vidt angaringr behandlingen af personoplys-
ninger til brug for retsharingndhaeligvelsesformaringl
Den faeliglles databeskyttelsesraringdgiver understoslashttes i den forbindelse af en cen-
tral datebeskyttelsesenhed i Rigspolitiet hvor de enkelte medarbejdere be-
sidder stort kendskab til persondateretlige og forretningsmaeligssige forhold
med relevans for enhedens opgavevaretagelse Paring denne baggrund kan da-
tabeskyttelsesraringdgiveren samlet set leve op til sine forpligtelser som databe-
skyttelsesraringdgiver i medfoslashr af lov om retsharingndhaeligvende myndigheders be-
handling af personoplysninger som er lig dem der foslashlger af databeskyttel-
sesforordningen
Vejledning om databeskyttelsesraringdgivere
18
samlet set vurderes at kunne varetage opgaverne som databeskyttelsesraringdgiver Der skal saringle-
des foretages en konkret vurdering i det enkelte tilfaeliglde idet det afgoslashrende er om man som
databeskyttelsesraringdgiver kan efterleve sin funktion retmaeligssigt naringr funktionen udoslashves for flere
kommuner paring samme tid
Herudover vil to eller flere kommuner kunne oprette et kommunalt faeligllesskab til hvilket de garingr
sammen om at loslashse opgaven som databeskyttelsesraringdgiver i de deltagende kommuner
Eksempel - Regioner
En region vil typisk ogsaring vaeligre dataansvarlig for alle de behandlinger af personoplysninger der
foretages inden for regionen herunder drift af hospitaler forskning og sociale tilbud mv Hver
region vil som udgangspunkt kunne udpege eacuten databeskyttelsesraringdgiver
Eksempel - Ministerier og underordnede myndigheder
Departementer og underordnede myndigheder kan have en faeliglles databeskyttelsesraringdgiver
Dog kan der vaeligre hindringer som feks myndighedens stoslashrrelse der bevirker at man ikke kan
dele en databeskyttelsesraringdgiver Som eksempel herparing kan naeligvnes Justitsministeriet og politiet
der ikke kan have en faeliglles raringdgiver
Det skyldes at politiet anses for at vaeligre saring stor en enhed at en faeliglles databeskyttelsesraringdgiver
ikke vil kunne efterleve kravene til en databeskyttelsesraringdgiver (om bla tilgaeligngelighed) hvis
denne baringde skulle udfoslashre sin opgave for politiet som helhed og med andre myndigheder under
Justitsministeriets ressort
Dog vil politiet ndash i en ordning svarende til den ovenfor beskrevne paring retsharingndhaeligvelsesomraringdet ndash
kunne have en faeliglles databeskyttelsesraringdgiver under forordningen der udfoslashrer sin funktion for
alle politikredse
Det bemaeligrkes endvidere at forordningens krav om uafhaeligngighed skal vaeligre opfyldt for alle de
myndigheder der deler en databeskyttelsesraringdgiver
I den forbindelse ndash samt i relation til en underordnet myndigheds eventuelt saeligrlige uafhaeligngighed
ift den overordnede myndighed ndash kan der vaeligre visse situationer hvor det kan vaeligre betaelignkeligt
at lade en underordnet myndighed dele databeskyttelsesraringdgiver med et departement
Som eksempel herparing kan naeligvnes Datatilsynet og Justitsministeriets departement Dette er bla
henset til Datatilsynets funktionelle uafhaeligngighed i forhold til Justitsministeriet samt tilsynets spe-
cielle kompetence og rolle i forhold til databeskyttelsesforordningen Som et andet eksempel kan
naeligvnes Ankestyrelsens relation til (paring nuvaeligrende tidspunkt) Oslashkonomi- og Indenrigsministeriets
departement Her kan bla peges paring maeligngden og karakteren af data som behandles i Ankesty-
relsen samt styrelsens faglige uafhaeligngighed af departementet
Organisatoriske aeligndringer kan ogsaring bevirke at det i visse situationer ndash af praktiske aringrsager ndash
kan vaeligre mere oplagt for en underordnet myndighed at have sin egen databeskyttelsesraringdgiver
fremfor at dele med sit departement Hvis en underordnet myndighed saringledes har sin egen data-
beskyttelsesraringdgiver kan denne blot fortsaeligtte under samme kontrakt vilkaringr mv uanset at en
Vejledning om databeskyttelsesraringdgivere
19
myndighed efter eksempelvis et regeringsskifte organisatorisk placeres under et andet ministe-
rium
Eksempel - Selvejende institutioner
I det omfang selvejende institutioner kan anses for en offentlig myndighed eller et organ vil disse
myndigheder ogsaring have mulighed for at udpege en faeliglles databeskyttelsesraringdgiver med en an-
den selvejende institution omfattet af samme lovgivning eller feks den kommune som institutio-
nen har driftsoverenskomst med i det omfang kommunen yder sekretariatsbistand til institutio-
nen
44 Opsummering
Alle offentlige myndigheder og organer skal udpege en databeskyttelsesraringdgiver
fra den 25 maj 2018
Det er i hoslashj grad muligt at udpege en faeliglles databeskyttelsesraringdgiver der funge-
rer paring vegne af flere myndigheder paring eacuten gang
Muligheden for at have en faeliglles databeskyttelsesraringdgiver begraelignses af at
denne skal kunne leve op til sine forpligtelser efter databeskyttelsesforordningen
Databeskyttelsesraringdgiveren kan understoslashttes af en enhed for at kunne udfoslashre sit
hverv i overensstemmelse med forordningens krav Dette gaeliglder uanset om da-
tabeskyttelsesraringdgiveren fungerer for eacuten myndighed eller for flere myndigheder
og organer
Vejledning om databeskyttelsesraringdgivere
20
5 Databeskyttelsesraringdgiveren
51 Krav til faglige kvalifikationer
En databeskyttelsesraringdgiver skal udpeges paring baggrund af sine faglige kvalifikationer Dette
gaeliglder navnlig evnen til at udfoslashre sine opgaver som databeskyttelsesraringdgiver og ekspertise in-
den for databeskyttelsesret- og praksis
Der er ikke krav om at en databeskyttelsesraringdgiver skal have en bestemt uddannelsesmaeligssig
baggrund feks som jurist
Dermed er det op til den enkelte organisation at vurdere hvem der er bedst egnet til at varetage
stillingen som databeskyttelsesraringdgiver
Kravene til stillingen afhaelignger til en vis grad af kompleksiteten af den behandling af personop-
lysninger som den paringgaeligldende organisation foretager Dermed kan der for nogen organisatio-
ner vaeligre behov for at ansaeligtte en databeskyttelsesraringdgiver med stor erfaring inden for feltet og
i andre tilfaeliglde kan en eksisterende medarbejder paring baggrund af diverse kurser varetage funkti-
onen
Hvis der udpeges en databeskyttelsesraringdgiver fra egen organisation kan det med fordel vaeligre
en person som i forvejen har et vist kendskab til eller indsigt i haringndtering af databeskyttelses-
retlige sposlashrgsmaringl i organisationen
52 Hvem kan vaeligre databeskyttelsesraringdgiver
Som udgangspunkt kan alle som organisationen finder kvalificeret til at vaeligre databeskyttelses-
raringdgiver varetage funktionen
Foslashlgende kan derfor vaeligre databeskyttelsesraringdgivere
En intern medarbejder
En faeliglles databeskyttelsesraringdgiver for hele eller flere organisationer
En ekstern databeskyttelsesraringdgiver
Intern medarbejder
En organisation kan vaeliglge at udpege en eksisterende medarbejder som databeskyttelsesraringdgi-
ver
Det er ikke et krav at den medarbejder der varetager funktionen som databeskyttelsesraringdgiver
udoslashver sin funktion paring fuld tid
Vejledning om databeskyttelsesraringdgivere
21
Dermed kan en intern medarbejder der varetager funktionen som databeskyttelsesraringdgiver ud-
foslashre andre opgaver og have andre pligter i organisationen
Saringledes kan en medarbejder der feks arbejder i IT-sektionen i en organisation godt varetage
funktionen som databeskyttelsesraringdgiver paring deltid eller 10 timer om ugen alt efter behovet i
den enkelte organisation
Det afgoslashrende er at den paringgaeligldende medarbejder fyldestgoslashrende kan udoslashve sit erhverv som
databeskyttelsesraringdgiver i organisationen
Den person der udpeges kan med fordel vaeligre en person som i forvejen har et vist kendskab
til eller indsigt i haringndtering af databeskyttelsesretlige sposlashrgsmaringl i organisationen
Selve vurderingen af hvor meget tid en medarbejder skal bruge paring fyldestgoslashrende at kunne ef-
terleve kravene til en databeskyttelsesraringdgiver i organisationen afhaelignger af en konkret vurde-
ring af behovet hos organisationen
Interne ansatte der ikke kan vaeligre databeskyttelsesraringdgiver
En databeskyttelsesraringdgiver skal baringde vaeligre uafhaeligngig og vaeligre i stand til at udoslashve uvildig raringd-
givning til organisationen
Derfor kan en databeskyttelsesraringdgiver ikke vaeligre den oslashverste IT-ansvarlige eller oslashverste HR-
ansvarlige i en organisation
Eksempel ndash virksomhed med faring ansatte
Virksomheder med faring ansatte herunder feks enkeltmandsvirksomheder vil have svaeligrt ved at
opfylde betingelsen om at en databeskyttelsesraringdgiver ikke kan vaeligre oslashverste IT-ansvarlige eller
oslashverste HR-ansvarlige i en organisation (forudsat at virksomheden i oslashvrigt opfylder betingelserne
for hvornaringr private skal udpege en databeskyttelsesraringdgiver jf naeligrmere om privates forpligtelse
under punkt 3) I en saringdan situation kan virksomheden enten benytte sig af muligheden for at
udpege en faeliglles databeskyttelsesraringdgiver eller anvende en konsulent til opgaven
Databeskyttelsesraringdgiverenhed
Der kan ogsaring udpeges eacuten databeskyttelsesraringdgiver for den paringgaeligldende organisation som un-
derstoslashttes af en enhed saring den paringgaeligldende kan leve op til sine forpligtelser efter forordningen jf
den ovenfor beskrevne ordning for politiet
Faeliglles databeskyttelsesraringdgiver
Saringvel private som offentlige myndigheder kan udpege en faeliglles databeskyttelsesraringdgiver af-
haeligngig af deres struktur og stoslashrrelse
Medarbejdere som ikke har det oslashverste ansvar kan vaeligre databe-
skyttelsesraringdgivere Det betyder at ledende IT-medarbejdere
compliance-officerer eller en it-sikkerheds koordinator mv kan
udoslashve funktionen som databeskyttelsesraringdgiver i organisationen
Vejledning om databeskyttelsesraringdgivere
22
Ekstern medarbejder
Man kan ogsaring vaeliglge at udpege en ekstern databeskyttelsesraringdgiver Dette kan enten vaeligre en
raringdgiver (konsulentvirksomhed) saringsom en bestemt advokat eller revisor eller andre kvalifice-
rede eksterne parter Udoslashvelsen af hvervet som databeskyttelsesraringdgiver vil dog i sagens natur
alene kunne udoslashves i det omfang dette er foreneligt med eventuelle regler ndash herunder etiske
krav ndash for den relevante type af raringdgivervirksomhed mv
53 Databeskyttelsesraringdgiverens opgaver
Databeskyttelsesraringdgiveren funktion bestaringr i at raringdgive den dataansvarlige og hjaeliglpe med at
organisationen efterlever de databeskyttelsesretlige regler
En databeskyttelsesraringdgiver skal desuden prioritere sine opgaver og fokusere paring de behandlin-
ger af personoplysninger i den paringgaeligldende organisation som konkret indebaeligrer en hoslashjere ri-
siko for brud paring de databeskyttelsesretlige regler Dog skal oslashvrige databeskyttelsesretlige omraring-
der som indebaeligrer en lavere grad af risiko ikke undlades
Der er en raeligkke opgaver som databeskyttelsesraringdgiveren som minimum skal varetage Der er
dog ikke noget til hinder for at der overlades flere opgaver til databeskyttelsesraringdgiveren Da-
tabeskyttelsesraringdgiverens rolle som central raringdgivningsfigur i organisationen samt dennes op-
gaver kan med fordel beskrives naeligrmere i en (ansaeligttelses)aftale
Nedenfor foslashlger en naeligrmere beskrivelse af de opgaver som databeskyttelsesraringdgiveren som
minimum skal varetage i en organisation
Underrette og raringdgive organisationen og de ansatte om databeskyttelse
Det indebaeligrer
Konkret raringdgivning om beskyttelse af personoplysninger i organisationen samt
overvejelser og beslutninger om hvordan compliance sikres mv feks i forbin-
delse med foslashlgende
Organisationens indkoslashb af nyt IT-system
kravsspecifikationer til leverandoslashrer
udarbejdelse af organisationens data-politikker
ivaeligrksaeligttelse af behandling af personoplysninger
overvejelser om hvorvidt en given behandling af personoplysninger over-
holder de generelle behandlingsregler
Staring til raringdighed for ansatte samt ledelsen i organisationen vedroslashrende sposlashrgsmaringl
om databeskyttelse
Vejledning om databeskyttelsesraringdgivere
23
Raringdgivning i forbindelse med udarbejdelse af organisationens konsekvensanaly-
ser jf afsnit 3 nedenfor
Modtage underretning om og raringdgive organisationen i forbindelse med brud paring
persondatasikkerheden
Overvaringge overholdelsen af de databeskyttelsesretlige regler i organisationen
Det indebaeligrer bla ogsaring at overvaringge
organisationens politikker om databeskyttelse
uddannelse af personale i databeskyttelse
oplysningskampagner
fordeling af ansvar
revisioner
Det skal hertil bemaeligrkes at databeskyttelsesraringdgiverens opgave med at overvaringge overholdel-
sen af de databeskyttelsesretlige regler i organisationen ikke medfoslashrer at raringdgiveren overtager
selve ansvaret for at behandlingen af personoplysninger sker i overensstemmelse med reg-
lerne Dette ansvar ligger fortsat hos den dataansvarlige
Raringdgivning i forbindelse med udarbejdelse af organisationens konsekvensanalyser
I visse tilfaeliglde skal organisationer udarbejde en konsekvensanalyse af en planlagt behandling
af personoplysninger
I de tilfaeliglde hvor en organisation har udpeget en databeskyttelsesraringdgiver skal denne raringdfoslash-
res naringr der foretages en konsekvensanalyse
Herudover skal databeskyttelsesraringdgiveren raringdgive med hensyn til konsekvensanalysen naringr
der anmodes herom
Som led i overvaringgningsopgaven kan databeskyttel-
sesraringdgiveren foretage foslashlgende
indsamle oplysninger til at identificere
behandlingsaktiviteter
informere raringdgive og komme med an-
befalinger til den dataansvarlige og da-
tabehandleren
Vejledning om databeskyttelsesraringdgivere
24
I tilfaeliglde af uenighed mellem organisationen og databeskyttelsesraringdgiveren anbefales det at
det specifikt fremgaringr af selve konsekvensanalysen hvorfor databeskyttelsesraringdgiverens indstil-
ling ikke er blevet fulgt
Samarbejde med Datatilsynet paring vegne af organisationen
En organisation er forpligtet til at hoslashre Datatilsynet inden behandling hvis en konsekvensana-
lyse vedroslashrende databeskyttelse viser at behandlingen af personoplysninger vil foslashre til hoslashj ri-
siko i mangel af foranstaltninger truffet af organisation for at begraelignse risikoen
Det foslashlger af forordningen at databeskyttelsesraringdgiveren skal samarbejde med tilsynsmyndig-
heden og fungere som tilsynsmyndighedens kontaktperson Det kan feks vaeligre databeskyttel-
sesraringdgiveren der paring vegne af den dataansvarlige hoslashrer tilsynsmyndigheden
Vaeligre kontaktpunkt for tilsynsmyndigheden (Datatilsynet) angaringende alle sposlashrgsmaringl om behand-
ling af personoplysninger for de personer der behandles oplysninger om
Databeskyttelsesraringdgiveren skal inddrages af den dataansvarlige i tilfaeliglde af at konkrete kla-
gesager indbringes for Datatilsynet Databeskyttelsesraringdgiveren boslashr ligeledes orienteres naringr
Datatilsynet beslutter at gennemfoslashre et eventuelt tilsyn af den dataansvarlige
Herudover skal databeskyttelsesraringdgiveren ogsaring vaeligre i stand til at vejlede den person der be-
handles personoplysninger om Det betyder at databeskyttelsesraringdgiveren skal vaeligre i stand til
at vejlede om hvilke rettigheder den paringgaeligldende har og hvordan de kan udnyttes
Det indebaeligrer endvidere at den dataansvarlige skal give meddelelse om kontaktoplysninger paring
databeskyttelsesraringdgiveren
Det anbefales i oslashvrigt at organisationen i en funktionsbeskrivelse klart definerer hvilke opgaver
der paringhviler databeskyttelsesraringdgiveren En funktionsbeskrivelse vil goslashre det tydeligt hvornaringr
Raringdgivning i forhold til konsekvensanalyser kan bla indebaeligre raringdgiv-
ning vedroslashrende
om der skal gennemfoslashres en konsekvensanalyse
hvilken fremgangsmaringde der skal anvendes ved gennemfoslash-
relse af konsekvensanalysen
om konsekvensanalysen kan gennemfoslashres internt eller om
gennemfoslashrelsen kraeligver antagelse af ekstern bistand
hvilke sikkerhedsforanstaltninger (tekniske og organisatori-
ske) som skal anvendes for at begraelignse risici i forhold til
de registreredes rettigheder og interesser
om konsekvensanalysen er korrekt gennemfoslashrt og om
dens konklusioner er i overensstemmelse med de databe-
skyttelsesretlige regler
Vejledning om databeskyttelsesraringdgivere
25
den paringgaeligldende virker som databeskyttelsesraringdgiver og i denne egenskab ikke kan instrueres
Det vil samtidig blive tydeligt hvornaringr den paringgaeligldende udfoslashrer andre opgaver i sit ordinaeligre an-
saeligttelsesforhold i organisationen
54 Krav til organisationen ndash rettidig og tilstraeligkkelig inddragelse af databeskyt-
telsesraringdgiveren
En organisation skal sikre at databeskyttelsesraringdgiveren inddrages tilstraeligkkeligt og rettidigt i
alle sposlashrgsmaringl vedroslashrende beskyttelse af personoplysninger En saringdan inddragelse boslashr ogsaring
ske paring oslashverste ledelsesmaeligssige niveau (feks ved deltagelse paring direktions- og ledelsesmoslashder)
Det anbefales at organisationen implementerer procedurer som sikrer dette
I hvilke tilfaeliglde skal databeskyttelsesraringdgiveren inddrages
Databeskyttelsesraringdgiveren skal inddrages i alle de overvejelser og vurderinger som organisa-
tionen goslashr sig for at overholde kravene i databeskyttelsesforordningen databeskyttelsesloven
og oslashvrige regler for behandling af personoplysninger
Eksempel paring sposlashrgsmaringl hvor databeskyttelsesraringdgiveren boslashr inddrages
ved overvejelser og beslutninger om hvordan organisationens compliance med
databeskyttelsesreglerne sikres
ved overvejelser i forbindelse med datasikkerhed herunder databeskyttelse gen-
nem design og standardindstillinger og
ved udarbejdelse af konsekvensanalyser
Saringfremt databeskyttelsesraringdgiveren udpeges foslashr den 25 maj 2018 kan denne inddrages i or-
ganisationens implementering af de krav der foslashlger af forordningen
Eksempel paring sposlashrgsmaringl hvor databeskyttelsesraringdgiveren ikke
skal inddrages
Konkrete vurderinger ift registreredes rettigheder
feks anmodning paring indsigt ret til at blive glemt
mv
Deltagelse i mindre praktiske eller almindelige
driftsopgaver eller driftsmaeligssige sposlashrgsmaringl knyt-
tet til opsaeligtning af it-systemer
Udarbejdelse af konkrete databehandleraftaler
Behandling af personoplysninger der finder sted i
overensstemmelse med interne regler som den da-
taansvarlige har fastsat forudsat at disse regler er
fastsat under inddragelse af databeskyttelsesraringdgi-
veren
Vejledning om databeskyttelsesraringdgivere
26
Hvordan skal databeskyttelsesraringdgiveren inddrages
For at sikre at databeskyttelsesraringdgiveren inddrages tilstraeligkkeligt og rettidigt er organisationen
forpligtet til at holde databeskyttelsesraringdgiveren tilstraeligkkeligt og rettidigt orienteret om alle
sposlashrgsmaringl om beskyttelse af personoplysninger
Som tommelfingerregel skal databeskyttelsesraringdgiveren have mulighed for at vurdere overhol-
delsen af de databeskyttelsesretlige regler og komme med bemaeligrkninger eller lignende inden
en behandling af personoplysninger igangsaeligttes
Hvornaringr er inddragelsen rettidig
Databeskyttelsesraringdgiveren skal inddrages i saring god tid som det er muligt forud for ivaeligrksaeligttel-
sen af behandling af personoplysninger
Det er afgoslashrende at databeskyttelsesraringdgiveren inddrages i tide til at kunne foretage en reel
vurdering af om den paringtaelignkte behandling af personoplysninger er i overensstemmelse med de
databeskyttelsesretlige regler og dermed kan komme med kvalificerede bemaeligrkninger herom
med henblik paring at raringdgive organisationen
Eksempler paring rettidig inddragelse
Inddrages forud for beslutning om noslashdvendige
foranstaltninger i IT-systemer for at efterleve kra-
vene om databeskyttelse gennem design og stan-
dardindstillinger
Inddrages forud for udstedelse af retningslinjer og
procedurer for hvordan de databeskyttelsesret-
lige regler skal overholdes i organisationen
Inddragelse foslashr offentliggoslashrelse af udbudsmateri-
ale i en udbudsproces eller lignende
Eksempler paring ikke-rettidig inddragelse
Inddragelse af databeskyttelsesraringdgiveren efter
et nyt IT-system er faeligrdigudviklet
Inddragelse af databeskyttelsesraringdgiveren efter
indkoslashb af IT-systemer (dermed ikke en del af
overvejelserne vedr kravspecifikation og databe-
skyttelse gennem design og standardindstillin-
ger)
Inddragelse af databeskyttelsesraringdgiveren efter
at en konsekvensanalyse er udarbejdet
Inddragelse af databeskyttelsesraringdgiveren efter
stoslashrre aeligndringer i organisationens procedurer
der vedroslashrer databeskyttelse saringsom haringndtering
af anmodninger fra registrerede personer
Vejledning om databeskyttelsesraringdgivere
27
Behandlingsaktiviteter igangsat foslashr en databeskyttelsesraringdgiver udpeges
Naringr en organisation udpeger en databeskyttelsesraringdgiver vil der selvsagt vaeligre behandlinger af
personoplysninger der allerede er igangsat i organisationen
Databeskyttelsesraringdgiveren boslashr ved udpegelsen primaeligrt have fokus paring de fremadrettede com-
pliance aktiviteter Derudover kan databeskyttelsesraringdgiveren ndash ud fra en risikovurdering i for-
hold til de behandlinger som konkret indebaeligrer hoslashjere risiko ndash inddrages i organisationens
overvejelser om hvorvidt de igangvaeligrende aktiviteter overholder de databeskyttelsesretlige
regler
Hvornaringr er inddragelsen tilstraeligkkelig
Der skal ske en reel inddragelse af databeskyttelsesraringdgiveren i organisationens overvejelser
og beslutninger vedroslashrende databeskyttelse
Det indebaeligrer at organisationen skal inddrage og tage hoslashjde for databeskyttelsesraringdgiverens
bemaeligrkninger og raringdgivning i oslashvrigt samt dennes rapportering til oslashverste ledelsesniveau om
overholdelse af de databeskyttelsesretlige regler
Saringfremt databeskyttelsesraringdgiverens raringdgivning ikke foslashlges anbefales det at organisationen
dokumenterer dette i overensstemmelse med kravet om accountability
Ressourcer og adgang
Ressourcer
For at databeskyttelsesraringdgiveren rent faktisk kan udfoslashre sine opgaver er det noslashdvendigt at
organisationens tilvejebringer de noslashdvendige ressourcer til stoslashtte for databeskyttelsesraringdgive-
ren
Det er endvidere et krav at organisationen tilvejebringer de fornoslashdne ressourcer for at databe-
skyttelsesraringdgiveren kan opretholde sin ekspertise inden for omraringdet
Fastsaeligttelsen af de fornoslashdne ressourcer beror paring en konkret vurdering som afhaelignger af de
organisatoriske forhold i organisationen saringsom stoslashrrelsen antallet af behandlingsaktiviteter
kompleksiteten af behandlingen af personoplysninger samt de forbundne risici
Jo stoslashrre en organisation er des stoslashrre er behovet for ressourcer til stoslashtte for databeskyttelses-
raringdgiveren
Selve behovet for ressourcer beror paring en konkret vurde-
ring som organisationen er ansvarlig for at foretage
Som eksempler paring fornoslashdne ressourcer kan naeligvnes
Faciliteter og arbejdsredskaber
Oslashkonomiske ressourcer
Personaleressourcer og lignende
Vejledning om databeskyttelsesraringdgivere
28
Adgang
Databeskyttelsesraringdgiveren skal ogsaring have adgang til organisationens personoplysninger og
den behandling af disse som organisationen foretager
Der skal vaeligre tale om en vid adgang som kan tilvejebringes efter behov
Uafhaeligngighed
Det er et grundlaeligggende krav at en databeskyttelsesraringdgiver ikke maring blive instrueret af andre
om hvordan raringdgiveren skal udfoslashre sine opgaver Der gaeliglder saringledes foslashlgende for databeskyt-
telsesraringdgiveren
Maring ikke som led i sin funktion som databeskyttelsesraringdgiver modtage instruks om
hvordan denne skal udfoslashre sine opgaver (eller feks om en bestemt vurdering el-
ler fortolkning af forordningen)
Maring ikke afskediges eller sanktioneres for at udfoslashre sine opgaver
Rapporterer direkte til oslashverste ledelsesniveau
Databeskyttelsesraringdgiverens interne reaktionsmuligheder er i praksis taeligt forbundne med at
ovenstaringende krav til uafhaeligngighed efterleves Idet en databeskyttelsesraringdgiver ikke har instruk-
tionsbefoslashjelser over for andre dele af den dataansvarliges organisation er det i praksis mulighe-
den for at kunne rapportere direkte til oslashverste ledelsesniveau der er raringdgiverens interne virke-
middel overfor konstaterede brud paring forordningen
Hvor det oslashverste ledelsesniveau er afhaelignger af organiseringen hos den konkrete dataansvarlige
eller databehandleren
I forhold til det private erhvervsliv fremgaringr det af selskabsloven at det er bestyrelsen der er det
centrale eller oslashverste ledelsesorgan i selskaber der baringde har en bestyrelse og en direktion Naringr
der i databeskyttelsesforordningen henvises til det oslashverste ledelsesniveau maring det i det private
forstarings i relation til den daglige drift og dermed direktionen saringfremt selskabet har baringde en besty-
relse og en direktion Det vil i praksis betyde at direktionen skal orientere bestyrelsen om vaelig-
sentlige forhold som paringpeges af databeskyttelsesraringdgiveren
For statslige myndigheder maring den oslashverste ledelse forstarings som den oslashverste administrative le-
delse
For saring vidt angaringr kommuner og regioner gaeliglder at databeskyttelsesraringdgiveren rapporterer di-
rekte til kommunalbestyrelsen henholdsvis regionsraringdet Denne rapportering forelaeliggges for kom-
munalbestyrelsen henholdsvis regionsraringdet uden den forudgaringende udvalgsbehandling som de
kommunale og regionale sager ellers normalt skal undergives Dette udelukker dog ikke at en
kommune kan indhente en erklaeligring fra oslashkonomiudvalget forinden forelaeligggelse for kommunal-
bestyrelsen
55 Beskyttelse af databeskyttelsesraringdgiveren
Funktionen som databeskyttelsesraringdgiver er beskyttet ved et forbud mod at kunne blive afskedi-
get for udfoslashrelse af opgaverne som databeskyttelsesraringdgiver
Vejledning om databeskyttelsesraringdgivere
29
Usaglig afskedigelse af en databeskyttelsesraringdgiver er sanktioneret med en boslashde
Databeskyttelsesraringdgiveren vil kunne afskediges paring et sagligt grundlag efter almindelige ansaeligt-
telsesretlige regler
56 Opsummering
En databeskyttelsesraringdgiver udpeges paring baggrund af sine faglige kvalifikationer
Databeskyttelsesraringdgiveren kan baringde vaeligre en intern medarbejder en faeliglles da-
tabeskyttelsesraringdgiver for hele eller flere organisationer eller en ekstern databe-
skyttelsesraringdgiver
Databeskyttelsesraringdgiveren har en raeligkke opgaver denne som minimum skal va-
retage Derudover anbefales det at man klart definerer hvilke opgaver der paringhvi-
ler databeskyttelsesraringdgiveren
En organisation skal rettidig og tilstraeligkkelig inddrage databeskyttelsesraringdgiveren
i alle sposlashrgsmaringl vedroslashrende beskyttelse af personoplysninger
Databeskyttelsesraringdgiveren nyder en saeligrlig beskyttelse mod usaglig afskedi-
gelse og kan ikke afskediges eller sanktioneres for at udfoslashre sine opgaver som
Databeskyttelsesraringdgiver
Dato
20 december 2017
Justitsministeriet
Slotsholmsgade 10
1216 Koslashbenhavn K
Telefon
72 26 84 00
jmjmdk
Eksempler paring tilfaeliglde hvor en databeskyttelsesraringd-
giver kan afskediges
Ikke udfoslashrer sine arbejdsopgaver
Misligholder ansaeligttelsesforholdet
Samarbejdsvanskeligheder
Vejledning om databeskyttelsesraringdgivere
30
ISBN
978-88-98564-35-7
Foto
Scanpix
Vejledning om databeskyttelsesraringdgivere
6
3 Privates forpligtelse til at udpege en
databeskyttelsesraringdgiver
I de fleste tilfaeliglde skal private ikke udpege en databeskyttelsesraringdgiver
31 Hvornaringr skal private udpege en databeskyttelsesraringdgiver
I de fleste tilfaeliglde skal den private sektor ikke udpege en databeskyttelsesraringdgiver Kun private
virksomheder der som deres kerneaktivitet behandler foslashlsomme oplysninger eller oplysninger
om strafbare forhold i et stort omfang eller foretager regelmaeligssig og systematisk overvaringgning af
personer i stort omfang er forpligtede til at udpege en databeskyttelsesraringdgiver Forpligtelsen for
private virksomheder til at udpege en databeskyttelsesraringdgiver gaeliglder baringde den dataansvarlige
og databehandleren
Det betyder at de fleste private virksomheder i Danmark der foretager rdquogaeligngsrdquo behandling af
personoplysninger herunder administration af HR-oplysninger kundeoplysninger online
bookingsystemer mv ikke er forpligtede til at udpege en databeskyttelsesraringdgiver
Konkret skal en virksomhed opfylde tre betingelser for at vaeligre forpligtet til at udpege en databe-
skyttelsesraringdgiver (se nedenfor)
Alle betingelser skal vaeligre opfyldt og en virksomhed der feks kun opfylder eacuten eller to af betin-
gelserne ud af de tre vil ikke vaeligre forpligtet til at udpege en databeskyttelsesraringdgiver
Generelt kan det bemaeligrkes om betingelserne at de knytter sig til hvilke personoplysninger man
har og hvordan disse behandles i virksomheden
Foslashlgende tre betingelser skal alle vaeligre opfyldt
1 Behandling af personoplysninger skal vaeligre
virksomhedens kerneaktivitet
2 Der skal behandles personoplysninger i et
stort omfang
3 Behandlingsaktiviteten bestaringr i regelmaeligssig
og systematisk overvaringgning af personer eller
behandlingen vedroslashrer foslashlsomme oplysnin-
ger eller oplysninger om strafbare forhold
Vejledning om databeskyttelsesraringdgivere
7
311 Betingelse nr 1 rdquokerneaktivitetrdquo
Behandling af personoplysninger skal vaeligre virksomhedens kerneaktivitet Med rdquokerneaktivitetrdquo
forstarings ikke den gaeligngse behandling af personoplysninger som de fleste virksomheder foretager
Alle virksomheder behandler saringledes personoplysninger i et vist omfang for at virksomheden kan
fungere Det drejer sig navnlig om behandling af HR-oplysninger og kundeoplysninger i forbin-
delse med kontakt salg og support mv Virksomhedens behandling af disse oplysninger er en
forudsaeligtning for at virksomheden kan udoslashve sin hovedaktivitet feks udbyde tjenesteydelser
eller saeliglge et produkt
Disse almindelige behandlinger af personoplysninger udgoslashr ikke i sig selv en rdquokerneaktivitetrdquo De
kan i stedet anses for en rdquobiaktivitetrdquo idet oplysningerne behandles for at kunne understoslashtte virk-
somhedens hovedaktivitet
Naringr en virksomhed behandler personoplysninger som en biaktivitet vil virksomheden ikke vaeligre
forpligtet til at udpege en databeskyttelsesraringdgiver
Omfattet af begrebet rdquokerneaktivitetrdquo
Behandling af personoplysninger skal vaeligre virksomhedens rdquohovedaktivitetrdquo foslashr det kan anses for
omfattet af begrebet kerneaktivitet
Eksempler paring behandling der udgoslashr rdquobiaktivitetrdquo
Kundekontakt- eller support
HR-oplysninger
Salg
Kundekartotek
Online bookingsystem
Bonuskort
Behandling af klientoplysninger (revi-sorer advokater ingenioslashrer mv)
IT-support
Eksempler paring brancher der som udgangspunkt ikke
har behandling af personoplysninger som kerneakti-
vitet
Privatskoler og doslashgninstitutioner
Forsyningsselskaber
Haringndvaeligrksfaget
Hotel- og restaurationsbranchen
Servicebranchen
Detailhandel
Vejledning om databeskyttelsesraringdgivere
8
Det betyder at virksomheder hvis produkt eller tjeneste direkte bestaringr i behandling af personop-
lysninger kan anses som kerneaktivitet Det kan feks vaeligre virksomheder der udbyder marke-
tingsundersoslashgelser som er baseret paring personoplysninger eller cloud-virksomheder naringr det in-
debaeligrer lagring af personoplysninger
Paring samme maringde kan virksomheder hvis produkt eller tjeneste er uloslashseligt forbundet med be-
handlingen af personoplysninger anses for at have behandling af personoplysninger som deres
kerneaktivitet Det kan feks vaeligre forsikringsselskaber der saeliglger forsikringer til sine kunder
bla paring baggrund af personoplysninger indsamlet om kommende og nuvaeligrende kunder Et an-
det eksempel kan vaeligre privathospitaler
Virksomheder hvis kerneaktivitet bestaringr af behandling af personoplysninger skal dog ogsaring op-
fylde de to oslashvrige betingelser inden virksomheden er forpligtet til at udpege en databeskyttelses-
raringdgiver
312 Betingelse nr 2 rdquoet stort omfangrdquo
Hvis behandlingen af personoplysninger er virksomhedens kerneaktivitet er det ogsaring en betin-
gelse at behandlingen af personoplysninger sker i rdquoet stort omfangrdquo foslashr virksomheden er forplig-
tet til at udpege en databeskyttelsesraringdgiver
Artikel 29-gruppen1 anbefaler i deres udtalelse om databeskyttelsesraringdgivere at der ved vurde-
ringen af om der er tale om en behandling af personoplysninger rdquoi et stort omfangrdquo laeliggges vaeliggt
paring fire kriterier
1 Antallet af personer der behandles oplysninger om ndash enten det specifikke antal personer
eller som andel af den relevante population (befolkningen)
1 Artikel 29-gruppens udtalelse nr 162016 om rdquoGuidelines on Data Protection Officers (rsquoDPOsrsquo)rdquo (WP 243 rev01)
Eksempler paring behandling der udgoslashr rdquokerneaktivitetrdquo
Cloud-computing
Hosting af hjemmesiderdata
Privathospitaler
Forsikringsselskaber
Reklamebureauer der udbyder marke-
tingsundersoslashgelser
Soslashgemaskiner
Tele- eller internetudbydere
Applikationermobile tjenester baseret
paring personoplysninger
Stillingsbesaeligttende virksomhed
Vejledning om databeskyttelsesraringdgivere
9
2 Volumen af personoplysninger ogeller de forskellige typer af personoplysninger der bli-
ver behandlet
3 Tidsperioden der behandles oplysninger i samt hvorvidt behandlingen er permanent
4 Den geografiske udstraeligkning af behandlingsaktiviteterne
Eksempel ndash mindre forsikringsselskab
Et mindre forsikringsselskab der feks kun udbyder sin forretning til en bestemt mindre landsdel
vil formentlig behandle et saring begraelignset omfang af oplysninger at det ikke kan anses for at vaeligre
i et stort omfang Det skyldes at der ikke behandles en stor maeligngde af personoplysninger om et
stort antal personer samt den begraelignsede geografiske udstraeligkning
I modsaeligtning hertil vil et landsdaeligkkende forsikringsselskab anses for at behandle personoplys-
ninger i et stort omfang baringde som foslashlge af maeligngden af oplysninger antallet af personer og den
geografiske udstraeligkning
Eksempel ndash laeliggepraksis
Behandling af patientdata i en laeliggepraksis med et begraelignset antal laeligger tilknyttet kan som foslashlge
af den begraelignsede maeligngde oplysninger der behandles heller ikke anses for at behandle per-
sonoplysninger i et stort omfang
Omvendt vil en stor laeliggepraksis med mange laeligger tilknyttet formentlig behandle en stor maeligngde
personoplysninger om deres patienter Her vil maeligngden af oplysninger der behandles medfoslashre
at der foretages behandling af personoplysninger i et stort omfang
I overvejelserne om fastlaeligggelse af stoslashrrelsen af en privat laeliggepraksisklinikhospital er det rele-
vant at foretage en vurdering af baringde antallet af patienter og af tilknyttede laeligger
Behandling af personoplysninger rdquoi et stort omfangrdquo kan saring-
ledes indebaeligre behandling af
en stor maeligngde af personoplysninger
oplysninger om et stort antal personer
lang varighed herunder permanent
stor geografisk udstraeligkning af behandlingsaktivite-
ter
Vejledning om databeskyttelsesraringdgivere
10
Virksomheder hvis kerneaktivitet bestaringr af behandling af personoplysninger i et stort omfang
skal dog opfylde eacuten af de to sidste betingelser inden virksomheden er forpligtet til at udpege en
databeskyttelsesraringdgiver
313 Betingelse nr 3 rdquoregelmaeligssig og systematisk overvaringgningrdquo eller rdquobehandling af
foslashlsomme oplysninger eller oplysninger om strafbare forholdrdquo
Virksomheder hvis kerneaktivitet bestaringr af behandling af personoplysninger i et stort omfang skal
enten
foretage regelmaeligssig og systematisk overvaringgning af registrerede personer
eller
behandle foslashlsomme oplysningeroplysninger om strafbare forhold
for at vaeligre forpligtede til at udpege en databeskyttelsesraringdgiver
Regelmaeligssig og systematisk overvaringgning af registrerede personer
Regelmaeligssig og systematisk overvaringgning af de registrerede omfatter en virksomheds sporringer
(tracking) eller profilering bla via internettet
Det kan bla omfatte drift af telenet eller services forbundet hermed profilering i forbindelse med
risikovurdering herunder kreditvurderinger vurdering af forsikringspraeligmie lokationstracking via
applikationer og adfaeligrdsbaseret annoncering
Eksempel ndash marketingsfima
Et marketingsfirma der foretager marketingsundersoslashgelser hvor der indgaringr personoplysninger i
et stort omfang og undersoslashgelsen er baseret paring adfaeligrdsbaseret annoncering er omfattet da de
foretager en regelmaeligssig og systematisk overvaringgning af de registrerede personer
Behandling af foslashlsomme oplysninger eller oplysninger om strafbare forhold
Oplysninger kan anses for foslashlsomme hvis de omhandler oplysninger om
Behandling i et stort omfang
Eksempler paring virksomheder der behandler
personoplysninger rdquoi et stort omfangrdquo
Privathospitaler
Stoslashrre forsikringsselskaber
Sporing via feks rejsekort
Soslashgemaskines behandling af
personoplysninger
Tele- eller internetudbydere
Vejledning om databeskyttelsesraringdgivere
11
race eller etnisk oprindelse
politisk religioslashs eller filosofisk overbevisning
fagforeningsmaeligssigt tilhoslashrsforhold
behandling af genetisk data eller biometrisk data med det formaringl entydigt at iden-
tificere en fysisk person
helbredsoplysninger
oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering
Oplysninger om strafbare forhold omfatter oplysninger om straffedomme og lovovertraeligdelser
Eksempel ndash skadesforsikringsselskaber
Skadesforsikringsselskaber kan man opdele i de selskaber der behandler foslashlsomme oplysninger
og de selskaber der ikke (eller i begraelignset omfang) behandler foslashlsomme oplysninger
For saring vidt angaringr de selskaber der ikke behandler denne type oplysninger kan naeligvnes special-
selskaber som typisk forsikrer ting (feks glasforsikring) og ikke risiko for personskader Forsik-
ringsselskaber der i begraelignset omfang jf betingelsen ovenfor behandler de omhandlede op-
lysninger vil typisk vaeligre forsikringsselskaber der tegner privatforsikringer herunder eksempelvis
indbo- og bilforsikringer eller erhvervsforsikringer for mindre virksomheder Her indhentes de
naeligvnte oplysninger i forbindelse med tegning af ulykkesforsikringer og ved behandling af per-
sonskader under ulykkesforsikringer
For saring vidt angaringr skadesforsikringsselskaber der opfylder betingelse nr 3 ndash idet de behandler
foslashlsomme oplysninger ndash kan naeligvnes specialiserede rejseforsikringsselskaber for saringvel rejsegods
som syge- og ulykkesforsikringer En betydelig del af disse selskabers forsikringer er personfor-
sikringer hvor der baringde ved tegning og ved behandlingen af personskader (ulykker og syg-
domme) indhentes foslashlsomme oplysninger Endvidere kan sygeforsikringsselskaber som daeligkker
medicin og en raeligkke andre udgifter til helbredelse naeligvnes idet der indhentes helbredsoplysnin-
ger ved optagelses- og refusionssager
Eksempel ndash HR-oplysninger
Virksomheder vil typisk behandle oplysninger om ansattes fagforeningsmaeligssige tilhoslashrsforhold
og helbredsoplysninger i forbindelse med virksomhedens HR-funktion Her er der netop tale om
foslashlsomme oplysninger men det medfoslashrer ikke i sig selv at virksomheden er forpligtet til at udpege
en databeskyttelsesraringdgiver Hertil kraeligves at behandling af personoplysninger er virksomhe-
dens kerneaktivitet og foretages i et stort omfang
Eksempler paring virksomheder der kan
opfylde alle tre betingelser
Privathospitaler
Stoslashrre forsikringssel-
skaber
Tele- eller internetud-
bydere
Marketingsfirma der
udbyder marketingsun-
dersoslashgelser
Eksempler paring virksomheder der blot op-
fylder nogle af betingelserne
Mindre privathospitaler
Mindre forsikringsselskab
Mindre laeliggepraksis
Stoslashrre virksomheder hvor
behandling af personop-
lysninger kun er en biakti-
vitet
Vejledning om databeskyttelsesraringdgivere
12
Eksempel ndash Livs- og pensionsforsikringsselskaberne
Store eller middelstore forsikringsselskaber der dels tegner livs- og pensionsforsikringer for en-
keltpersoner og dels firmapensionsordninger hvor de sikrede er en virksomheds ansatte indhen-
ter og behandler foslashlsomme oplysninger isaeligr helbredsoplysninger ved saringvel tegningindmeldelse
som ved behandlingen af tab af erhvervsevne doslashdsfald sygdom mv Henset til at behandling
af personoplysninger endvidere er disse forsikringsselskabers kerneaktivitet samt at de grundet
stoslashrrelse og geografiske udstraeligkning behandler personoplysningerne i stort omfang vil de som
udgangspunkt skulle udpege en databeskyttelsesraringdgiver
Det bemaeligrkes at det er vigtigt at have sig for oslashje at der er tale om betingelser der alle skal
vaeligre opfyldt Der skal altsaring vaeligre tale om at virksomhedens kerneaktivitet er behandling i stort
omfang af foslashlsomme oplysninger eller oplysninger om strafbart forhold Eller at virksomhedens
kerneaktivitet bestaringr af behandlingsaktiviteter i stort omfang af regelmaeligssig og systematisk over-
varinggning af personer
Virksomheder der ikke er forpligtede til at udpege en databeskyttelsesraringdgiver kan med fordel
dokumentere vurderingen saring denne kan fremvises til Datatilsynet
32 Frivillig udnaeligvnelse af en databeskyttelsesraringdgiver
Private kan under alle omstaeligndigheder frivilligt vaeliglge at udpege en databeskyttelsesraringdgiver
I de tilfaeliglde hvor der frivilligt udpeges en databeskyttelsesraringdgiver gaeliglder de samme krav til
databeskyttelsesraringdgiveren som hvis virksomheden var forpligtet til at udpege en databeskyttel-
sesraringdgiver
Det betyder at kravene til databeskyttelsesraringdgiverens opgaver kvalifikationer stilling beskyt-
telse og inddragelse skal efterleves
Vaeliglger en virksomhed derimod at udpege en medarbejder der feks er compliance-raringdgiver er
virksomheden ikke forpligtet til at efterleve forordningens krav til en databeskyttelsesraringdgiver
33 Faeliglles databeskyttelsesraringdgiver
En koncern har mulighed for at udpege en faeliglles databeskyttelsesraringdgiver for hele koncernen
forudsat at alle etableringer af koncernen har let adgang til databeskyttelsesraringdgiveren
Andre private dataansvarlige og databehandlere end koncerner har ogsaring mulighed for at udpege
en faeliglles databeskyttelsesraringdgiver Et konsulentfirma kan udoslashve funktionen som databeskyttel-
sesraringdgiver for flere dataansvarlige paring samme tid paring baggrund af tjenesteydelseskontrakter
Det er dog en forudsaeligtning for at private kan udpege en faeliglles databeskyttelsesraringdgiver at
databeskyttelsesraringdgiveren kan efterleve forordningens krav til vedkommende naringr opgaven loslash-
Vejledning om databeskyttelsesraringdgivere
13
ses for flere private paring eacuten gang Dette maring i praksis forudsaeligtte at der feks er adgang til at kom-
munikere med databeskyttelsesraringdgiveren paring et sprog som de beroslashrte medarbejdere kan forstaring
Det maring ligeledes forudsaeligtte at der er afsat saringdanne ressourcer til databeskyttelsesraringdgiveren
at det spejler omfanget af de organisationer der skal daeligkkes Der vil derfor i praksis ikke vaeligre
noget til hinder for at feks en virksomhed udpeger en faeliglles databeskyttelsesraringdgiver paring tvaeligrs
af flere stoslashrre koncernforbundne virksomheder naringr blot de ressourcer der afsaeligttes til databe-
skyttelsesraringdgiveren i form af medarbejdere rejsebudget it-understoslashttelse mv i tilstraeligkkelig om-
fang sikrer at databeskyttelsesraringdgiveren kan moslashde sine forpligtelser
34 Opsummering
Der skal rigtig meget til foslashr en privat virksomhed er forpligtet til at udpege en da-
tabeskyttelsesraringdgiver
Helt konkret skal tre betingelser der knytter sig til en virksomheds behandling af
personoplysninger alle vaeligre opfyldt foslashr der en pligt til at udpege en databeskyt-
telsesraringdgiver
Alle virksomheder boslashr foretage en konkret vurdering af om de tre betingelser er
opfyldt Er alle tre betingelser ikke opfyldt skal der ikke udpeges en databeskyt-
telsesraringdgiver
Vejledning om databeskyttelsesraringdgivere
14
4 Offentlige myndigheders forpligtelse til
at udpege en databeskyttelsesraringdgiver
Offentlige myndigheder og offentlige organer skal altid have en databeskyttelsesraringdgiver uanset
om de er dataansvarlige eller databehandlere
41 Hvornaringr skal offentlige myndigheder udpege en databeskyttelsesraringdgiver
I det omfang behandling foretages af en offentlig myndighed eller et offentligt organ skal myndig-
heden eller organet altid have en databeskyttelsesraringdgiver hvad enten de er dataansvarlige eller
databehandlere
Det betyder at der ogsaring skal udpeges en databeskyttelsesraringdgiver hvis den offentlige myndig-
hed eller organ behandler personoplysninger paring vegne af en privat eller selv outsourcer sin da-
tabehandling til en privat som ikke er forpligtet til at udpege en databeskyttelsesraringdgiver Det kan
feks vaeligre tilfaeligldet naringr offentlige myndigheder eller organer vaeliglger at overlade til en anden at
udfoslashre selve den praktiske behandling af personoplysninger paring den dataansvarliges vegne
Den eneste undtagelse hertil er domstole der ikke er forpligtede til at udpege en databeskyttel-
sesraringdgiver naringr de handler i deres egenskab af domstole
42 Hvornaringr er man en offentlig myndighed
De myndigheder der i dansk ret henregnes til den offentlige forvaltning i medfoslashr af forvaltnings-
lovens sect 1 stk 1-2 skal anses for offentlige myndigheder eller organer og er dermed forpligtede
til at udpege en databeskyttelsesraringdgiver Det fremgaringr heraf at foslashlgende virksomheder omfattes
af loven al virksomhed der udoslashves af den offentlige forvaltning og al virksomhed der udoslashves af
selvejende institutioner foreninger fonde mv der er oprettet ved lov eller i henhold til lov og
selvejende institutioner foreninger fonde mv der er oprettet paring privatretligt grundlag og som
udoslashver offentlig virksomhed af mere omfattende karakter og er undergivet intensiv offentlig regu-
lering intensivt offentlig tilsyn og intensiv offentlig kontrol
I forhold til selvejende institutioner mv oprettet paring privatretligt grundlag vil der saringledes vaeligre
nogle som omfattes af kravet om at have en databeskyttelsesraringdgiver mens andre ikke omfattes
Det vil bero paring en konkret vurdering
Selvejende institutioner mv oprettet paring privatretligt grundlag som udoslashver offentlig virksomhed
af mere omfattende karakter og er undergivet intensiv offentlig regulering intensivt offentlig tilsyn
og intensiv offentlig kontrol vil vaeligre omfattet
Det spiller endvidere ind om det offentlige har instruktionsbefoslashjelser over for institutionen om det
offentlige skal godkende institutionens vedtaeliggter og om det offentlige yder sekretariatsbistand
Vejledning om databeskyttelsesraringdgivere
15
til institutionen Herudover maring man se paring om det offentlige skal godkende institutionens regn-
skaber og om institutionens drift og virksomhed er detaljeret reguleret ved regler og retningslinjer
udstedt af det offentlige Endelig kan man tage hensyn til om det offentlige overtager institutio-
nens rettigheder og forpligtelser hvis den nedlaeliggges
Eksempler paring selvejende institutioner mv der er omfattet
- Universiteter
- Institutioner hvor kommunalbestyrelsen har indgaringet overenskomst til opfyldelse af sine forplig-
telser efter lov om social service
- Gymnasieskoler
Eksempler paring selvejende institutioner og foreninger der ikke er omfattet
- Danske Regioner og KL
- Dansk Flygtningehjaeliglp
For saring vidt angaringr statslige og kommunale institutioner der er organiseret i selskabsform feks
som aktieselskab eller interessentskab vil disse umiddelbart aldrig vaeligre omfattet Dette er ogsaring
tilfaeligldet for koncessionerede selskaber og selskaber hvori staten eller en kommune er aktionaeligr
interessent eller lignende uanset om staten eller kommunen ejer selskabet 100 Det har i den
forbindelse ingen betydning hvilke aktiviteter organet udfoslashrer ligesom det ikke i sig selv kan foslashre
til et andet resultat at selskabet maringtte vaeligre oprettet ved lov eller i henhold til lov
Dog er kommunale faeligllesskaber jf sect 60 i lov om kommunernes styrelse hvortil to eller flere
kommuner overfoslashrer opgaver til selvstaeligndig varetagelse altid offentlige myndigheder Det gaeligl-
der uanset at kommunale faeligllesskaber normalt etableres som interessentskaber Det kommu-
nale faeligllesskab er selvstaeligndigt dataansvarligt og skal udpege en databeskyttelsesraringdgiver
Eksempel paring institution der er organiseret i selskabsform der ikke er omfattet
- Staten og Kommunernes Indkoslashbs Service AS
Saringfremt der ikke er tale om en offentlig myndighed eller organ skal bedoslashmmelsen af hvorvidt
man har pligt til at udpege en databeskyttelsesraringdgiver foretages i henhold til betingelserne be-
skrevet ovenfor under punkt 3 vedroslashrende privates forpligtelse til at udpege en databeskyttel-
sesraringdgiver
43 Faeliglles databeskyttelsesraringdgiver for offentlige myndigheder
Flere myndigheder eller organer vil i mange tilfaeliglde kunne have en faeliglles databeskyttelsesraringd-
giver forudsat at det er i overensstemmelse med deres organisatoriske struktur og stoslashrrelse I
den forbindelse kan det vaeligre relevant at overveje om raringdgiveren skal fungere paring baggrund af
eacuten ansaeligttelseskontrakt for to forskellige myndigheder eller to deltidskontrakter
Herudover vil en databeskyttelsesraringdgiver kunne vaeligre ansat paring en deltidskontrakt hos eacuten myn-
dighed og ansat paring baggrund af en tjenesteydelseskontrakt i en anden myndighed eller organi-
sation
Vejledning om databeskyttelsesraringdgivere
16
Saringfremt flere myndigheder har en faeliglles databeskyttelsesraringdgiver er det dog en forudsaeligtning
at databeskyttelsesraringdgiveren kan efterleve kravene i databeskyttelsesforordningen til en data-
beskyttelsesraringdgiver herunder til dennes stilling opgaver uafhaeligngighed og tilgaeligngelighed mv
naringr denne loslashser opgaven for flere myndigheder paring eacuten gang
For saring vidt angaringr tilgaeligngelighed er der ikke et krav om fysisk tilstedevaeligrelse paring alle lokationer
saringfremt der anvendes en faeliglles databeskyttelsesraringdgiver De enkelte myndigheder har i den for-
bindelse mulighed for at aftale hvordan den fysiske tilgaeligngelighed i praksis kan loslashftes herunder
feks ved hjaeliglp af mail telefon internet mm Det er i relation til kravet om tilgaeligngelighed endvi-
dere vaeligrd at bemaeligrke at flere myndigheder som naeligvnt godt kan have en faeliglles raringdgiver men
at databeskyttelsesraringdgiveren skal kunne (naring at) varetage sin raringdgivningsopgave fyldestgoslashrende
for alle de myndigheder for hvilke den paringgaeligldende varetager opgaven som databeskyttelses-
raringdgiver Her kan det bla vaeligre relevant at se paring maeligngden af personoplysninger der behandles
i en given myndighed
I relation til uafhaeligngighedskriteriet bemaeligrkes at det kan vaeligre betaelignkeligt at lade visse myndig-
heder have en faeliglles databeskyttelsesraringdgiver jf nedenfor under afsnittet rdquoEksempel ndash Ministe-
rier og underordnede myndighederrdquo
Der henvises i oslashvrigt til afsnit 5 i denne vejledning
Det er endvidere et krav at der er eacuten der er personligt ansvarlig for hvervet som databeskyttel-
sesraringdgiver
Som foslashlge af kravet om at udpegningen af en faeliglles databeskyttelsesraringdgiver skal vaeligre i over-
ensstemmelse med myndigheden eller organets organisatoriske struktur og stoslashrrelse stilles der
krav til selve ansaeligttelsen af databeskyttelsesraringdgiveren
Den retlige graelignse for at dele en databeskyttelsesraringdgiver vil i et saringdan tilfaeliglde vaeligre de gaeligl-
dende standarder om offentlige ansattes bierhverv de almindelige habilitetsregler og muligheden
for at efterleve kravene i forordningen herunder tilstraeligkkelige ressourcer i forhold til at udfoslashre
hvervet
Vejledning om databeskyttelsesraringdgivere
17
Kommuner
Det antages ikke at vaeligre i overensstemmelse med en offentlig myndigheds struktur eller stoslashr-
relse hvis en databeskyttelsesraringdgiver fungerer paring baggrund af eacuten ansaeligttelseskontrakt i to for-
skellige kommuner Det antages derimod omvendt at vaeligre i overensstemmelse hermed saring-
fremt raringdgiveren udoslashver sin funktion paring baggrund af to deltidskontrakter i to kommuner paring
samme tid
Eksempel ndash En kommune
En kommune vil typisk vaeligre dataansvarlig for alle de behandlinger af personoplysninger som
foretages inden for den kommunale enhedsforvaltning Derfor er en kommune ikke forpligtet til at
udpege eacuten databeskyttelsesraringdgiver for de enkelte forvaltninger men vil kunne udpege eacuten data-
beskyttelsesraringdgiver for hele kommunen
Eksempel ndash organer med selvstaeligndig kompetence paring det kommunale omraringde
Det bemaeligrkes at der paring det kommunale omraringde kan vaeligre organer som ikke er en del af den
kommunale enhedsforvaltning men har selvstaeligndig kompetence paring det kommunale omraringde
feks huslejenaeligvnet ligesom der kan vaeligre kommunale organer som er en del af enhedsforvalt-
ningen der i visse henseender har en ndash i forhold til kommunalbestyrelsen ndash selvstaeligndig kompe-
tence herunder feks skoleledere
Naringr det i lovgivningen er fastsat eller forudsat at disse organer sekretariatsbetjenes af kommu-
nen og kommunen yder sekretariatsbetjening kan organerne have faeliglles databeskyttelsesraringd-
giver med kommunen og er ikke forpligtet til selvstaeligndigt at udpege en databeskyttelsesraringdgiver
ved siden af kommunens Databeskyttelsesraringdgiverens ydelser vil i den forbindelse vaeligre en del
af sekretariatsbetjeningen
Eksempel ndash Flere kommuner
Flere kommuner vil have mulighed for at dele en databeskyttelsesraringdgiver Som udgangspunkt
vurderes det at feks en gennemsnitskommune paring omkring 45000 indbyggere godt vil kunne
dele en databeskyttelsesraringdgiver med en anden tilsvarende eller en mindre kommune eller at en
lidt stoslashrre kommune vil kunne dele med en mindre kommune hvis databeskyttelsesraringdgiveren
Eksempel - Rigspolitiets databeskyttelsesenhed
Rigspolitiet har udpeget en faeliglles databeskyttelsesraringdgiver for landets 12
politikredse og Rigspolitiet for saring vidt angaringr behandlingen af personoplys-
ninger til brug for retsharingndhaeligvelsesformaringl
Den faeliglles databeskyttelsesraringdgiver understoslashttes i den forbindelse af en cen-
tral datebeskyttelsesenhed i Rigspolitiet hvor de enkelte medarbejdere be-
sidder stort kendskab til persondateretlige og forretningsmaeligssige forhold
med relevans for enhedens opgavevaretagelse Paring denne baggrund kan da-
tabeskyttelsesraringdgiveren samlet set leve op til sine forpligtelser som databe-
skyttelsesraringdgiver i medfoslashr af lov om retsharingndhaeligvende myndigheders be-
handling af personoplysninger som er lig dem der foslashlger af databeskyttel-
sesforordningen
Vejledning om databeskyttelsesraringdgivere
18
samlet set vurderes at kunne varetage opgaverne som databeskyttelsesraringdgiver Der skal saringle-
des foretages en konkret vurdering i det enkelte tilfaeliglde idet det afgoslashrende er om man som
databeskyttelsesraringdgiver kan efterleve sin funktion retmaeligssigt naringr funktionen udoslashves for flere
kommuner paring samme tid
Herudover vil to eller flere kommuner kunne oprette et kommunalt faeligllesskab til hvilket de garingr
sammen om at loslashse opgaven som databeskyttelsesraringdgiver i de deltagende kommuner
Eksempel - Regioner
En region vil typisk ogsaring vaeligre dataansvarlig for alle de behandlinger af personoplysninger der
foretages inden for regionen herunder drift af hospitaler forskning og sociale tilbud mv Hver
region vil som udgangspunkt kunne udpege eacuten databeskyttelsesraringdgiver
Eksempel - Ministerier og underordnede myndigheder
Departementer og underordnede myndigheder kan have en faeliglles databeskyttelsesraringdgiver
Dog kan der vaeligre hindringer som feks myndighedens stoslashrrelse der bevirker at man ikke kan
dele en databeskyttelsesraringdgiver Som eksempel herparing kan naeligvnes Justitsministeriet og politiet
der ikke kan have en faeliglles raringdgiver
Det skyldes at politiet anses for at vaeligre saring stor en enhed at en faeliglles databeskyttelsesraringdgiver
ikke vil kunne efterleve kravene til en databeskyttelsesraringdgiver (om bla tilgaeligngelighed) hvis
denne baringde skulle udfoslashre sin opgave for politiet som helhed og med andre myndigheder under
Justitsministeriets ressort
Dog vil politiet ndash i en ordning svarende til den ovenfor beskrevne paring retsharingndhaeligvelsesomraringdet ndash
kunne have en faeliglles databeskyttelsesraringdgiver under forordningen der udfoslashrer sin funktion for
alle politikredse
Det bemaeligrkes endvidere at forordningens krav om uafhaeligngighed skal vaeligre opfyldt for alle de
myndigheder der deler en databeskyttelsesraringdgiver
I den forbindelse ndash samt i relation til en underordnet myndigheds eventuelt saeligrlige uafhaeligngighed
ift den overordnede myndighed ndash kan der vaeligre visse situationer hvor det kan vaeligre betaelignkeligt
at lade en underordnet myndighed dele databeskyttelsesraringdgiver med et departement
Som eksempel herparing kan naeligvnes Datatilsynet og Justitsministeriets departement Dette er bla
henset til Datatilsynets funktionelle uafhaeligngighed i forhold til Justitsministeriet samt tilsynets spe-
cielle kompetence og rolle i forhold til databeskyttelsesforordningen Som et andet eksempel kan
naeligvnes Ankestyrelsens relation til (paring nuvaeligrende tidspunkt) Oslashkonomi- og Indenrigsministeriets
departement Her kan bla peges paring maeligngden og karakteren af data som behandles i Ankesty-
relsen samt styrelsens faglige uafhaeligngighed af departementet
Organisatoriske aeligndringer kan ogsaring bevirke at det i visse situationer ndash af praktiske aringrsager ndash
kan vaeligre mere oplagt for en underordnet myndighed at have sin egen databeskyttelsesraringdgiver
fremfor at dele med sit departement Hvis en underordnet myndighed saringledes har sin egen data-
beskyttelsesraringdgiver kan denne blot fortsaeligtte under samme kontrakt vilkaringr mv uanset at en
Vejledning om databeskyttelsesraringdgivere
19
myndighed efter eksempelvis et regeringsskifte organisatorisk placeres under et andet ministe-
rium
Eksempel - Selvejende institutioner
I det omfang selvejende institutioner kan anses for en offentlig myndighed eller et organ vil disse
myndigheder ogsaring have mulighed for at udpege en faeliglles databeskyttelsesraringdgiver med en an-
den selvejende institution omfattet af samme lovgivning eller feks den kommune som institutio-
nen har driftsoverenskomst med i det omfang kommunen yder sekretariatsbistand til institutio-
nen
44 Opsummering
Alle offentlige myndigheder og organer skal udpege en databeskyttelsesraringdgiver
fra den 25 maj 2018
Det er i hoslashj grad muligt at udpege en faeliglles databeskyttelsesraringdgiver der funge-
rer paring vegne af flere myndigheder paring eacuten gang
Muligheden for at have en faeliglles databeskyttelsesraringdgiver begraelignses af at
denne skal kunne leve op til sine forpligtelser efter databeskyttelsesforordningen
Databeskyttelsesraringdgiveren kan understoslashttes af en enhed for at kunne udfoslashre sit
hverv i overensstemmelse med forordningens krav Dette gaeliglder uanset om da-
tabeskyttelsesraringdgiveren fungerer for eacuten myndighed eller for flere myndigheder
og organer
Vejledning om databeskyttelsesraringdgivere
20
5 Databeskyttelsesraringdgiveren
51 Krav til faglige kvalifikationer
En databeskyttelsesraringdgiver skal udpeges paring baggrund af sine faglige kvalifikationer Dette
gaeliglder navnlig evnen til at udfoslashre sine opgaver som databeskyttelsesraringdgiver og ekspertise in-
den for databeskyttelsesret- og praksis
Der er ikke krav om at en databeskyttelsesraringdgiver skal have en bestemt uddannelsesmaeligssig
baggrund feks som jurist
Dermed er det op til den enkelte organisation at vurdere hvem der er bedst egnet til at varetage
stillingen som databeskyttelsesraringdgiver
Kravene til stillingen afhaelignger til en vis grad af kompleksiteten af den behandling af personop-
lysninger som den paringgaeligldende organisation foretager Dermed kan der for nogen organisatio-
ner vaeligre behov for at ansaeligtte en databeskyttelsesraringdgiver med stor erfaring inden for feltet og
i andre tilfaeliglde kan en eksisterende medarbejder paring baggrund af diverse kurser varetage funkti-
onen
Hvis der udpeges en databeskyttelsesraringdgiver fra egen organisation kan det med fordel vaeligre
en person som i forvejen har et vist kendskab til eller indsigt i haringndtering af databeskyttelses-
retlige sposlashrgsmaringl i organisationen
52 Hvem kan vaeligre databeskyttelsesraringdgiver
Som udgangspunkt kan alle som organisationen finder kvalificeret til at vaeligre databeskyttelses-
raringdgiver varetage funktionen
Foslashlgende kan derfor vaeligre databeskyttelsesraringdgivere
En intern medarbejder
En faeliglles databeskyttelsesraringdgiver for hele eller flere organisationer
En ekstern databeskyttelsesraringdgiver
Intern medarbejder
En organisation kan vaeliglge at udpege en eksisterende medarbejder som databeskyttelsesraringdgi-
ver
Det er ikke et krav at den medarbejder der varetager funktionen som databeskyttelsesraringdgiver
udoslashver sin funktion paring fuld tid
Vejledning om databeskyttelsesraringdgivere
21
Dermed kan en intern medarbejder der varetager funktionen som databeskyttelsesraringdgiver ud-
foslashre andre opgaver og have andre pligter i organisationen
Saringledes kan en medarbejder der feks arbejder i IT-sektionen i en organisation godt varetage
funktionen som databeskyttelsesraringdgiver paring deltid eller 10 timer om ugen alt efter behovet i
den enkelte organisation
Det afgoslashrende er at den paringgaeligldende medarbejder fyldestgoslashrende kan udoslashve sit erhverv som
databeskyttelsesraringdgiver i organisationen
Den person der udpeges kan med fordel vaeligre en person som i forvejen har et vist kendskab
til eller indsigt i haringndtering af databeskyttelsesretlige sposlashrgsmaringl i organisationen
Selve vurderingen af hvor meget tid en medarbejder skal bruge paring fyldestgoslashrende at kunne ef-
terleve kravene til en databeskyttelsesraringdgiver i organisationen afhaelignger af en konkret vurde-
ring af behovet hos organisationen
Interne ansatte der ikke kan vaeligre databeskyttelsesraringdgiver
En databeskyttelsesraringdgiver skal baringde vaeligre uafhaeligngig og vaeligre i stand til at udoslashve uvildig raringd-
givning til organisationen
Derfor kan en databeskyttelsesraringdgiver ikke vaeligre den oslashverste IT-ansvarlige eller oslashverste HR-
ansvarlige i en organisation
Eksempel ndash virksomhed med faring ansatte
Virksomheder med faring ansatte herunder feks enkeltmandsvirksomheder vil have svaeligrt ved at
opfylde betingelsen om at en databeskyttelsesraringdgiver ikke kan vaeligre oslashverste IT-ansvarlige eller
oslashverste HR-ansvarlige i en organisation (forudsat at virksomheden i oslashvrigt opfylder betingelserne
for hvornaringr private skal udpege en databeskyttelsesraringdgiver jf naeligrmere om privates forpligtelse
under punkt 3) I en saringdan situation kan virksomheden enten benytte sig af muligheden for at
udpege en faeliglles databeskyttelsesraringdgiver eller anvende en konsulent til opgaven
Databeskyttelsesraringdgiverenhed
Der kan ogsaring udpeges eacuten databeskyttelsesraringdgiver for den paringgaeligldende organisation som un-
derstoslashttes af en enhed saring den paringgaeligldende kan leve op til sine forpligtelser efter forordningen jf
den ovenfor beskrevne ordning for politiet
Faeliglles databeskyttelsesraringdgiver
Saringvel private som offentlige myndigheder kan udpege en faeliglles databeskyttelsesraringdgiver af-
haeligngig af deres struktur og stoslashrrelse
Medarbejdere som ikke har det oslashverste ansvar kan vaeligre databe-
skyttelsesraringdgivere Det betyder at ledende IT-medarbejdere
compliance-officerer eller en it-sikkerheds koordinator mv kan
udoslashve funktionen som databeskyttelsesraringdgiver i organisationen
Vejledning om databeskyttelsesraringdgivere
22
Ekstern medarbejder
Man kan ogsaring vaeliglge at udpege en ekstern databeskyttelsesraringdgiver Dette kan enten vaeligre en
raringdgiver (konsulentvirksomhed) saringsom en bestemt advokat eller revisor eller andre kvalifice-
rede eksterne parter Udoslashvelsen af hvervet som databeskyttelsesraringdgiver vil dog i sagens natur
alene kunne udoslashves i det omfang dette er foreneligt med eventuelle regler ndash herunder etiske
krav ndash for den relevante type af raringdgivervirksomhed mv
53 Databeskyttelsesraringdgiverens opgaver
Databeskyttelsesraringdgiveren funktion bestaringr i at raringdgive den dataansvarlige og hjaeliglpe med at
organisationen efterlever de databeskyttelsesretlige regler
En databeskyttelsesraringdgiver skal desuden prioritere sine opgaver og fokusere paring de behandlin-
ger af personoplysninger i den paringgaeligldende organisation som konkret indebaeligrer en hoslashjere ri-
siko for brud paring de databeskyttelsesretlige regler Dog skal oslashvrige databeskyttelsesretlige omraring-
der som indebaeligrer en lavere grad af risiko ikke undlades
Der er en raeligkke opgaver som databeskyttelsesraringdgiveren som minimum skal varetage Der er
dog ikke noget til hinder for at der overlades flere opgaver til databeskyttelsesraringdgiveren Da-
tabeskyttelsesraringdgiverens rolle som central raringdgivningsfigur i organisationen samt dennes op-
gaver kan med fordel beskrives naeligrmere i en (ansaeligttelses)aftale
Nedenfor foslashlger en naeligrmere beskrivelse af de opgaver som databeskyttelsesraringdgiveren som
minimum skal varetage i en organisation
Underrette og raringdgive organisationen og de ansatte om databeskyttelse
Det indebaeligrer
Konkret raringdgivning om beskyttelse af personoplysninger i organisationen samt
overvejelser og beslutninger om hvordan compliance sikres mv feks i forbin-
delse med foslashlgende
Organisationens indkoslashb af nyt IT-system
kravsspecifikationer til leverandoslashrer
udarbejdelse af organisationens data-politikker
ivaeligrksaeligttelse af behandling af personoplysninger
overvejelser om hvorvidt en given behandling af personoplysninger over-
holder de generelle behandlingsregler
Staring til raringdighed for ansatte samt ledelsen i organisationen vedroslashrende sposlashrgsmaringl
om databeskyttelse
Vejledning om databeskyttelsesraringdgivere
23
Raringdgivning i forbindelse med udarbejdelse af organisationens konsekvensanaly-
ser jf afsnit 3 nedenfor
Modtage underretning om og raringdgive organisationen i forbindelse med brud paring
persondatasikkerheden
Overvaringge overholdelsen af de databeskyttelsesretlige regler i organisationen
Det indebaeligrer bla ogsaring at overvaringge
organisationens politikker om databeskyttelse
uddannelse af personale i databeskyttelse
oplysningskampagner
fordeling af ansvar
revisioner
Det skal hertil bemaeligrkes at databeskyttelsesraringdgiverens opgave med at overvaringge overholdel-
sen af de databeskyttelsesretlige regler i organisationen ikke medfoslashrer at raringdgiveren overtager
selve ansvaret for at behandlingen af personoplysninger sker i overensstemmelse med reg-
lerne Dette ansvar ligger fortsat hos den dataansvarlige
Raringdgivning i forbindelse med udarbejdelse af organisationens konsekvensanalyser
I visse tilfaeliglde skal organisationer udarbejde en konsekvensanalyse af en planlagt behandling
af personoplysninger
I de tilfaeliglde hvor en organisation har udpeget en databeskyttelsesraringdgiver skal denne raringdfoslash-
res naringr der foretages en konsekvensanalyse
Herudover skal databeskyttelsesraringdgiveren raringdgive med hensyn til konsekvensanalysen naringr
der anmodes herom
Som led i overvaringgningsopgaven kan databeskyttel-
sesraringdgiveren foretage foslashlgende
indsamle oplysninger til at identificere
behandlingsaktiviteter
informere raringdgive og komme med an-
befalinger til den dataansvarlige og da-
tabehandleren
Vejledning om databeskyttelsesraringdgivere
24
I tilfaeliglde af uenighed mellem organisationen og databeskyttelsesraringdgiveren anbefales det at
det specifikt fremgaringr af selve konsekvensanalysen hvorfor databeskyttelsesraringdgiverens indstil-
ling ikke er blevet fulgt
Samarbejde med Datatilsynet paring vegne af organisationen
En organisation er forpligtet til at hoslashre Datatilsynet inden behandling hvis en konsekvensana-
lyse vedroslashrende databeskyttelse viser at behandlingen af personoplysninger vil foslashre til hoslashj ri-
siko i mangel af foranstaltninger truffet af organisation for at begraelignse risikoen
Det foslashlger af forordningen at databeskyttelsesraringdgiveren skal samarbejde med tilsynsmyndig-
heden og fungere som tilsynsmyndighedens kontaktperson Det kan feks vaeligre databeskyttel-
sesraringdgiveren der paring vegne af den dataansvarlige hoslashrer tilsynsmyndigheden
Vaeligre kontaktpunkt for tilsynsmyndigheden (Datatilsynet) angaringende alle sposlashrgsmaringl om behand-
ling af personoplysninger for de personer der behandles oplysninger om
Databeskyttelsesraringdgiveren skal inddrages af den dataansvarlige i tilfaeliglde af at konkrete kla-
gesager indbringes for Datatilsynet Databeskyttelsesraringdgiveren boslashr ligeledes orienteres naringr
Datatilsynet beslutter at gennemfoslashre et eventuelt tilsyn af den dataansvarlige
Herudover skal databeskyttelsesraringdgiveren ogsaring vaeligre i stand til at vejlede den person der be-
handles personoplysninger om Det betyder at databeskyttelsesraringdgiveren skal vaeligre i stand til
at vejlede om hvilke rettigheder den paringgaeligldende har og hvordan de kan udnyttes
Det indebaeligrer endvidere at den dataansvarlige skal give meddelelse om kontaktoplysninger paring
databeskyttelsesraringdgiveren
Det anbefales i oslashvrigt at organisationen i en funktionsbeskrivelse klart definerer hvilke opgaver
der paringhviler databeskyttelsesraringdgiveren En funktionsbeskrivelse vil goslashre det tydeligt hvornaringr
Raringdgivning i forhold til konsekvensanalyser kan bla indebaeligre raringdgiv-
ning vedroslashrende
om der skal gennemfoslashres en konsekvensanalyse
hvilken fremgangsmaringde der skal anvendes ved gennemfoslash-
relse af konsekvensanalysen
om konsekvensanalysen kan gennemfoslashres internt eller om
gennemfoslashrelsen kraeligver antagelse af ekstern bistand
hvilke sikkerhedsforanstaltninger (tekniske og organisatori-
ske) som skal anvendes for at begraelignse risici i forhold til
de registreredes rettigheder og interesser
om konsekvensanalysen er korrekt gennemfoslashrt og om
dens konklusioner er i overensstemmelse med de databe-
skyttelsesretlige regler
Vejledning om databeskyttelsesraringdgivere
25
den paringgaeligldende virker som databeskyttelsesraringdgiver og i denne egenskab ikke kan instrueres
Det vil samtidig blive tydeligt hvornaringr den paringgaeligldende udfoslashrer andre opgaver i sit ordinaeligre an-
saeligttelsesforhold i organisationen
54 Krav til organisationen ndash rettidig og tilstraeligkkelig inddragelse af databeskyt-
telsesraringdgiveren
En organisation skal sikre at databeskyttelsesraringdgiveren inddrages tilstraeligkkeligt og rettidigt i
alle sposlashrgsmaringl vedroslashrende beskyttelse af personoplysninger En saringdan inddragelse boslashr ogsaring
ske paring oslashverste ledelsesmaeligssige niveau (feks ved deltagelse paring direktions- og ledelsesmoslashder)
Det anbefales at organisationen implementerer procedurer som sikrer dette
I hvilke tilfaeliglde skal databeskyttelsesraringdgiveren inddrages
Databeskyttelsesraringdgiveren skal inddrages i alle de overvejelser og vurderinger som organisa-
tionen goslashr sig for at overholde kravene i databeskyttelsesforordningen databeskyttelsesloven
og oslashvrige regler for behandling af personoplysninger
Eksempel paring sposlashrgsmaringl hvor databeskyttelsesraringdgiveren boslashr inddrages
ved overvejelser og beslutninger om hvordan organisationens compliance med
databeskyttelsesreglerne sikres
ved overvejelser i forbindelse med datasikkerhed herunder databeskyttelse gen-
nem design og standardindstillinger og
ved udarbejdelse af konsekvensanalyser
Saringfremt databeskyttelsesraringdgiveren udpeges foslashr den 25 maj 2018 kan denne inddrages i or-
ganisationens implementering af de krav der foslashlger af forordningen
Eksempel paring sposlashrgsmaringl hvor databeskyttelsesraringdgiveren ikke
skal inddrages
Konkrete vurderinger ift registreredes rettigheder
feks anmodning paring indsigt ret til at blive glemt
mv
Deltagelse i mindre praktiske eller almindelige
driftsopgaver eller driftsmaeligssige sposlashrgsmaringl knyt-
tet til opsaeligtning af it-systemer
Udarbejdelse af konkrete databehandleraftaler
Behandling af personoplysninger der finder sted i
overensstemmelse med interne regler som den da-
taansvarlige har fastsat forudsat at disse regler er
fastsat under inddragelse af databeskyttelsesraringdgi-
veren
Vejledning om databeskyttelsesraringdgivere
26
Hvordan skal databeskyttelsesraringdgiveren inddrages
For at sikre at databeskyttelsesraringdgiveren inddrages tilstraeligkkeligt og rettidigt er organisationen
forpligtet til at holde databeskyttelsesraringdgiveren tilstraeligkkeligt og rettidigt orienteret om alle
sposlashrgsmaringl om beskyttelse af personoplysninger
Som tommelfingerregel skal databeskyttelsesraringdgiveren have mulighed for at vurdere overhol-
delsen af de databeskyttelsesretlige regler og komme med bemaeligrkninger eller lignende inden
en behandling af personoplysninger igangsaeligttes
Hvornaringr er inddragelsen rettidig
Databeskyttelsesraringdgiveren skal inddrages i saring god tid som det er muligt forud for ivaeligrksaeligttel-
sen af behandling af personoplysninger
Det er afgoslashrende at databeskyttelsesraringdgiveren inddrages i tide til at kunne foretage en reel
vurdering af om den paringtaelignkte behandling af personoplysninger er i overensstemmelse med de
databeskyttelsesretlige regler og dermed kan komme med kvalificerede bemaeligrkninger herom
med henblik paring at raringdgive organisationen
Eksempler paring rettidig inddragelse
Inddrages forud for beslutning om noslashdvendige
foranstaltninger i IT-systemer for at efterleve kra-
vene om databeskyttelse gennem design og stan-
dardindstillinger
Inddrages forud for udstedelse af retningslinjer og
procedurer for hvordan de databeskyttelsesret-
lige regler skal overholdes i organisationen
Inddragelse foslashr offentliggoslashrelse af udbudsmateri-
ale i en udbudsproces eller lignende
Eksempler paring ikke-rettidig inddragelse
Inddragelse af databeskyttelsesraringdgiveren efter
et nyt IT-system er faeligrdigudviklet
Inddragelse af databeskyttelsesraringdgiveren efter
indkoslashb af IT-systemer (dermed ikke en del af
overvejelserne vedr kravspecifikation og databe-
skyttelse gennem design og standardindstillin-
ger)
Inddragelse af databeskyttelsesraringdgiveren efter
at en konsekvensanalyse er udarbejdet
Inddragelse af databeskyttelsesraringdgiveren efter
stoslashrre aeligndringer i organisationens procedurer
der vedroslashrer databeskyttelse saringsom haringndtering
af anmodninger fra registrerede personer
Vejledning om databeskyttelsesraringdgivere
27
Behandlingsaktiviteter igangsat foslashr en databeskyttelsesraringdgiver udpeges
Naringr en organisation udpeger en databeskyttelsesraringdgiver vil der selvsagt vaeligre behandlinger af
personoplysninger der allerede er igangsat i organisationen
Databeskyttelsesraringdgiveren boslashr ved udpegelsen primaeligrt have fokus paring de fremadrettede com-
pliance aktiviteter Derudover kan databeskyttelsesraringdgiveren ndash ud fra en risikovurdering i for-
hold til de behandlinger som konkret indebaeligrer hoslashjere risiko ndash inddrages i organisationens
overvejelser om hvorvidt de igangvaeligrende aktiviteter overholder de databeskyttelsesretlige
regler
Hvornaringr er inddragelsen tilstraeligkkelig
Der skal ske en reel inddragelse af databeskyttelsesraringdgiveren i organisationens overvejelser
og beslutninger vedroslashrende databeskyttelse
Det indebaeligrer at organisationen skal inddrage og tage hoslashjde for databeskyttelsesraringdgiverens
bemaeligrkninger og raringdgivning i oslashvrigt samt dennes rapportering til oslashverste ledelsesniveau om
overholdelse af de databeskyttelsesretlige regler
Saringfremt databeskyttelsesraringdgiverens raringdgivning ikke foslashlges anbefales det at organisationen
dokumenterer dette i overensstemmelse med kravet om accountability
Ressourcer og adgang
Ressourcer
For at databeskyttelsesraringdgiveren rent faktisk kan udfoslashre sine opgaver er det noslashdvendigt at
organisationens tilvejebringer de noslashdvendige ressourcer til stoslashtte for databeskyttelsesraringdgive-
ren
Det er endvidere et krav at organisationen tilvejebringer de fornoslashdne ressourcer for at databe-
skyttelsesraringdgiveren kan opretholde sin ekspertise inden for omraringdet
Fastsaeligttelsen af de fornoslashdne ressourcer beror paring en konkret vurdering som afhaelignger af de
organisatoriske forhold i organisationen saringsom stoslashrrelsen antallet af behandlingsaktiviteter
kompleksiteten af behandlingen af personoplysninger samt de forbundne risici
Jo stoslashrre en organisation er des stoslashrre er behovet for ressourcer til stoslashtte for databeskyttelses-
raringdgiveren
Selve behovet for ressourcer beror paring en konkret vurde-
ring som organisationen er ansvarlig for at foretage
Som eksempler paring fornoslashdne ressourcer kan naeligvnes
Faciliteter og arbejdsredskaber
Oslashkonomiske ressourcer
Personaleressourcer og lignende
Vejledning om databeskyttelsesraringdgivere
28
Adgang
Databeskyttelsesraringdgiveren skal ogsaring have adgang til organisationens personoplysninger og
den behandling af disse som organisationen foretager
Der skal vaeligre tale om en vid adgang som kan tilvejebringes efter behov
Uafhaeligngighed
Det er et grundlaeligggende krav at en databeskyttelsesraringdgiver ikke maring blive instrueret af andre
om hvordan raringdgiveren skal udfoslashre sine opgaver Der gaeliglder saringledes foslashlgende for databeskyt-
telsesraringdgiveren
Maring ikke som led i sin funktion som databeskyttelsesraringdgiver modtage instruks om
hvordan denne skal udfoslashre sine opgaver (eller feks om en bestemt vurdering el-
ler fortolkning af forordningen)
Maring ikke afskediges eller sanktioneres for at udfoslashre sine opgaver
Rapporterer direkte til oslashverste ledelsesniveau
Databeskyttelsesraringdgiverens interne reaktionsmuligheder er i praksis taeligt forbundne med at
ovenstaringende krav til uafhaeligngighed efterleves Idet en databeskyttelsesraringdgiver ikke har instruk-
tionsbefoslashjelser over for andre dele af den dataansvarliges organisation er det i praksis mulighe-
den for at kunne rapportere direkte til oslashverste ledelsesniveau der er raringdgiverens interne virke-
middel overfor konstaterede brud paring forordningen
Hvor det oslashverste ledelsesniveau er afhaelignger af organiseringen hos den konkrete dataansvarlige
eller databehandleren
I forhold til det private erhvervsliv fremgaringr det af selskabsloven at det er bestyrelsen der er det
centrale eller oslashverste ledelsesorgan i selskaber der baringde har en bestyrelse og en direktion Naringr
der i databeskyttelsesforordningen henvises til det oslashverste ledelsesniveau maring det i det private
forstarings i relation til den daglige drift og dermed direktionen saringfremt selskabet har baringde en besty-
relse og en direktion Det vil i praksis betyde at direktionen skal orientere bestyrelsen om vaelig-
sentlige forhold som paringpeges af databeskyttelsesraringdgiveren
For statslige myndigheder maring den oslashverste ledelse forstarings som den oslashverste administrative le-
delse
For saring vidt angaringr kommuner og regioner gaeliglder at databeskyttelsesraringdgiveren rapporterer di-
rekte til kommunalbestyrelsen henholdsvis regionsraringdet Denne rapportering forelaeliggges for kom-
munalbestyrelsen henholdsvis regionsraringdet uden den forudgaringende udvalgsbehandling som de
kommunale og regionale sager ellers normalt skal undergives Dette udelukker dog ikke at en
kommune kan indhente en erklaeligring fra oslashkonomiudvalget forinden forelaeligggelse for kommunal-
bestyrelsen
55 Beskyttelse af databeskyttelsesraringdgiveren
Funktionen som databeskyttelsesraringdgiver er beskyttet ved et forbud mod at kunne blive afskedi-
get for udfoslashrelse af opgaverne som databeskyttelsesraringdgiver
Vejledning om databeskyttelsesraringdgivere
29
Usaglig afskedigelse af en databeskyttelsesraringdgiver er sanktioneret med en boslashde
Databeskyttelsesraringdgiveren vil kunne afskediges paring et sagligt grundlag efter almindelige ansaeligt-
telsesretlige regler
56 Opsummering
En databeskyttelsesraringdgiver udpeges paring baggrund af sine faglige kvalifikationer
Databeskyttelsesraringdgiveren kan baringde vaeligre en intern medarbejder en faeliglles da-
tabeskyttelsesraringdgiver for hele eller flere organisationer eller en ekstern databe-
skyttelsesraringdgiver
Databeskyttelsesraringdgiveren har en raeligkke opgaver denne som minimum skal va-
retage Derudover anbefales det at man klart definerer hvilke opgaver der paringhvi-
ler databeskyttelsesraringdgiveren
En organisation skal rettidig og tilstraeligkkelig inddrage databeskyttelsesraringdgiveren
i alle sposlashrgsmaringl vedroslashrende beskyttelse af personoplysninger
Databeskyttelsesraringdgiveren nyder en saeligrlig beskyttelse mod usaglig afskedi-
gelse og kan ikke afskediges eller sanktioneres for at udfoslashre sine opgaver som
Databeskyttelsesraringdgiver
Dato
20 december 2017
Justitsministeriet
Slotsholmsgade 10
1216 Koslashbenhavn K
Telefon
72 26 84 00
jmjmdk
Eksempler paring tilfaeliglde hvor en databeskyttelsesraringd-
giver kan afskediges
Ikke udfoslashrer sine arbejdsopgaver
Misligholder ansaeligttelsesforholdet
Samarbejdsvanskeligheder
Vejledning om databeskyttelsesraringdgivere
30
ISBN
978-88-98564-35-7
Foto
Scanpix
Vejledning om databeskyttelsesraringdgivere
7
311 Betingelse nr 1 rdquokerneaktivitetrdquo
Behandling af personoplysninger skal vaeligre virksomhedens kerneaktivitet Med rdquokerneaktivitetrdquo
forstarings ikke den gaeligngse behandling af personoplysninger som de fleste virksomheder foretager
Alle virksomheder behandler saringledes personoplysninger i et vist omfang for at virksomheden kan
fungere Det drejer sig navnlig om behandling af HR-oplysninger og kundeoplysninger i forbin-
delse med kontakt salg og support mv Virksomhedens behandling af disse oplysninger er en
forudsaeligtning for at virksomheden kan udoslashve sin hovedaktivitet feks udbyde tjenesteydelser
eller saeliglge et produkt
Disse almindelige behandlinger af personoplysninger udgoslashr ikke i sig selv en rdquokerneaktivitetrdquo De
kan i stedet anses for en rdquobiaktivitetrdquo idet oplysningerne behandles for at kunne understoslashtte virk-
somhedens hovedaktivitet
Naringr en virksomhed behandler personoplysninger som en biaktivitet vil virksomheden ikke vaeligre
forpligtet til at udpege en databeskyttelsesraringdgiver
Omfattet af begrebet rdquokerneaktivitetrdquo
Behandling af personoplysninger skal vaeligre virksomhedens rdquohovedaktivitetrdquo foslashr det kan anses for
omfattet af begrebet kerneaktivitet
Eksempler paring behandling der udgoslashr rdquobiaktivitetrdquo
Kundekontakt- eller support
HR-oplysninger
Salg
Kundekartotek
Online bookingsystem
Bonuskort
Behandling af klientoplysninger (revi-sorer advokater ingenioslashrer mv)
IT-support
Eksempler paring brancher der som udgangspunkt ikke
har behandling af personoplysninger som kerneakti-
vitet
Privatskoler og doslashgninstitutioner
Forsyningsselskaber
Haringndvaeligrksfaget
Hotel- og restaurationsbranchen
Servicebranchen
Detailhandel
Vejledning om databeskyttelsesraringdgivere
8
Det betyder at virksomheder hvis produkt eller tjeneste direkte bestaringr i behandling af personop-
lysninger kan anses som kerneaktivitet Det kan feks vaeligre virksomheder der udbyder marke-
tingsundersoslashgelser som er baseret paring personoplysninger eller cloud-virksomheder naringr det in-
debaeligrer lagring af personoplysninger
Paring samme maringde kan virksomheder hvis produkt eller tjeneste er uloslashseligt forbundet med be-
handlingen af personoplysninger anses for at have behandling af personoplysninger som deres
kerneaktivitet Det kan feks vaeligre forsikringsselskaber der saeliglger forsikringer til sine kunder
bla paring baggrund af personoplysninger indsamlet om kommende og nuvaeligrende kunder Et an-
det eksempel kan vaeligre privathospitaler
Virksomheder hvis kerneaktivitet bestaringr af behandling af personoplysninger skal dog ogsaring op-
fylde de to oslashvrige betingelser inden virksomheden er forpligtet til at udpege en databeskyttelses-
raringdgiver
312 Betingelse nr 2 rdquoet stort omfangrdquo
Hvis behandlingen af personoplysninger er virksomhedens kerneaktivitet er det ogsaring en betin-
gelse at behandlingen af personoplysninger sker i rdquoet stort omfangrdquo foslashr virksomheden er forplig-
tet til at udpege en databeskyttelsesraringdgiver
Artikel 29-gruppen1 anbefaler i deres udtalelse om databeskyttelsesraringdgivere at der ved vurde-
ringen af om der er tale om en behandling af personoplysninger rdquoi et stort omfangrdquo laeliggges vaeliggt
paring fire kriterier
1 Antallet af personer der behandles oplysninger om ndash enten det specifikke antal personer
eller som andel af den relevante population (befolkningen)
1 Artikel 29-gruppens udtalelse nr 162016 om rdquoGuidelines on Data Protection Officers (rsquoDPOsrsquo)rdquo (WP 243 rev01)
Eksempler paring behandling der udgoslashr rdquokerneaktivitetrdquo
Cloud-computing
Hosting af hjemmesiderdata
Privathospitaler
Forsikringsselskaber
Reklamebureauer der udbyder marke-
tingsundersoslashgelser
Soslashgemaskiner
Tele- eller internetudbydere
Applikationermobile tjenester baseret
paring personoplysninger
Stillingsbesaeligttende virksomhed
Vejledning om databeskyttelsesraringdgivere
9
2 Volumen af personoplysninger ogeller de forskellige typer af personoplysninger der bli-
ver behandlet
3 Tidsperioden der behandles oplysninger i samt hvorvidt behandlingen er permanent
4 Den geografiske udstraeligkning af behandlingsaktiviteterne
Eksempel ndash mindre forsikringsselskab
Et mindre forsikringsselskab der feks kun udbyder sin forretning til en bestemt mindre landsdel
vil formentlig behandle et saring begraelignset omfang af oplysninger at det ikke kan anses for at vaeligre
i et stort omfang Det skyldes at der ikke behandles en stor maeligngde af personoplysninger om et
stort antal personer samt den begraelignsede geografiske udstraeligkning
I modsaeligtning hertil vil et landsdaeligkkende forsikringsselskab anses for at behandle personoplys-
ninger i et stort omfang baringde som foslashlge af maeligngden af oplysninger antallet af personer og den
geografiske udstraeligkning
Eksempel ndash laeliggepraksis
Behandling af patientdata i en laeliggepraksis med et begraelignset antal laeligger tilknyttet kan som foslashlge
af den begraelignsede maeligngde oplysninger der behandles heller ikke anses for at behandle per-
sonoplysninger i et stort omfang
Omvendt vil en stor laeliggepraksis med mange laeligger tilknyttet formentlig behandle en stor maeligngde
personoplysninger om deres patienter Her vil maeligngden af oplysninger der behandles medfoslashre
at der foretages behandling af personoplysninger i et stort omfang
I overvejelserne om fastlaeligggelse af stoslashrrelsen af en privat laeliggepraksisklinikhospital er det rele-
vant at foretage en vurdering af baringde antallet af patienter og af tilknyttede laeligger
Behandling af personoplysninger rdquoi et stort omfangrdquo kan saring-
ledes indebaeligre behandling af
en stor maeligngde af personoplysninger
oplysninger om et stort antal personer
lang varighed herunder permanent
stor geografisk udstraeligkning af behandlingsaktivite-
ter
Vejledning om databeskyttelsesraringdgivere
10
Virksomheder hvis kerneaktivitet bestaringr af behandling af personoplysninger i et stort omfang
skal dog opfylde eacuten af de to sidste betingelser inden virksomheden er forpligtet til at udpege en
databeskyttelsesraringdgiver
313 Betingelse nr 3 rdquoregelmaeligssig og systematisk overvaringgningrdquo eller rdquobehandling af
foslashlsomme oplysninger eller oplysninger om strafbare forholdrdquo
Virksomheder hvis kerneaktivitet bestaringr af behandling af personoplysninger i et stort omfang skal
enten
foretage regelmaeligssig og systematisk overvaringgning af registrerede personer
eller
behandle foslashlsomme oplysningeroplysninger om strafbare forhold
for at vaeligre forpligtede til at udpege en databeskyttelsesraringdgiver
Regelmaeligssig og systematisk overvaringgning af registrerede personer
Regelmaeligssig og systematisk overvaringgning af de registrerede omfatter en virksomheds sporringer
(tracking) eller profilering bla via internettet
Det kan bla omfatte drift af telenet eller services forbundet hermed profilering i forbindelse med
risikovurdering herunder kreditvurderinger vurdering af forsikringspraeligmie lokationstracking via
applikationer og adfaeligrdsbaseret annoncering
Eksempel ndash marketingsfima
Et marketingsfirma der foretager marketingsundersoslashgelser hvor der indgaringr personoplysninger i
et stort omfang og undersoslashgelsen er baseret paring adfaeligrdsbaseret annoncering er omfattet da de
foretager en regelmaeligssig og systematisk overvaringgning af de registrerede personer
Behandling af foslashlsomme oplysninger eller oplysninger om strafbare forhold
Oplysninger kan anses for foslashlsomme hvis de omhandler oplysninger om
Behandling i et stort omfang
Eksempler paring virksomheder der behandler
personoplysninger rdquoi et stort omfangrdquo
Privathospitaler
Stoslashrre forsikringsselskaber
Sporing via feks rejsekort
Soslashgemaskines behandling af
personoplysninger
Tele- eller internetudbydere
Vejledning om databeskyttelsesraringdgivere
11
race eller etnisk oprindelse
politisk religioslashs eller filosofisk overbevisning
fagforeningsmaeligssigt tilhoslashrsforhold
behandling af genetisk data eller biometrisk data med det formaringl entydigt at iden-
tificere en fysisk person
helbredsoplysninger
oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering
Oplysninger om strafbare forhold omfatter oplysninger om straffedomme og lovovertraeligdelser
Eksempel ndash skadesforsikringsselskaber
Skadesforsikringsselskaber kan man opdele i de selskaber der behandler foslashlsomme oplysninger
og de selskaber der ikke (eller i begraelignset omfang) behandler foslashlsomme oplysninger
For saring vidt angaringr de selskaber der ikke behandler denne type oplysninger kan naeligvnes special-
selskaber som typisk forsikrer ting (feks glasforsikring) og ikke risiko for personskader Forsik-
ringsselskaber der i begraelignset omfang jf betingelsen ovenfor behandler de omhandlede op-
lysninger vil typisk vaeligre forsikringsselskaber der tegner privatforsikringer herunder eksempelvis
indbo- og bilforsikringer eller erhvervsforsikringer for mindre virksomheder Her indhentes de
naeligvnte oplysninger i forbindelse med tegning af ulykkesforsikringer og ved behandling af per-
sonskader under ulykkesforsikringer
For saring vidt angaringr skadesforsikringsselskaber der opfylder betingelse nr 3 ndash idet de behandler
foslashlsomme oplysninger ndash kan naeligvnes specialiserede rejseforsikringsselskaber for saringvel rejsegods
som syge- og ulykkesforsikringer En betydelig del af disse selskabers forsikringer er personfor-
sikringer hvor der baringde ved tegning og ved behandlingen af personskader (ulykker og syg-
domme) indhentes foslashlsomme oplysninger Endvidere kan sygeforsikringsselskaber som daeligkker
medicin og en raeligkke andre udgifter til helbredelse naeligvnes idet der indhentes helbredsoplysnin-
ger ved optagelses- og refusionssager
Eksempel ndash HR-oplysninger
Virksomheder vil typisk behandle oplysninger om ansattes fagforeningsmaeligssige tilhoslashrsforhold
og helbredsoplysninger i forbindelse med virksomhedens HR-funktion Her er der netop tale om
foslashlsomme oplysninger men det medfoslashrer ikke i sig selv at virksomheden er forpligtet til at udpege
en databeskyttelsesraringdgiver Hertil kraeligves at behandling af personoplysninger er virksomhe-
dens kerneaktivitet og foretages i et stort omfang
Eksempler paring virksomheder der kan
opfylde alle tre betingelser
Privathospitaler
Stoslashrre forsikringssel-
skaber
Tele- eller internetud-
bydere
Marketingsfirma der
udbyder marketingsun-
dersoslashgelser
Eksempler paring virksomheder der blot op-
fylder nogle af betingelserne
Mindre privathospitaler
Mindre forsikringsselskab
Mindre laeliggepraksis
Stoslashrre virksomheder hvor
behandling af personop-
lysninger kun er en biakti-
vitet
Vejledning om databeskyttelsesraringdgivere
12
Eksempel ndash Livs- og pensionsforsikringsselskaberne
Store eller middelstore forsikringsselskaber der dels tegner livs- og pensionsforsikringer for en-
keltpersoner og dels firmapensionsordninger hvor de sikrede er en virksomheds ansatte indhen-
ter og behandler foslashlsomme oplysninger isaeligr helbredsoplysninger ved saringvel tegningindmeldelse
som ved behandlingen af tab af erhvervsevne doslashdsfald sygdom mv Henset til at behandling
af personoplysninger endvidere er disse forsikringsselskabers kerneaktivitet samt at de grundet
stoslashrrelse og geografiske udstraeligkning behandler personoplysningerne i stort omfang vil de som
udgangspunkt skulle udpege en databeskyttelsesraringdgiver
Det bemaeligrkes at det er vigtigt at have sig for oslashje at der er tale om betingelser der alle skal
vaeligre opfyldt Der skal altsaring vaeligre tale om at virksomhedens kerneaktivitet er behandling i stort
omfang af foslashlsomme oplysninger eller oplysninger om strafbart forhold Eller at virksomhedens
kerneaktivitet bestaringr af behandlingsaktiviteter i stort omfang af regelmaeligssig og systematisk over-
varinggning af personer
Virksomheder der ikke er forpligtede til at udpege en databeskyttelsesraringdgiver kan med fordel
dokumentere vurderingen saring denne kan fremvises til Datatilsynet
32 Frivillig udnaeligvnelse af en databeskyttelsesraringdgiver
Private kan under alle omstaeligndigheder frivilligt vaeliglge at udpege en databeskyttelsesraringdgiver
I de tilfaeliglde hvor der frivilligt udpeges en databeskyttelsesraringdgiver gaeliglder de samme krav til
databeskyttelsesraringdgiveren som hvis virksomheden var forpligtet til at udpege en databeskyttel-
sesraringdgiver
Det betyder at kravene til databeskyttelsesraringdgiverens opgaver kvalifikationer stilling beskyt-
telse og inddragelse skal efterleves
Vaeliglger en virksomhed derimod at udpege en medarbejder der feks er compliance-raringdgiver er
virksomheden ikke forpligtet til at efterleve forordningens krav til en databeskyttelsesraringdgiver
33 Faeliglles databeskyttelsesraringdgiver
En koncern har mulighed for at udpege en faeliglles databeskyttelsesraringdgiver for hele koncernen
forudsat at alle etableringer af koncernen har let adgang til databeskyttelsesraringdgiveren
Andre private dataansvarlige og databehandlere end koncerner har ogsaring mulighed for at udpege
en faeliglles databeskyttelsesraringdgiver Et konsulentfirma kan udoslashve funktionen som databeskyttel-
sesraringdgiver for flere dataansvarlige paring samme tid paring baggrund af tjenesteydelseskontrakter
Det er dog en forudsaeligtning for at private kan udpege en faeliglles databeskyttelsesraringdgiver at
databeskyttelsesraringdgiveren kan efterleve forordningens krav til vedkommende naringr opgaven loslash-
Vejledning om databeskyttelsesraringdgivere
13
ses for flere private paring eacuten gang Dette maring i praksis forudsaeligtte at der feks er adgang til at kom-
munikere med databeskyttelsesraringdgiveren paring et sprog som de beroslashrte medarbejdere kan forstaring
Det maring ligeledes forudsaeligtte at der er afsat saringdanne ressourcer til databeskyttelsesraringdgiveren
at det spejler omfanget af de organisationer der skal daeligkkes Der vil derfor i praksis ikke vaeligre
noget til hinder for at feks en virksomhed udpeger en faeliglles databeskyttelsesraringdgiver paring tvaeligrs
af flere stoslashrre koncernforbundne virksomheder naringr blot de ressourcer der afsaeligttes til databe-
skyttelsesraringdgiveren i form af medarbejdere rejsebudget it-understoslashttelse mv i tilstraeligkkelig om-
fang sikrer at databeskyttelsesraringdgiveren kan moslashde sine forpligtelser
34 Opsummering
Der skal rigtig meget til foslashr en privat virksomhed er forpligtet til at udpege en da-
tabeskyttelsesraringdgiver
Helt konkret skal tre betingelser der knytter sig til en virksomheds behandling af
personoplysninger alle vaeligre opfyldt foslashr der en pligt til at udpege en databeskyt-
telsesraringdgiver
Alle virksomheder boslashr foretage en konkret vurdering af om de tre betingelser er
opfyldt Er alle tre betingelser ikke opfyldt skal der ikke udpeges en databeskyt-
telsesraringdgiver
Vejledning om databeskyttelsesraringdgivere
14
4 Offentlige myndigheders forpligtelse til
at udpege en databeskyttelsesraringdgiver
Offentlige myndigheder og offentlige organer skal altid have en databeskyttelsesraringdgiver uanset
om de er dataansvarlige eller databehandlere
41 Hvornaringr skal offentlige myndigheder udpege en databeskyttelsesraringdgiver
I det omfang behandling foretages af en offentlig myndighed eller et offentligt organ skal myndig-
heden eller organet altid have en databeskyttelsesraringdgiver hvad enten de er dataansvarlige eller
databehandlere
Det betyder at der ogsaring skal udpeges en databeskyttelsesraringdgiver hvis den offentlige myndig-
hed eller organ behandler personoplysninger paring vegne af en privat eller selv outsourcer sin da-
tabehandling til en privat som ikke er forpligtet til at udpege en databeskyttelsesraringdgiver Det kan
feks vaeligre tilfaeligldet naringr offentlige myndigheder eller organer vaeliglger at overlade til en anden at
udfoslashre selve den praktiske behandling af personoplysninger paring den dataansvarliges vegne
Den eneste undtagelse hertil er domstole der ikke er forpligtede til at udpege en databeskyttel-
sesraringdgiver naringr de handler i deres egenskab af domstole
42 Hvornaringr er man en offentlig myndighed
De myndigheder der i dansk ret henregnes til den offentlige forvaltning i medfoslashr af forvaltnings-
lovens sect 1 stk 1-2 skal anses for offentlige myndigheder eller organer og er dermed forpligtede
til at udpege en databeskyttelsesraringdgiver Det fremgaringr heraf at foslashlgende virksomheder omfattes
af loven al virksomhed der udoslashves af den offentlige forvaltning og al virksomhed der udoslashves af
selvejende institutioner foreninger fonde mv der er oprettet ved lov eller i henhold til lov og
selvejende institutioner foreninger fonde mv der er oprettet paring privatretligt grundlag og som
udoslashver offentlig virksomhed af mere omfattende karakter og er undergivet intensiv offentlig regu-
lering intensivt offentlig tilsyn og intensiv offentlig kontrol
I forhold til selvejende institutioner mv oprettet paring privatretligt grundlag vil der saringledes vaeligre
nogle som omfattes af kravet om at have en databeskyttelsesraringdgiver mens andre ikke omfattes
Det vil bero paring en konkret vurdering
Selvejende institutioner mv oprettet paring privatretligt grundlag som udoslashver offentlig virksomhed
af mere omfattende karakter og er undergivet intensiv offentlig regulering intensivt offentlig tilsyn
og intensiv offentlig kontrol vil vaeligre omfattet
Det spiller endvidere ind om det offentlige har instruktionsbefoslashjelser over for institutionen om det
offentlige skal godkende institutionens vedtaeliggter og om det offentlige yder sekretariatsbistand
Vejledning om databeskyttelsesraringdgivere
15
til institutionen Herudover maring man se paring om det offentlige skal godkende institutionens regn-
skaber og om institutionens drift og virksomhed er detaljeret reguleret ved regler og retningslinjer
udstedt af det offentlige Endelig kan man tage hensyn til om det offentlige overtager institutio-
nens rettigheder og forpligtelser hvis den nedlaeliggges
Eksempler paring selvejende institutioner mv der er omfattet
- Universiteter
- Institutioner hvor kommunalbestyrelsen har indgaringet overenskomst til opfyldelse af sine forplig-
telser efter lov om social service
- Gymnasieskoler
Eksempler paring selvejende institutioner og foreninger der ikke er omfattet
- Danske Regioner og KL
- Dansk Flygtningehjaeliglp
For saring vidt angaringr statslige og kommunale institutioner der er organiseret i selskabsform feks
som aktieselskab eller interessentskab vil disse umiddelbart aldrig vaeligre omfattet Dette er ogsaring
tilfaeligldet for koncessionerede selskaber og selskaber hvori staten eller en kommune er aktionaeligr
interessent eller lignende uanset om staten eller kommunen ejer selskabet 100 Det har i den
forbindelse ingen betydning hvilke aktiviteter organet udfoslashrer ligesom det ikke i sig selv kan foslashre
til et andet resultat at selskabet maringtte vaeligre oprettet ved lov eller i henhold til lov
Dog er kommunale faeligllesskaber jf sect 60 i lov om kommunernes styrelse hvortil to eller flere
kommuner overfoslashrer opgaver til selvstaeligndig varetagelse altid offentlige myndigheder Det gaeligl-
der uanset at kommunale faeligllesskaber normalt etableres som interessentskaber Det kommu-
nale faeligllesskab er selvstaeligndigt dataansvarligt og skal udpege en databeskyttelsesraringdgiver
Eksempel paring institution der er organiseret i selskabsform der ikke er omfattet
- Staten og Kommunernes Indkoslashbs Service AS
Saringfremt der ikke er tale om en offentlig myndighed eller organ skal bedoslashmmelsen af hvorvidt
man har pligt til at udpege en databeskyttelsesraringdgiver foretages i henhold til betingelserne be-
skrevet ovenfor under punkt 3 vedroslashrende privates forpligtelse til at udpege en databeskyttel-
sesraringdgiver
43 Faeliglles databeskyttelsesraringdgiver for offentlige myndigheder
Flere myndigheder eller organer vil i mange tilfaeliglde kunne have en faeliglles databeskyttelsesraringd-
giver forudsat at det er i overensstemmelse med deres organisatoriske struktur og stoslashrrelse I
den forbindelse kan det vaeligre relevant at overveje om raringdgiveren skal fungere paring baggrund af
eacuten ansaeligttelseskontrakt for to forskellige myndigheder eller to deltidskontrakter
Herudover vil en databeskyttelsesraringdgiver kunne vaeligre ansat paring en deltidskontrakt hos eacuten myn-
dighed og ansat paring baggrund af en tjenesteydelseskontrakt i en anden myndighed eller organi-
sation
Vejledning om databeskyttelsesraringdgivere
16
Saringfremt flere myndigheder har en faeliglles databeskyttelsesraringdgiver er det dog en forudsaeligtning
at databeskyttelsesraringdgiveren kan efterleve kravene i databeskyttelsesforordningen til en data-
beskyttelsesraringdgiver herunder til dennes stilling opgaver uafhaeligngighed og tilgaeligngelighed mv
naringr denne loslashser opgaven for flere myndigheder paring eacuten gang
For saring vidt angaringr tilgaeligngelighed er der ikke et krav om fysisk tilstedevaeligrelse paring alle lokationer
saringfremt der anvendes en faeliglles databeskyttelsesraringdgiver De enkelte myndigheder har i den for-
bindelse mulighed for at aftale hvordan den fysiske tilgaeligngelighed i praksis kan loslashftes herunder
feks ved hjaeliglp af mail telefon internet mm Det er i relation til kravet om tilgaeligngelighed endvi-
dere vaeligrd at bemaeligrke at flere myndigheder som naeligvnt godt kan have en faeliglles raringdgiver men
at databeskyttelsesraringdgiveren skal kunne (naring at) varetage sin raringdgivningsopgave fyldestgoslashrende
for alle de myndigheder for hvilke den paringgaeligldende varetager opgaven som databeskyttelses-
raringdgiver Her kan det bla vaeligre relevant at se paring maeligngden af personoplysninger der behandles
i en given myndighed
I relation til uafhaeligngighedskriteriet bemaeligrkes at det kan vaeligre betaelignkeligt at lade visse myndig-
heder have en faeliglles databeskyttelsesraringdgiver jf nedenfor under afsnittet rdquoEksempel ndash Ministe-
rier og underordnede myndighederrdquo
Der henvises i oslashvrigt til afsnit 5 i denne vejledning
Det er endvidere et krav at der er eacuten der er personligt ansvarlig for hvervet som databeskyttel-
sesraringdgiver
Som foslashlge af kravet om at udpegningen af en faeliglles databeskyttelsesraringdgiver skal vaeligre i over-
ensstemmelse med myndigheden eller organets organisatoriske struktur og stoslashrrelse stilles der
krav til selve ansaeligttelsen af databeskyttelsesraringdgiveren
Den retlige graelignse for at dele en databeskyttelsesraringdgiver vil i et saringdan tilfaeliglde vaeligre de gaeligl-
dende standarder om offentlige ansattes bierhverv de almindelige habilitetsregler og muligheden
for at efterleve kravene i forordningen herunder tilstraeligkkelige ressourcer i forhold til at udfoslashre
hvervet
Vejledning om databeskyttelsesraringdgivere
17
Kommuner
Det antages ikke at vaeligre i overensstemmelse med en offentlig myndigheds struktur eller stoslashr-
relse hvis en databeskyttelsesraringdgiver fungerer paring baggrund af eacuten ansaeligttelseskontrakt i to for-
skellige kommuner Det antages derimod omvendt at vaeligre i overensstemmelse hermed saring-
fremt raringdgiveren udoslashver sin funktion paring baggrund af to deltidskontrakter i to kommuner paring
samme tid
Eksempel ndash En kommune
En kommune vil typisk vaeligre dataansvarlig for alle de behandlinger af personoplysninger som
foretages inden for den kommunale enhedsforvaltning Derfor er en kommune ikke forpligtet til at
udpege eacuten databeskyttelsesraringdgiver for de enkelte forvaltninger men vil kunne udpege eacuten data-
beskyttelsesraringdgiver for hele kommunen
Eksempel ndash organer med selvstaeligndig kompetence paring det kommunale omraringde
Det bemaeligrkes at der paring det kommunale omraringde kan vaeligre organer som ikke er en del af den
kommunale enhedsforvaltning men har selvstaeligndig kompetence paring det kommunale omraringde
feks huslejenaeligvnet ligesom der kan vaeligre kommunale organer som er en del af enhedsforvalt-
ningen der i visse henseender har en ndash i forhold til kommunalbestyrelsen ndash selvstaeligndig kompe-
tence herunder feks skoleledere
Naringr det i lovgivningen er fastsat eller forudsat at disse organer sekretariatsbetjenes af kommu-
nen og kommunen yder sekretariatsbetjening kan organerne have faeliglles databeskyttelsesraringd-
giver med kommunen og er ikke forpligtet til selvstaeligndigt at udpege en databeskyttelsesraringdgiver
ved siden af kommunens Databeskyttelsesraringdgiverens ydelser vil i den forbindelse vaeligre en del
af sekretariatsbetjeningen
Eksempel ndash Flere kommuner
Flere kommuner vil have mulighed for at dele en databeskyttelsesraringdgiver Som udgangspunkt
vurderes det at feks en gennemsnitskommune paring omkring 45000 indbyggere godt vil kunne
dele en databeskyttelsesraringdgiver med en anden tilsvarende eller en mindre kommune eller at en
lidt stoslashrre kommune vil kunne dele med en mindre kommune hvis databeskyttelsesraringdgiveren
Eksempel - Rigspolitiets databeskyttelsesenhed
Rigspolitiet har udpeget en faeliglles databeskyttelsesraringdgiver for landets 12
politikredse og Rigspolitiet for saring vidt angaringr behandlingen af personoplys-
ninger til brug for retsharingndhaeligvelsesformaringl
Den faeliglles databeskyttelsesraringdgiver understoslashttes i den forbindelse af en cen-
tral datebeskyttelsesenhed i Rigspolitiet hvor de enkelte medarbejdere be-
sidder stort kendskab til persondateretlige og forretningsmaeligssige forhold
med relevans for enhedens opgavevaretagelse Paring denne baggrund kan da-
tabeskyttelsesraringdgiveren samlet set leve op til sine forpligtelser som databe-
skyttelsesraringdgiver i medfoslashr af lov om retsharingndhaeligvende myndigheders be-
handling af personoplysninger som er lig dem der foslashlger af databeskyttel-
sesforordningen
Vejledning om databeskyttelsesraringdgivere
18
samlet set vurderes at kunne varetage opgaverne som databeskyttelsesraringdgiver Der skal saringle-
des foretages en konkret vurdering i det enkelte tilfaeliglde idet det afgoslashrende er om man som
databeskyttelsesraringdgiver kan efterleve sin funktion retmaeligssigt naringr funktionen udoslashves for flere
kommuner paring samme tid
Herudover vil to eller flere kommuner kunne oprette et kommunalt faeligllesskab til hvilket de garingr
sammen om at loslashse opgaven som databeskyttelsesraringdgiver i de deltagende kommuner
Eksempel - Regioner
En region vil typisk ogsaring vaeligre dataansvarlig for alle de behandlinger af personoplysninger der
foretages inden for regionen herunder drift af hospitaler forskning og sociale tilbud mv Hver
region vil som udgangspunkt kunne udpege eacuten databeskyttelsesraringdgiver
Eksempel - Ministerier og underordnede myndigheder
Departementer og underordnede myndigheder kan have en faeliglles databeskyttelsesraringdgiver
Dog kan der vaeligre hindringer som feks myndighedens stoslashrrelse der bevirker at man ikke kan
dele en databeskyttelsesraringdgiver Som eksempel herparing kan naeligvnes Justitsministeriet og politiet
der ikke kan have en faeliglles raringdgiver
Det skyldes at politiet anses for at vaeligre saring stor en enhed at en faeliglles databeskyttelsesraringdgiver
ikke vil kunne efterleve kravene til en databeskyttelsesraringdgiver (om bla tilgaeligngelighed) hvis
denne baringde skulle udfoslashre sin opgave for politiet som helhed og med andre myndigheder under
Justitsministeriets ressort
Dog vil politiet ndash i en ordning svarende til den ovenfor beskrevne paring retsharingndhaeligvelsesomraringdet ndash
kunne have en faeliglles databeskyttelsesraringdgiver under forordningen der udfoslashrer sin funktion for
alle politikredse
Det bemaeligrkes endvidere at forordningens krav om uafhaeligngighed skal vaeligre opfyldt for alle de
myndigheder der deler en databeskyttelsesraringdgiver
I den forbindelse ndash samt i relation til en underordnet myndigheds eventuelt saeligrlige uafhaeligngighed
ift den overordnede myndighed ndash kan der vaeligre visse situationer hvor det kan vaeligre betaelignkeligt
at lade en underordnet myndighed dele databeskyttelsesraringdgiver med et departement
Som eksempel herparing kan naeligvnes Datatilsynet og Justitsministeriets departement Dette er bla
henset til Datatilsynets funktionelle uafhaeligngighed i forhold til Justitsministeriet samt tilsynets spe-
cielle kompetence og rolle i forhold til databeskyttelsesforordningen Som et andet eksempel kan
naeligvnes Ankestyrelsens relation til (paring nuvaeligrende tidspunkt) Oslashkonomi- og Indenrigsministeriets
departement Her kan bla peges paring maeligngden og karakteren af data som behandles i Ankesty-
relsen samt styrelsens faglige uafhaeligngighed af departementet
Organisatoriske aeligndringer kan ogsaring bevirke at det i visse situationer ndash af praktiske aringrsager ndash
kan vaeligre mere oplagt for en underordnet myndighed at have sin egen databeskyttelsesraringdgiver
fremfor at dele med sit departement Hvis en underordnet myndighed saringledes har sin egen data-
beskyttelsesraringdgiver kan denne blot fortsaeligtte under samme kontrakt vilkaringr mv uanset at en
Vejledning om databeskyttelsesraringdgivere
19
myndighed efter eksempelvis et regeringsskifte organisatorisk placeres under et andet ministe-
rium
Eksempel - Selvejende institutioner
I det omfang selvejende institutioner kan anses for en offentlig myndighed eller et organ vil disse
myndigheder ogsaring have mulighed for at udpege en faeliglles databeskyttelsesraringdgiver med en an-
den selvejende institution omfattet af samme lovgivning eller feks den kommune som institutio-
nen har driftsoverenskomst med i det omfang kommunen yder sekretariatsbistand til institutio-
nen
44 Opsummering
Alle offentlige myndigheder og organer skal udpege en databeskyttelsesraringdgiver
fra den 25 maj 2018
Det er i hoslashj grad muligt at udpege en faeliglles databeskyttelsesraringdgiver der funge-
rer paring vegne af flere myndigheder paring eacuten gang
Muligheden for at have en faeliglles databeskyttelsesraringdgiver begraelignses af at
denne skal kunne leve op til sine forpligtelser efter databeskyttelsesforordningen
Databeskyttelsesraringdgiveren kan understoslashttes af en enhed for at kunne udfoslashre sit
hverv i overensstemmelse med forordningens krav Dette gaeliglder uanset om da-
tabeskyttelsesraringdgiveren fungerer for eacuten myndighed eller for flere myndigheder
og organer
Vejledning om databeskyttelsesraringdgivere
20
5 Databeskyttelsesraringdgiveren
51 Krav til faglige kvalifikationer
En databeskyttelsesraringdgiver skal udpeges paring baggrund af sine faglige kvalifikationer Dette
gaeliglder navnlig evnen til at udfoslashre sine opgaver som databeskyttelsesraringdgiver og ekspertise in-
den for databeskyttelsesret- og praksis
Der er ikke krav om at en databeskyttelsesraringdgiver skal have en bestemt uddannelsesmaeligssig
baggrund feks som jurist
Dermed er det op til den enkelte organisation at vurdere hvem der er bedst egnet til at varetage
stillingen som databeskyttelsesraringdgiver
Kravene til stillingen afhaelignger til en vis grad af kompleksiteten af den behandling af personop-
lysninger som den paringgaeligldende organisation foretager Dermed kan der for nogen organisatio-
ner vaeligre behov for at ansaeligtte en databeskyttelsesraringdgiver med stor erfaring inden for feltet og
i andre tilfaeliglde kan en eksisterende medarbejder paring baggrund af diverse kurser varetage funkti-
onen
Hvis der udpeges en databeskyttelsesraringdgiver fra egen organisation kan det med fordel vaeligre
en person som i forvejen har et vist kendskab til eller indsigt i haringndtering af databeskyttelses-
retlige sposlashrgsmaringl i organisationen
52 Hvem kan vaeligre databeskyttelsesraringdgiver
Som udgangspunkt kan alle som organisationen finder kvalificeret til at vaeligre databeskyttelses-
raringdgiver varetage funktionen
Foslashlgende kan derfor vaeligre databeskyttelsesraringdgivere
En intern medarbejder
En faeliglles databeskyttelsesraringdgiver for hele eller flere organisationer
En ekstern databeskyttelsesraringdgiver
Intern medarbejder
En organisation kan vaeliglge at udpege en eksisterende medarbejder som databeskyttelsesraringdgi-
ver
Det er ikke et krav at den medarbejder der varetager funktionen som databeskyttelsesraringdgiver
udoslashver sin funktion paring fuld tid
Vejledning om databeskyttelsesraringdgivere
21
Dermed kan en intern medarbejder der varetager funktionen som databeskyttelsesraringdgiver ud-
foslashre andre opgaver og have andre pligter i organisationen
Saringledes kan en medarbejder der feks arbejder i IT-sektionen i en organisation godt varetage
funktionen som databeskyttelsesraringdgiver paring deltid eller 10 timer om ugen alt efter behovet i
den enkelte organisation
Det afgoslashrende er at den paringgaeligldende medarbejder fyldestgoslashrende kan udoslashve sit erhverv som
databeskyttelsesraringdgiver i organisationen
Den person der udpeges kan med fordel vaeligre en person som i forvejen har et vist kendskab
til eller indsigt i haringndtering af databeskyttelsesretlige sposlashrgsmaringl i organisationen
Selve vurderingen af hvor meget tid en medarbejder skal bruge paring fyldestgoslashrende at kunne ef-
terleve kravene til en databeskyttelsesraringdgiver i organisationen afhaelignger af en konkret vurde-
ring af behovet hos organisationen
Interne ansatte der ikke kan vaeligre databeskyttelsesraringdgiver
En databeskyttelsesraringdgiver skal baringde vaeligre uafhaeligngig og vaeligre i stand til at udoslashve uvildig raringd-
givning til organisationen
Derfor kan en databeskyttelsesraringdgiver ikke vaeligre den oslashverste IT-ansvarlige eller oslashverste HR-
ansvarlige i en organisation
Eksempel ndash virksomhed med faring ansatte
Virksomheder med faring ansatte herunder feks enkeltmandsvirksomheder vil have svaeligrt ved at
opfylde betingelsen om at en databeskyttelsesraringdgiver ikke kan vaeligre oslashverste IT-ansvarlige eller
oslashverste HR-ansvarlige i en organisation (forudsat at virksomheden i oslashvrigt opfylder betingelserne
for hvornaringr private skal udpege en databeskyttelsesraringdgiver jf naeligrmere om privates forpligtelse
under punkt 3) I en saringdan situation kan virksomheden enten benytte sig af muligheden for at
udpege en faeliglles databeskyttelsesraringdgiver eller anvende en konsulent til opgaven
Databeskyttelsesraringdgiverenhed
Der kan ogsaring udpeges eacuten databeskyttelsesraringdgiver for den paringgaeligldende organisation som un-
derstoslashttes af en enhed saring den paringgaeligldende kan leve op til sine forpligtelser efter forordningen jf
den ovenfor beskrevne ordning for politiet
Faeliglles databeskyttelsesraringdgiver
Saringvel private som offentlige myndigheder kan udpege en faeliglles databeskyttelsesraringdgiver af-
haeligngig af deres struktur og stoslashrrelse
Medarbejdere som ikke har det oslashverste ansvar kan vaeligre databe-
skyttelsesraringdgivere Det betyder at ledende IT-medarbejdere
compliance-officerer eller en it-sikkerheds koordinator mv kan
udoslashve funktionen som databeskyttelsesraringdgiver i organisationen
Vejledning om databeskyttelsesraringdgivere
22
Ekstern medarbejder
Man kan ogsaring vaeliglge at udpege en ekstern databeskyttelsesraringdgiver Dette kan enten vaeligre en
raringdgiver (konsulentvirksomhed) saringsom en bestemt advokat eller revisor eller andre kvalifice-
rede eksterne parter Udoslashvelsen af hvervet som databeskyttelsesraringdgiver vil dog i sagens natur
alene kunne udoslashves i det omfang dette er foreneligt med eventuelle regler ndash herunder etiske
krav ndash for den relevante type af raringdgivervirksomhed mv
53 Databeskyttelsesraringdgiverens opgaver
Databeskyttelsesraringdgiveren funktion bestaringr i at raringdgive den dataansvarlige og hjaeliglpe med at
organisationen efterlever de databeskyttelsesretlige regler
En databeskyttelsesraringdgiver skal desuden prioritere sine opgaver og fokusere paring de behandlin-
ger af personoplysninger i den paringgaeligldende organisation som konkret indebaeligrer en hoslashjere ri-
siko for brud paring de databeskyttelsesretlige regler Dog skal oslashvrige databeskyttelsesretlige omraring-
der som indebaeligrer en lavere grad af risiko ikke undlades
Der er en raeligkke opgaver som databeskyttelsesraringdgiveren som minimum skal varetage Der er
dog ikke noget til hinder for at der overlades flere opgaver til databeskyttelsesraringdgiveren Da-
tabeskyttelsesraringdgiverens rolle som central raringdgivningsfigur i organisationen samt dennes op-
gaver kan med fordel beskrives naeligrmere i en (ansaeligttelses)aftale
Nedenfor foslashlger en naeligrmere beskrivelse af de opgaver som databeskyttelsesraringdgiveren som
minimum skal varetage i en organisation
Underrette og raringdgive organisationen og de ansatte om databeskyttelse
Det indebaeligrer
Konkret raringdgivning om beskyttelse af personoplysninger i organisationen samt
overvejelser og beslutninger om hvordan compliance sikres mv feks i forbin-
delse med foslashlgende
Organisationens indkoslashb af nyt IT-system
kravsspecifikationer til leverandoslashrer
udarbejdelse af organisationens data-politikker
ivaeligrksaeligttelse af behandling af personoplysninger
overvejelser om hvorvidt en given behandling af personoplysninger over-
holder de generelle behandlingsregler
Staring til raringdighed for ansatte samt ledelsen i organisationen vedroslashrende sposlashrgsmaringl
om databeskyttelse
Vejledning om databeskyttelsesraringdgivere
23
Raringdgivning i forbindelse med udarbejdelse af organisationens konsekvensanaly-
ser jf afsnit 3 nedenfor
Modtage underretning om og raringdgive organisationen i forbindelse med brud paring
persondatasikkerheden
Overvaringge overholdelsen af de databeskyttelsesretlige regler i organisationen
Det indebaeligrer bla ogsaring at overvaringge
organisationens politikker om databeskyttelse
uddannelse af personale i databeskyttelse
oplysningskampagner
fordeling af ansvar
revisioner
Det skal hertil bemaeligrkes at databeskyttelsesraringdgiverens opgave med at overvaringge overholdel-
sen af de databeskyttelsesretlige regler i organisationen ikke medfoslashrer at raringdgiveren overtager
selve ansvaret for at behandlingen af personoplysninger sker i overensstemmelse med reg-
lerne Dette ansvar ligger fortsat hos den dataansvarlige
Raringdgivning i forbindelse med udarbejdelse af organisationens konsekvensanalyser
I visse tilfaeliglde skal organisationer udarbejde en konsekvensanalyse af en planlagt behandling
af personoplysninger
I de tilfaeliglde hvor en organisation har udpeget en databeskyttelsesraringdgiver skal denne raringdfoslash-
res naringr der foretages en konsekvensanalyse
Herudover skal databeskyttelsesraringdgiveren raringdgive med hensyn til konsekvensanalysen naringr
der anmodes herom
Som led i overvaringgningsopgaven kan databeskyttel-
sesraringdgiveren foretage foslashlgende
indsamle oplysninger til at identificere
behandlingsaktiviteter
informere raringdgive og komme med an-
befalinger til den dataansvarlige og da-
tabehandleren
Vejledning om databeskyttelsesraringdgivere
24
I tilfaeliglde af uenighed mellem organisationen og databeskyttelsesraringdgiveren anbefales det at
det specifikt fremgaringr af selve konsekvensanalysen hvorfor databeskyttelsesraringdgiverens indstil-
ling ikke er blevet fulgt
Samarbejde med Datatilsynet paring vegne af organisationen
En organisation er forpligtet til at hoslashre Datatilsynet inden behandling hvis en konsekvensana-
lyse vedroslashrende databeskyttelse viser at behandlingen af personoplysninger vil foslashre til hoslashj ri-
siko i mangel af foranstaltninger truffet af organisation for at begraelignse risikoen
Det foslashlger af forordningen at databeskyttelsesraringdgiveren skal samarbejde med tilsynsmyndig-
heden og fungere som tilsynsmyndighedens kontaktperson Det kan feks vaeligre databeskyttel-
sesraringdgiveren der paring vegne af den dataansvarlige hoslashrer tilsynsmyndigheden
Vaeligre kontaktpunkt for tilsynsmyndigheden (Datatilsynet) angaringende alle sposlashrgsmaringl om behand-
ling af personoplysninger for de personer der behandles oplysninger om
Databeskyttelsesraringdgiveren skal inddrages af den dataansvarlige i tilfaeliglde af at konkrete kla-
gesager indbringes for Datatilsynet Databeskyttelsesraringdgiveren boslashr ligeledes orienteres naringr
Datatilsynet beslutter at gennemfoslashre et eventuelt tilsyn af den dataansvarlige
Herudover skal databeskyttelsesraringdgiveren ogsaring vaeligre i stand til at vejlede den person der be-
handles personoplysninger om Det betyder at databeskyttelsesraringdgiveren skal vaeligre i stand til
at vejlede om hvilke rettigheder den paringgaeligldende har og hvordan de kan udnyttes
Det indebaeligrer endvidere at den dataansvarlige skal give meddelelse om kontaktoplysninger paring
databeskyttelsesraringdgiveren
Det anbefales i oslashvrigt at organisationen i en funktionsbeskrivelse klart definerer hvilke opgaver
der paringhviler databeskyttelsesraringdgiveren En funktionsbeskrivelse vil goslashre det tydeligt hvornaringr
Raringdgivning i forhold til konsekvensanalyser kan bla indebaeligre raringdgiv-
ning vedroslashrende
om der skal gennemfoslashres en konsekvensanalyse
hvilken fremgangsmaringde der skal anvendes ved gennemfoslash-
relse af konsekvensanalysen
om konsekvensanalysen kan gennemfoslashres internt eller om
gennemfoslashrelsen kraeligver antagelse af ekstern bistand
hvilke sikkerhedsforanstaltninger (tekniske og organisatori-
ske) som skal anvendes for at begraelignse risici i forhold til
de registreredes rettigheder og interesser
om konsekvensanalysen er korrekt gennemfoslashrt og om
dens konklusioner er i overensstemmelse med de databe-
skyttelsesretlige regler
Vejledning om databeskyttelsesraringdgivere
25
den paringgaeligldende virker som databeskyttelsesraringdgiver og i denne egenskab ikke kan instrueres
Det vil samtidig blive tydeligt hvornaringr den paringgaeligldende udfoslashrer andre opgaver i sit ordinaeligre an-
saeligttelsesforhold i organisationen
54 Krav til organisationen ndash rettidig og tilstraeligkkelig inddragelse af databeskyt-
telsesraringdgiveren
En organisation skal sikre at databeskyttelsesraringdgiveren inddrages tilstraeligkkeligt og rettidigt i
alle sposlashrgsmaringl vedroslashrende beskyttelse af personoplysninger En saringdan inddragelse boslashr ogsaring
ske paring oslashverste ledelsesmaeligssige niveau (feks ved deltagelse paring direktions- og ledelsesmoslashder)
Det anbefales at organisationen implementerer procedurer som sikrer dette
I hvilke tilfaeliglde skal databeskyttelsesraringdgiveren inddrages
Databeskyttelsesraringdgiveren skal inddrages i alle de overvejelser og vurderinger som organisa-
tionen goslashr sig for at overholde kravene i databeskyttelsesforordningen databeskyttelsesloven
og oslashvrige regler for behandling af personoplysninger
Eksempel paring sposlashrgsmaringl hvor databeskyttelsesraringdgiveren boslashr inddrages
ved overvejelser og beslutninger om hvordan organisationens compliance med
databeskyttelsesreglerne sikres
ved overvejelser i forbindelse med datasikkerhed herunder databeskyttelse gen-
nem design og standardindstillinger og
ved udarbejdelse af konsekvensanalyser
Saringfremt databeskyttelsesraringdgiveren udpeges foslashr den 25 maj 2018 kan denne inddrages i or-
ganisationens implementering af de krav der foslashlger af forordningen
Eksempel paring sposlashrgsmaringl hvor databeskyttelsesraringdgiveren ikke
skal inddrages
Konkrete vurderinger ift registreredes rettigheder
feks anmodning paring indsigt ret til at blive glemt
mv
Deltagelse i mindre praktiske eller almindelige
driftsopgaver eller driftsmaeligssige sposlashrgsmaringl knyt-
tet til opsaeligtning af it-systemer
Udarbejdelse af konkrete databehandleraftaler
Behandling af personoplysninger der finder sted i
overensstemmelse med interne regler som den da-
taansvarlige har fastsat forudsat at disse regler er
fastsat under inddragelse af databeskyttelsesraringdgi-
veren
Vejledning om databeskyttelsesraringdgivere
26
Hvordan skal databeskyttelsesraringdgiveren inddrages
For at sikre at databeskyttelsesraringdgiveren inddrages tilstraeligkkeligt og rettidigt er organisationen
forpligtet til at holde databeskyttelsesraringdgiveren tilstraeligkkeligt og rettidigt orienteret om alle
sposlashrgsmaringl om beskyttelse af personoplysninger
Som tommelfingerregel skal databeskyttelsesraringdgiveren have mulighed for at vurdere overhol-
delsen af de databeskyttelsesretlige regler og komme med bemaeligrkninger eller lignende inden
en behandling af personoplysninger igangsaeligttes
Hvornaringr er inddragelsen rettidig
Databeskyttelsesraringdgiveren skal inddrages i saring god tid som det er muligt forud for ivaeligrksaeligttel-
sen af behandling af personoplysninger
Det er afgoslashrende at databeskyttelsesraringdgiveren inddrages i tide til at kunne foretage en reel
vurdering af om den paringtaelignkte behandling af personoplysninger er i overensstemmelse med de
databeskyttelsesretlige regler og dermed kan komme med kvalificerede bemaeligrkninger herom
med henblik paring at raringdgive organisationen
Eksempler paring rettidig inddragelse
Inddrages forud for beslutning om noslashdvendige
foranstaltninger i IT-systemer for at efterleve kra-
vene om databeskyttelse gennem design og stan-
dardindstillinger
Inddrages forud for udstedelse af retningslinjer og
procedurer for hvordan de databeskyttelsesret-
lige regler skal overholdes i organisationen
Inddragelse foslashr offentliggoslashrelse af udbudsmateri-
ale i en udbudsproces eller lignende
Eksempler paring ikke-rettidig inddragelse
Inddragelse af databeskyttelsesraringdgiveren efter
et nyt IT-system er faeligrdigudviklet
Inddragelse af databeskyttelsesraringdgiveren efter
indkoslashb af IT-systemer (dermed ikke en del af
overvejelserne vedr kravspecifikation og databe-
skyttelse gennem design og standardindstillin-
ger)
Inddragelse af databeskyttelsesraringdgiveren efter
at en konsekvensanalyse er udarbejdet
Inddragelse af databeskyttelsesraringdgiveren efter
stoslashrre aeligndringer i organisationens procedurer
der vedroslashrer databeskyttelse saringsom haringndtering
af anmodninger fra registrerede personer
Vejledning om databeskyttelsesraringdgivere
27
Behandlingsaktiviteter igangsat foslashr en databeskyttelsesraringdgiver udpeges
Naringr en organisation udpeger en databeskyttelsesraringdgiver vil der selvsagt vaeligre behandlinger af
personoplysninger der allerede er igangsat i organisationen
Databeskyttelsesraringdgiveren boslashr ved udpegelsen primaeligrt have fokus paring de fremadrettede com-
pliance aktiviteter Derudover kan databeskyttelsesraringdgiveren ndash ud fra en risikovurdering i for-
hold til de behandlinger som konkret indebaeligrer hoslashjere risiko ndash inddrages i organisationens
overvejelser om hvorvidt de igangvaeligrende aktiviteter overholder de databeskyttelsesretlige
regler
Hvornaringr er inddragelsen tilstraeligkkelig
Der skal ske en reel inddragelse af databeskyttelsesraringdgiveren i organisationens overvejelser
og beslutninger vedroslashrende databeskyttelse
Det indebaeligrer at organisationen skal inddrage og tage hoslashjde for databeskyttelsesraringdgiverens
bemaeligrkninger og raringdgivning i oslashvrigt samt dennes rapportering til oslashverste ledelsesniveau om
overholdelse af de databeskyttelsesretlige regler
Saringfremt databeskyttelsesraringdgiverens raringdgivning ikke foslashlges anbefales det at organisationen
dokumenterer dette i overensstemmelse med kravet om accountability
Ressourcer og adgang
Ressourcer
For at databeskyttelsesraringdgiveren rent faktisk kan udfoslashre sine opgaver er det noslashdvendigt at
organisationens tilvejebringer de noslashdvendige ressourcer til stoslashtte for databeskyttelsesraringdgive-
ren
Det er endvidere et krav at organisationen tilvejebringer de fornoslashdne ressourcer for at databe-
skyttelsesraringdgiveren kan opretholde sin ekspertise inden for omraringdet
Fastsaeligttelsen af de fornoslashdne ressourcer beror paring en konkret vurdering som afhaelignger af de
organisatoriske forhold i organisationen saringsom stoslashrrelsen antallet af behandlingsaktiviteter
kompleksiteten af behandlingen af personoplysninger samt de forbundne risici
Jo stoslashrre en organisation er des stoslashrre er behovet for ressourcer til stoslashtte for databeskyttelses-
raringdgiveren
Selve behovet for ressourcer beror paring en konkret vurde-
ring som organisationen er ansvarlig for at foretage
Som eksempler paring fornoslashdne ressourcer kan naeligvnes
Faciliteter og arbejdsredskaber
Oslashkonomiske ressourcer
Personaleressourcer og lignende
Vejledning om databeskyttelsesraringdgivere
28
Adgang
Databeskyttelsesraringdgiveren skal ogsaring have adgang til organisationens personoplysninger og
den behandling af disse som organisationen foretager
Der skal vaeligre tale om en vid adgang som kan tilvejebringes efter behov
Uafhaeligngighed
Det er et grundlaeligggende krav at en databeskyttelsesraringdgiver ikke maring blive instrueret af andre
om hvordan raringdgiveren skal udfoslashre sine opgaver Der gaeliglder saringledes foslashlgende for databeskyt-
telsesraringdgiveren
Maring ikke som led i sin funktion som databeskyttelsesraringdgiver modtage instruks om
hvordan denne skal udfoslashre sine opgaver (eller feks om en bestemt vurdering el-
ler fortolkning af forordningen)
Maring ikke afskediges eller sanktioneres for at udfoslashre sine opgaver
Rapporterer direkte til oslashverste ledelsesniveau
Databeskyttelsesraringdgiverens interne reaktionsmuligheder er i praksis taeligt forbundne med at
ovenstaringende krav til uafhaeligngighed efterleves Idet en databeskyttelsesraringdgiver ikke har instruk-
tionsbefoslashjelser over for andre dele af den dataansvarliges organisation er det i praksis mulighe-
den for at kunne rapportere direkte til oslashverste ledelsesniveau der er raringdgiverens interne virke-
middel overfor konstaterede brud paring forordningen
Hvor det oslashverste ledelsesniveau er afhaelignger af organiseringen hos den konkrete dataansvarlige
eller databehandleren
I forhold til det private erhvervsliv fremgaringr det af selskabsloven at det er bestyrelsen der er det
centrale eller oslashverste ledelsesorgan i selskaber der baringde har en bestyrelse og en direktion Naringr
der i databeskyttelsesforordningen henvises til det oslashverste ledelsesniveau maring det i det private
forstarings i relation til den daglige drift og dermed direktionen saringfremt selskabet har baringde en besty-
relse og en direktion Det vil i praksis betyde at direktionen skal orientere bestyrelsen om vaelig-
sentlige forhold som paringpeges af databeskyttelsesraringdgiveren
For statslige myndigheder maring den oslashverste ledelse forstarings som den oslashverste administrative le-
delse
For saring vidt angaringr kommuner og regioner gaeliglder at databeskyttelsesraringdgiveren rapporterer di-
rekte til kommunalbestyrelsen henholdsvis regionsraringdet Denne rapportering forelaeliggges for kom-
munalbestyrelsen henholdsvis regionsraringdet uden den forudgaringende udvalgsbehandling som de
kommunale og regionale sager ellers normalt skal undergives Dette udelukker dog ikke at en
kommune kan indhente en erklaeligring fra oslashkonomiudvalget forinden forelaeligggelse for kommunal-
bestyrelsen
55 Beskyttelse af databeskyttelsesraringdgiveren
Funktionen som databeskyttelsesraringdgiver er beskyttet ved et forbud mod at kunne blive afskedi-
get for udfoslashrelse af opgaverne som databeskyttelsesraringdgiver
Vejledning om databeskyttelsesraringdgivere
29
Usaglig afskedigelse af en databeskyttelsesraringdgiver er sanktioneret med en boslashde
Databeskyttelsesraringdgiveren vil kunne afskediges paring et sagligt grundlag efter almindelige ansaeligt-
telsesretlige regler
56 Opsummering
En databeskyttelsesraringdgiver udpeges paring baggrund af sine faglige kvalifikationer
Databeskyttelsesraringdgiveren kan baringde vaeligre en intern medarbejder en faeliglles da-
tabeskyttelsesraringdgiver for hele eller flere organisationer eller en ekstern databe-
skyttelsesraringdgiver
Databeskyttelsesraringdgiveren har en raeligkke opgaver denne som minimum skal va-
retage Derudover anbefales det at man klart definerer hvilke opgaver der paringhvi-
ler databeskyttelsesraringdgiveren
En organisation skal rettidig og tilstraeligkkelig inddrage databeskyttelsesraringdgiveren
i alle sposlashrgsmaringl vedroslashrende beskyttelse af personoplysninger
Databeskyttelsesraringdgiveren nyder en saeligrlig beskyttelse mod usaglig afskedi-
gelse og kan ikke afskediges eller sanktioneres for at udfoslashre sine opgaver som
Databeskyttelsesraringdgiver
Dato
20 december 2017
Justitsministeriet
Slotsholmsgade 10
1216 Koslashbenhavn K
Telefon
72 26 84 00
jmjmdk
Eksempler paring tilfaeliglde hvor en databeskyttelsesraringd-
giver kan afskediges
Ikke udfoslashrer sine arbejdsopgaver
Misligholder ansaeligttelsesforholdet
Samarbejdsvanskeligheder
Vejledning om databeskyttelsesraringdgivere
30
ISBN
978-88-98564-35-7
Foto
Scanpix
Vejledning om databeskyttelsesraringdgivere
8
Det betyder at virksomheder hvis produkt eller tjeneste direkte bestaringr i behandling af personop-
lysninger kan anses som kerneaktivitet Det kan feks vaeligre virksomheder der udbyder marke-
tingsundersoslashgelser som er baseret paring personoplysninger eller cloud-virksomheder naringr det in-
debaeligrer lagring af personoplysninger
Paring samme maringde kan virksomheder hvis produkt eller tjeneste er uloslashseligt forbundet med be-
handlingen af personoplysninger anses for at have behandling af personoplysninger som deres
kerneaktivitet Det kan feks vaeligre forsikringsselskaber der saeliglger forsikringer til sine kunder
bla paring baggrund af personoplysninger indsamlet om kommende og nuvaeligrende kunder Et an-
det eksempel kan vaeligre privathospitaler
Virksomheder hvis kerneaktivitet bestaringr af behandling af personoplysninger skal dog ogsaring op-
fylde de to oslashvrige betingelser inden virksomheden er forpligtet til at udpege en databeskyttelses-
raringdgiver
312 Betingelse nr 2 rdquoet stort omfangrdquo
Hvis behandlingen af personoplysninger er virksomhedens kerneaktivitet er det ogsaring en betin-
gelse at behandlingen af personoplysninger sker i rdquoet stort omfangrdquo foslashr virksomheden er forplig-
tet til at udpege en databeskyttelsesraringdgiver
Artikel 29-gruppen1 anbefaler i deres udtalelse om databeskyttelsesraringdgivere at der ved vurde-
ringen af om der er tale om en behandling af personoplysninger rdquoi et stort omfangrdquo laeliggges vaeliggt
paring fire kriterier
1 Antallet af personer der behandles oplysninger om ndash enten det specifikke antal personer
eller som andel af den relevante population (befolkningen)
1 Artikel 29-gruppens udtalelse nr 162016 om rdquoGuidelines on Data Protection Officers (rsquoDPOsrsquo)rdquo (WP 243 rev01)
Eksempler paring behandling der udgoslashr rdquokerneaktivitetrdquo
Cloud-computing
Hosting af hjemmesiderdata
Privathospitaler
Forsikringsselskaber
Reklamebureauer der udbyder marke-
tingsundersoslashgelser
Soslashgemaskiner
Tele- eller internetudbydere
Applikationermobile tjenester baseret
paring personoplysninger
Stillingsbesaeligttende virksomhed
Vejledning om databeskyttelsesraringdgivere
9
2 Volumen af personoplysninger ogeller de forskellige typer af personoplysninger der bli-
ver behandlet
3 Tidsperioden der behandles oplysninger i samt hvorvidt behandlingen er permanent
4 Den geografiske udstraeligkning af behandlingsaktiviteterne
Eksempel ndash mindre forsikringsselskab
Et mindre forsikringsselskab der feks kun udbyder sin forretning til en bestemt mindre landsdel
vil formentlig behandle et saring begraelignset omfang af oplysninger at det ikke kan anses for at vaeligre
i et stort omfang Det skyldes at der ikke behandles en stor maeligngde af personoplysninger om et
stort antal personer samt den begraelignsede geografiske udstraeligkning
I modsaeligtning hertil vil et landsdaeligkkende forsikringsselskab anses for at behandle personoplys-
ninger i et stort omfang baringde som foslashlge af maeligngden af oplysninger antallet af personer og den
geografiske udstraeligkning
Eksempel ndash laeliggepraksis
Behandling af patientdata i en laeliggepraksis med et begraelignset antal laeligger tilknyttet kan som foslashlge
af den begraelignsede maeligngde oplysninger der behandles heller ikke anses for at behandle per-
sonoplysninger i et stort omfang
Omvendt vil en stor laeliggepraksis med mange laeligger tilknyttet formentlig behandle en stor maeligngde
personoplysninger om deres patienter Her vil maeligngden af oplysninger der behandles medfoslashre
at der foretages behandling af personoplysninger i et stort omfang
I overvejelserne om fastlaeligggelse af stoslashrrelsen af en privat laeliggepraksisklinikhospital er det rele-
vant at foretage en vurdering af baringde antallet af patienter og af tilknyttede laeligger
Behandling af personoplysninger rdquoi et stort omfangrdquo kan saring-
ledes indebaeligre behandling af
en stor maeligngde af personoplysninger
oplysninger om et stort antal personer
lang varighed herunder permanent
stor geografisk udstraeligkning af behandlingsaktivite-
ter
Vejledning om databeskyttelsesraringdgivere
10
Virksomheder hvis kerneaktivitet bestaringr af behandling af personoplysninger i et stort omfang
skal dog opfylde eacuten af de to sidste betingelser inden virksomheden er forpligtet til at udpege en
databeskyttelsesraringdgiver
313 Betingelse nr 3 rdquoregelmaeligssig og systematisk overvaringgningrdquo eller rdquobehandling af
foslashlsomme oplysninger eller oplysninger om strafbare forholdrdquo
Virksomheder hvis kerneaktivitet bestaringr af behandling af personoplysninger i et stort omfang skal
enten
foretage regelmaeligssig og systematisk overvaringgning af registrerede personer
eller
behandle foslashlsomme oplysningeroplysninger om strafbare forhold
for at vaeligre forpligtede til at udpege en databeskyttelsesraringdgiver
Regelmaeligssig og systematisk overvaringgning af registrerede personer
Regelmaeligssig og systematisk overvaringgning af de registrerede omfatter en virksomheds sporringer
(tracking) eller profilering bla via internettet
Det kan bla omfatte drift af telenet eller services forbundet hermed profilering i forbindelse med
risikovurdering herunder kreditvurderinger vurdering af forsikringspraeligmie lokationstracking via
applikationer og adfaeligrdsbaseret annoncering
Eksempel ndash marketingsfima
Et marketingsfirma der foretager marketingsundersoslashgelser hvor der indgaringr personoplysninger i
et stort omfang og undersoslashgelsen er baseret paring adfaeligrdsbaseret annoncering er omfattet da de
foretager en regelmaeligssig og systematisk overvaringgning af de registrerede personer
Behandling af foslashlsomme oplysninger eller oplysninger om strafbare forhold
Oplysninger kan anses for foslashlsomme hvis de omhandler oplysninger om
Behandling i et stort omfang
Eksempler paring virksomheder der behandler
personoplysninger rdquoi et stort omfangrdquo
Privathospitaler
Stoslashrre forsikringsselskaber
Sporing via feks rejsekort
Soslashgemaskines behandling af
personoplysninger
Tele- eller internetudbydere
Vejledning om databeskyttelsesraringdgivere
11
race eller etnisk oprindelse
politisk religioslashs eller filosofisk overbevisning
fagforeningsmaeligssigt tilhoslashrsforhold
behandling af genetisk data eller biometrisk data med det formaringl entydigt at iden-
tificere en fysisk person
helbredsoplysninger
oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering
Oplysninger om strafbare forhold omfatter oplysninger om straffedomme og lovovertraeligdelser
Eksempel ndash skadesforsikringsselskaber
Skadesforsikringsselskaber kan man opdele i de selskaber der behandler foslashlsomme oplysninger
og de selskaber der ikke (eller i begraelignset omfang) behandler foslashlsomme oplysninger
For saring vidt angaringr de selskaber der ikke behandler denne type oplysninger kan naeligvnes special-
selskaber som typisk forsikrer ting (feks glasforsikring) og ikke risiko for personskader Forsik-
ringsselskaber der i begraelignset omfang jf betingelsen ovenfor behandler de omhandlede op-
lysninger vil typisk vaeligre forsikringsselskaber der tegner privatforsikringer herunder eksempelvis
indbo- og bilforsikringer eller erhvervsforsikringer for mindre virksomheder Her indhentes de
naeligvnte oplysninger i forbindelse med tegning af ulykkesforsikringer og ved behandling af per-
sonskader under ulykkesforsikringer
For saring vidt angaringr skadesforsikringsselskaber der opfylder betingelse nr 3 ndash idet de behandler
foslashlsomme oplysninger ndash kan naeligvnes specialiserede rejseforsikringsselskaber for saringvel rejsegods
som syge- og ulykkesforsikringer En betydelig del af disse selskabers forsikringer er personfor-
sikringer hvor der baringde ved tegning og ved behandlingen af personskader (ulykker og syg-
domme) indhentes foslashlsomme oplysninger Endvidere kan sygeforsikringsselskaber som daeligkker
medicin og en raeligkke andre udgifter til helbredelse naeligvnes idet der indhentes helbredsoplysnin-
ger ved optagelses- og refusionssager
Eksempel ndash HR-oplysninger
Virksomheder vil typisk behandle oplysninger om ansattes fagforeningsmaeligssige tilhoslashrsforhold
og helbredsoplysninger i forbindelse med virksomhedens HR-funktion Her er der netop tale om
foslashlsomme oplysninger men det medfoslashrer ikke i sig selv at virksomheden er forpligtet til at udpege
en databeskyttelsesraringdgiver Hertil kraeligves at behandling af personoplysninger er virksomhe-
dens kerneaktivitet og foretages i et stort omfang
Eksempler paring virksomheder der kan
opfylde alle tre betingelser
Privathospitaler
Stoslashrre forsikringssel-
skaber
Tele- eller internetud-
bydere
Marketingsfirma der
udbyder marketingsun-
dersoslashgelser
Eksempler paring virksomheder der blot op-
fylder nogle af betingelserne
Mindre privathospitaler
Mindre forsikringsselskab
Mindre laeliggepraksis
Stoslashrre virksomheder hvor
behandling af personop-
lysninger kun er en biakti-
vitet
Vejledning om databeskyttelsesraringdgivere
12
Eksempel ndash Livs- og pensionsforsikringsselskaberne
Store eller middelstore forsikringsselskaber der dels tegner livs- og pensionsforsikringer for en-
keltpersoner og dels firmapensionsordninger hvor de sikrede er en virksomheds ansatte indhen-
ter og behandler foslashlsomme oplysninger isaeligr helbredsoplysninger ved saringvel tegningindmeldelse
som ved behandlingen af tab af erhvervsevne doslashdsfald sygdom mv Henset til at behandling
af personoplysninger endvidere er disse forsikringsselskabers kerneaktivitet samt at de grundet
stoslashrrelse og geografiske udstraeligkning behandler personoplysningerne i stort omfang vil de som
udgangspunkt skulle udpege en databeskyttelsesraringdgiver
Det bemaeligrkes at det er vigtigt at have sig for oslashje at der er tale om betingelser der alle skal
vaeligre opfyldt Der skal altsaring vaeligre tale om at virksomhedens kerneaktivitet er behandling i stort
omfang af foslashlsomme oplysninger eller oplysninger om strafbart forhold Eller at virksomhedens
kerneaktivitet bestaringr af behandlingsaktiviteter i stort omfang af regelmaeligssig og systematisk over-
varinggning af personer
Virksomheder der ikke er forpligtede til at udpege en databeskyttelsesraringdgiver kan med fordel
dokumentere vurderingen saring denne kan fremvises til Datatilsynet
32 Frivillig udnaeligvnelse af en databeskyttelsesraringdgiver
Private kan under alle omstaeligndigheder frivilligt vaeliglge at udpege en databeskyttelsesraringdgiver
I de tilfaeliglde hvor der frivilligt udpeges en databeskyttelsesraringdgiver gaeliglder de samme krav til
databeskyttelsesraringdgiveren som hvis virksomheden var forpligtet til at udpege en databeskyttel-
sesraringdgiver
Det betyder at kravene til databeskyttelsesraringdgiverens opgaver kvalifikationer stilling beskyt-
telse og inddragelse skal efterleves
Vaeliglger en virksomhed derimod at udpege en medarbejder der feks er compliance-raringdgiver er
virksomheden ikke forpligtet til at efterleve forordningens krav til en databeskyttelsesraringdgiver
33 Faeliglles databeskyttelsesraringdgiver
En koncern har mulighed for at udpege en faeliglles databeskyttelsesraringdgiver for hele koncernen
forudsat at alle etableringer af koncernen har let adgang til databeskyttelsesraringdgiveren
Andre private dataansvarlige og databehandlere end koncerner har ogsaring mulighed for at udpege
en faeliglles databeskyttelsesraringdgiver Et konsulentfirma kan udoslashve funktionen som databeskyttel-
sesraringdgiver for flere dataansvarlige paring samme tid paring baggrund af tjenesteydelseskontrakter
Det er dog en forudsaeligtning for at private kan udpege en faeliglles databeskyttelsesraringdgiver at
databeskyttelsesraringdgiveren kan efterleve forordningens krav til vedkommende naringr opgaven loslash-
Vejledning om databeskyttelsesraringdgivere
13
ses for flere private paring eacuten gang Dette maring i praksis forudsaeligtte at der feks er adgang til at kom-
munikere med databeskyttelsesraringdgiveren paring et sprog som de beroslashrte medarbejdere kan forstaring
Det maring ligeledes forudsaeligtte at der er afsat saringdanne ressourcer til databeskyttelsesraringdgiveren
at det spejler omfanget af de organisationer der skal daeligkkes Der vil derfor i praksis ikke vaeligre
noget til hinder for at feks en virksomhed udpeger en faeliglles databeskyttelsesraringdgiver paring tvaeligrs
af flere stoslashrre koncernforbundne virksomheder naringr blot de ressourcer der afsaeligttes til databe-
skyttelsesraringdgiveren i form af medarbejdere rejsebudget it-understoslashttelse mv i tilstraeligkkelig om-
fang sikrer at databeskyttelsesraringdgiveren kan moslashde sine forpligtelser
34 Opsummering
Der skal rigtig meget til foslashr en privat virksomhed er forpligtet til at udpege en da-
tabeskyttelsesraringdgiver
Helt konkret skal tre betingelser der knytter sig til en virksomheds behandling af
personoplysninger alle vaeligre opfyldt foslashr der en pligt til at udpege en databeskyt-
telsesraringdgiver
Alle virksomheder boslashr foretage en konkret vurdering af om de tre betingelser er
opfyldt Er alle tre betingelser ikke opfyldt skal der ikke udpeges en databeskyt-
telsesraringdgiver
Vejledning om databeskyttelsesraringdgivere
14
4 Offentlige myndigheders forpligtelse til
at udpege en databeskyttelsesraringdgiver
Offentlige myndigheder og offentlige organer skal altid have en databeskyttelsesraringdgiver uanset
om de er dataansvarlige eller databehandlere
41 Hvornaringr skal offentlige myndigheder udpege en databeskyttelsesraringdgiver
I det omfang behandling foretages af en offentlig myndighed eller et offentligt organ skal myndig-
heden eller organet altid have en databeskyttelsesraringdgiver hvad enten de er dataansvarlige eller
databehandlere
Det betyder at der ogsaring skal udpeges en databeskyttelsesraringdgiver hvis den offentlige myndig-
hed eller organ behandler personoplysninger paring vegne af en privat eller selv outsourcer sin da-
tabehandling til en privat som ikke er forpligtet til at udpege en databeskyttelsesraringdgiver Det kan
feks vaeligre tilfaeligldet naringr offentlige myndigheder eller organer vaeliglger at overlade til en anden at
udfoslashre selve den praktiske behandling af personoplysninger paring den dataansvarliges vegne
Den eneste undtagelse hertil er domstole der ikke er forpligtede til at udpege en databeskyttel-
sesraringdgiver naringr de handler i deres egenskab af domstole
42 Hvornaringr er man en offentlig myndighed
De myndigheder der i dansk ret henregnes til den offentlige forvaltning i medfoslashr af forvaltnings-
lovens sect 1 stk 1-2 skal anses for offentlige myndigheder eller organer og er dermed forpligtede
til at udpege en databeskyttelsesraringdgiver Det fremgaringr heraf at foslashlgende virksomheder omfattes
af loven al virksomhed der udoslashves af den offentlige forvaltning og al virksomhed der udoslashves af
selvejende institutioner foreninger fonde mv der er oprettet ved lov eller i henhold til lov og
selvejende institutioner foreninger fonde mv der er oprettet paring privatretligt grundlag og som
udoslashver offentlig virksomhed af mere omfattende karakter og er undergivet intensiv offentlig regu-
lering intensivt offentlig tilsyn og intensiv offentlig kontrol
I forhold til selvejende institutioner mv oprettet paring privatretligt grundlag vil der saringledes vaeligre
nogle som omfattes af kravet om at have en databeskyttelsesraringdgiver mens andre ikke omfattes
Det vil bero paring en konkret vurdering
Selvejende institutioner mv oprettet paring privatretligt grundlag som udoslashver offentlig virksomhed
af mere omfattende karakter og er undergivet intensiv offentlig regulering intensivt offentlig tilsyn
og intensiv offentlig kontrol vil vaeligre omfattet
Det spiller endvidere ind om det offentlige har instruktionsbefoslashjelser over for institutionen om det
offentlige skal godkende institutionens vedtaeliggter og om det offentlige yder sekretariatsbistand
Vejledning om databeskyttelsesraringdgivere
15
til institutionen Herudover maring man se paring om det offentlige skal godkende institutionens regn-
skaber og om institutionens drift og virksomhed er detaljeret reguleret ved regler og retningslinjer
udstedt af det offentlige Endelig kan man tage hensyn til om det offentlige overtager institutio-
nens rettigheder og forpligtelser hvis den nedlaeliggges
Eksempler paring selvejende institutioner mv der er omfattet
- Universiteter
- Institutioner hvor kommunalbestyrelsen har indgaringet overenskomst til opfyldelse af sine forplig-
telser efter lov om social service
- Gymnasieskoler
Eksempler paring selvejende institutioner og foreninger der ikke er omfattet
- Danske Regioner og KL
- Dansk Flygtningehjaeliglp
For saring vidt angaringr statslige og kommunale institutioner der er organiseret i selskabsform feks
som aktieselskab eller interessentskab vil disse umiddelbart aldrig vaeligre omfattet Dette er ogsaring
tilfaeligldet for koncessionerede selskaber og selskaber hvori staten eller en kommune er aktionaeligr
interessent eller lignende uanset om staten eller kommunen ejer selskabet 100 Det har i den
forbindelse ingen betydning hvilke aktiviteter organet udfoslashrer ligesom det ikke i sig selv kan foslashre
til et andet resultat at selskabet maringtte vaeligre oprettet ved lov eller i henhold til lov
Dog er kommunale faeligllesskaber jf sect 60 i lov om kommunernes styrelse hvortil to eller flere
kommuner overfoslashrer opgaver til selvstaeligndig varetagelse altid offentlige myndigheder Det gaeligl-
der uanset at kommunale faeligllesskaber normalt etableres som interessentskaber Det kommu-
nale faeligllesskab er selvstaeligndigt dataansvarligt og skal udpege en databeskyttelsesraringdgiver
Eksempel paring institution der er organiseret i selskabsform der ikke er omfattet
- Staten og Kommunernes Indkoslashbs Service AS
Saringfremt der ikke er tale om en offentlig myndighed eller organ skal bedoslashmmelsen af hvorvidt
man har pligt til at udpege en databeskyttelsesraringdgiver foretages i henhold til betingelserne be-
skrevet ovenfor under punkt 3 vedroslashrende privates forpligtelse til at udpege en databeskyttel-
sesraringdgiver
43 Faeliglles databeskyttelsesraringdgiver for offentlige myndigheder
Flere myndigheder eller organer vil i mange tilfaeliglde kunne have en faeliglles databeskyttelsesraringd-
giver forudsat at det er i overensstemmelse med deres organisatoriske struktur og stoslashrrelse I
den forbindelse kan det vaeligre relevant at overveje om raringdgiveren skal fungere paring baggrund af
eacuten ansaeligttelseskontrakt for to forskellige myndigheder eller to deltidskontrakter
Herudover vil en databeskyttelsesraringdgiver kunne vaeligre ansat paring en deltidskontrakt hos eacuten myn-
dighed og ansat paring baggrund af en tjenesteydelseskontrakt i en anden myndighed eller organi-
sation
Vejledning om databeskyttelsesraringdgivere
16
Saringfremt flere myndigheder har en faeliglles databeskyttelsesraringdgiver er det dog en forudsaeligtning
at databeskyttelsesraringdgiveren kan efterleve kravene i databeskyttelsesforordningen til en data-
beskyttelsesraringdgiver herunder til dennes stilling opgaver uafhaeligngighed og tilgaeligngelighed mv
naringr denne loslashser opgaven for flere myndigheder paring eacuten gang
For saring vidt angaringr tilgaeligngelighed er der ikke et krav om fysisk tilstedevaeligrelse paring alle lokationer
saringfremt der anvendes en faeliglles databeskyttelsesraringdgiver De enkelte myndigheder har i den for-
bindelse mulighed for at aftale hvordan den fysiske tilgaeligngelighed i praksis kan loslashftes herunder
feks ved hjaeliglp af mail telefon internet mm Det er i relation til kravet om tilgaeligngelighed endvi-
dere vaeligrd at bemaeligrke at flere myndigheder som naeligvnt godt kan have en faeliglles raringdgiver men
at databeskyttelsesraringdgiveren skal kunne (naring at) varetage sin raringdgivningsopgave fyldestgoslashrende
for alle de myndigheder for hvilke den paringgaeligldende varetager opgaven som databeskyttelses-
raringdgiver Her kan det bla vaeligre relevant at se paring maeligngden af personoplysninger der behandles
i en given myndighed
I relation til uafhaeligngighedskriteriet bemaeligrkes at det kan vaeligre betaelignkeligt at lade visse myndig-
heder have en faeliglles databeskyttelsesraringdgiver jf nedenfor under afsnittet rdquoEksempel ndash Ministe-
rier og underordnede myndighederrdquo
Der henvises i oslashvrigt til afsnit 5 i denne vejledning
Det er endvidere et krav at der er eacuten der er personligt ansvarlig for hvervet som databeskyttel-
sesraringdgiver
Som foslashlge af kravet om at udpegningen af en faeliglles databeskyttelsesraringdgiver skal vaeligre i over-
ensstemmelse med myndigheden eller organets organisatoriske struktur og stoslashrrelse stilles der
krav til selve ansaeligttelsen af databeskyttelsesraringdgiveren
Den retlige graelignse for at dele en databeskyttelsesraringdgiver vil i et saringdan tilfaeliglde vaeligre de gaeligl-
dende standarder om offentlige ansattes bierhverv de almindelige habilitetsregler og muligheden
for at efterleve kravene i forordningen herunder tilstraeligkkelige ressourcer i forhold til at udfoslashre
hvervet
Vejledning om databeskyttelsesraringdgivere
17
Kommuner
Det antages ikke at vaeligre i overensstemmelse med en offentlig myndigheds struktur eller stoslashr-
relse hvis en databeskyttelsesraringdgiver fungerer paring baggrund af eacuten ansaeligttelseskontrakt i to for-
skellige kommuner Det antages derimod omvendt at vaeligre i overensstemmelse hermed saring-
fremt raringdgiveren udoslashver sin funktion paring baggrund af to deltidskontrakter i to kommuner paring
samme tid
Eksempel ndash En kommune
En kommune vil typisk vaeligre dataansvarlig for alle de behandlinger af personoplysninger som
foretages inden for den kommunale enhedsforvaltning Derfor er en kommune ikke forpligtet til at
udpege eacuten databeskyttelsesraringdgiver for de enkelte forvaltninger men vil kunne udpege eacuten data-
beskyttelsesraringdgiver for hele kommunen
Eksempel ndash organer med selvstaeligndig kompetence paring det kommunale omraringde
Det bemaeligrkes at der paring det kommunale omraringde kan vaeligre organer som ikke er en del af den
kommunale enhedsforvaltning men har selvstaeligndig kompetence paring det kommunale omraringde
feks huslejenaeligvnet ligesom der kan vaeligre kommunale organer som er en del af enhedsforvalt-
ningen der i visse henseender har en ndash i forhold til kommunalbestyrelsen ndash selvstaeligndig kompe-
tence herunder feks skoleledere
Naringr det i lovgivningen er fastsat eller forudsat at disse organer sekretariatsbetjenes af kommu-
nen og kommunen yder sekretariatsbetjening kan organerne have faeliglles databeskyttelsesraringd-
giver med kommunen og er ikke forpligtet til selvstaeligndigt at udpege en databeskyttelsesraringdgiver
ved siden af kommunens Databeskyttelsesraringdgiverens ydelser vil i den forbindelse vaeligre en del
af sekretariatsbetjeningen
Eksempel ndash Flere kommuner
Flere kommuner vil have mulighed for at dele en databeskyttelsesraringdgiver Som udgangspunkt
vurderes det at feks en gennemsnitskommune paring omkring 45000 indbyggere godt vil kunne
dele en databeskyttelsesraringdgiver med en anden tilsvarende eller en mindre kommune eller at en
lidt stoslashrre kommune vil kunne dele med en mindre kommune hvis databeskyttelsesraringdgiveren
Eksempel - Rigspolitiets databeskyttelsesenhed
Rigspolitiet har udpeget en faeliglles databeskyttelsesraringdgiver for landets 12
politikredse og Rigspolitiet for saring vidt angaringr behandlingen af personoplys-
ninger til brug for retsharingndhaeligvelsesformaringl
Den faeliglles databeskyttelsesraringdgiver understoslashttes i den forbindelse af en cen-
tral datebeskyttelsesenhed i Rigspolitiet hvor de enkelte medarbejdere be-
sidder stort kendskab til persondateretlige og forretningsmaeligssige forhold
med relevans for enhedens opgavevaretagelse Paring denne baggrund kan da-
tabeskyttelsesraringdgiveren samlet set leve op til sine forpligtelser som databe-
skyttelsesraringdgiver i medfoslashr af lov om retsharingndhaeligvende myndigheders be-
handling af personoplysninger som er lig dem der foslashlger af databeskyttel-
sesforordningen
Vejledning om databeskyttelsesraringdgivere
18
samlet set vurderes at kunne varetage opgaverne som databeskyttelsesraringdgiver Der skal saringle-
des foretages en konkret vurdering i det enkelte tilfaeliglde idet det afgoslashrende er om man som
databeskyttelsesraringdgiver kan efterleve sin funktion retmaeligssigt naringr funktionen udoslashves for flere
kommuner paring samme tid
Herudover vil to eller flere kommuner kunne oprette et kommunalt faeligllesskab til hvilket de garingr
sammen om at loslashse opgaven som databeskyttelsesraringdgiver i de deltagende kommuner
Eksempel - Regioner
En region vil typisk ogsaring vaeligre dataansvarlig for alle de behandlinger af personoplysninger der
foretages inden for regionen herunder drift af hospitaler forskning og sociale tilbud mv Hver
region vil som udgangspunkt kunne udpege eacuten databeskyttelsesraringdgiver
Eksempel - Ministerier og underordnede myndigheder
Departementer og underordnede myndigheder kan have en faeliglles databeskyttelsesraringdgiver
Dog kan der vaeligre hindringer som feks myndighedens stoslashrrelse der bevirker at man ikke kan
dele en databeskyttelsesraringdgiver Som eksempel herparing kan naeligvnes Justitsministeriet og politiet
der ikke kan have en faeliglles raringdgiver
Det skyldes at politiet anses for at vaeligre saring stor en enhed at en faeliglles databeskyttelsesraringdgiver
ikke vil kunne efterleve kravene til en databeskyttelsesraringdgiver (om bla tilgaeligngelighed) hvis
denne baringde skulle udfoslashre sin opgave for politiet som helhed og med andre myndigheder under
Justitsministeriets ressort
Dog vil politiet ndash i en ordning svarende til den ovenfor beskrevne paring retsharingndhaeligvelsesomraringdet ndash
kunne have en faeliglles databeskyttelsesraringdgiver under forordningen der udfoslashrer sin funktion for
alle politikredse
Det bemaeligrkes endvidere at forordningens krav om uafhaeligngighed skal vaeligre opfyldt for alle de
myndigheder der deler en databeskyttelsesraringdgiver
I den forbindelse ndash samt i relation til en underordnet myndigheds eventuelt saeligrlige uafhaeligngighed
ift den overordnede myndighed ndash kan der vaeligre visse situationer hvor det kan vaeligre betaelignkeligt
at lade en underordnet myndighed dele databeskyttelsesraringdgiver med et departement
Som eksempel herparing kan naeligvnes Datatilsynet og Justitsministeriets departement Dette er bla
henset til Datatilsynets funktionelle uafhaeligngighed i forhold til Justitsministeriet samt tilsynets spe-
cielle kompetence og rolle i forhold til databeskyttelsesforordningen Som et andet eksempel kan
naeligvnes Ankestyrelsens relation til (paring nuvaeligrende tidspunkt) Oslashkonomi- og Indenrigsministeriets
departement Her kan bla peges paring maeligngden og karakteren af data som behandles i Ankesty-
relsen samt styrelsens faglige uafhaeligngighed af departementet
Organisatoriske aeligndringer kan ogsaring bevirke at det i visse situationer ndash af praktiske aringrsager ndash
kan vaeligre mere oplagt for en underordnet myndighed at have sin egen databeskyttelsesraringdgiver
fremfor at dele med sit departement Hvis en underordnet myndighed saringledes har sin egen data-
beskyttelsesraringdgiver kan denne blot fortsaeligtte under samme kontrakt vilkaringr mv uanset at en
Vejledning om databeskyttelsesraringdgivere
19
myndighed efter eksempelvis et regeringsskifte organisatorisk placeres under et andet ministe-
rium
Eksempel - Selvejende institutioner
I det omfang selvejende institutioner kan anses for en offentlig myndighed eller et organ vil disse
myndigheder ogsaring have mulighed for at udpege en faeliglles databeskyttelsesraringdgiver med en an-
den selvejende institution omfattet af samme lovgivning eller feks den kommune som institutio-
nen har driftsoverenskomst med i det omfang kommunen yder sekretariatsbistand til institutio-
nen
44 Opsummering
Alle offentlige myndigheder og organer skal udpege en databeskyttelsesraringdgiver
fra den 25 maj 2018
Det er i hoslashj grad muligt at udpege en faeliglles databeskyttelsesraringdgiver der funge-
rer paring vegne af flere myndigheder paring eacuten gang
Muligheden for at have en faeliglles databeskyttelsesraringdgiver begraelignses af at
denne skal kunne leve op til sine forpligtelser efter databeskyttelsesforordningen
Databeskyttelsesraringdgiveren kan understoslashttes af en enhed for at kunne udfoslashre sit
hverv i overensstemmelse med forordningens krav Dette gaeliglder uanset om da-
tabeskyttelsesraringdgiveren fungerer for eacuten myndighed eller for flere myndigheder
og organer
Vejledning om databeskyttelsesraringdgivere
20
5 Databeskyttelsesraringdgiveren
51 Krav til faglige kvalifikationer
En databeskyttelsesraringdgiver skal udpeges paring baggrund af sine faglige kvalifikationer Dette
gaeliglder navnlig evnen til at udfoslashre sine opgaver som databeskyttelsesraringdgiver og ekspertise in-
den for databeskyttelsesret- og praksis
Der er ikke krav om at en databeskyttelsesraringdgiver skal have en bestemt uddannelsesmaeligssig
baggrund feks som jurist
Dermed er det op til den enkelte organisation at vurdere hvem der er bedst egnet til at varetage
stillingen som databeskyttelsesraringdgiver
Kravene til stillingen afhaelignger til en vis grad af kompleksiteten af den behandling af personop-
lysninger som den paringgaeligldende organisation foretager Dermed kan der for nogen organisatio-
ner vaeligre behov for at ansaeligtte en databeskyttelsesraringdgiver med stor erfaring inden for feltet og
i andre tilfaeliglde kan en eksisterende medarbejder paring baggrund af diverse kurser varetage funkti-
onen
Hvis der udpeges en databeskyttelsesraringdgiver fra egen organisation kan det med fordel vaeligre
en person som i forvejen har et vist kendskab til eller indsigt i haringndtering af databeskyttelses-
retlige sposlashrgsmaringl i organisationen
52 Hvem kan vaeligre databeskyttelsesraringdgiver
Som udgangspunkt kan alle som organisationen finder kvalificeret til at vaeligre databeskyttelses-
raringdgiver varetage funktionen
Foslashlgende kan derfor vaeligre databeskyttelsesraringdgivere
En intern medarbejder
En faeliglles databeskyttelsesraringdgiver for hele eller flere organisationer
En ekstern databeskyttelsesraringdgiver
Intern medarbejder
En organisation kan vaeliglge at udpege en eksisterende medarbejder som databeskyttelsesraringdgi-
ver
Det er ikke et krav at den medarbejder der varetager funktionen som databeskyttelsesraringdgiver
udoslashver sin funktion paring fuld tid
Vejledning om databeskyttelsesraringdgivere
21
Dermed kan en intern medarbejder der varetager funktionen som databeskyttelsesraringdgiver ud-
foslashre andre opgaver og have andre pligter i organisationen
Saringledes kan en medarbejder der feks arbejder i IT-sektionen i en organisation godt varetage
funktionen som databeskyttelsesraringdgiver paring deltid eller 10 timer om ugen alt efter behovet i
den enkelte organisation
Det afgoslashrende er at den paringgaeligldende medarbejder fyldestgoslashrende kan udoslashve sit erhverv som
databeskyttelsesraringdgiver i organisationen
Den person der udpeges kan med fordel vaeligre en person som i forvejen har et vist kendskab
til eller indsigt i haringndtering af databeskyttelsesretlige sposlashrgsmaringl i organisationen
Selve vurderingen af hvor meget tid en medarbejder skal bruge paring fyldestgoslashrende at kunne ef-
terleve kravene til en databeskyttelsesraringdgiver i organisationen afhaelignger af en konkret vurde-
ring af behovet hos organisationen
Interne ansatte der ikke kan vaeligre databeskyttelsesraringdgiver
En databeskyttelsesraringdgiver skal baringde vaeligre uafhaeligngig og vaeligre i stand til at udoslashve uvildig raringd-
givning til organisationen
Derfor kan en databeskyttelsesraringdgiver ikke vaeligre den oslashverste IT-ansvarlige eller oslashverste HR-
ansvarlige i en organisation
Eksempel ndash virksomhed med faring ansatte
Virksomheder med faring ansatte herunder feks enkeltmandsvirksomheder vil have svaeligrt ved at
opfylde betingelsen om at en databeskyttelsesraringdgiver ikke kan vaeligre oslashverste IT-ansvarlige eller
oslashverste HR-ansvarlige i en organisation (forudsat at virksomheden i oslashvrigt opfylder betingelserne
for hvornaringr private skal udpege en databeskyttelsesraringdgiver jf naeligrmere om privates forpligtelse
under punkt 3) I en saringdan situation kan virksomheden enten benytte sig af muligheden for at
udpege en faeliglles databeskyttelsesraringdgiver eller anvende en konsulent til opgaven
Databeskyttelsesraringdgiverenhed
Der kan ogsaring udpeges eacuten databeskyttelsesraringdgiver for den paringgaeligldende organisation som un-
derstoslashttes af en enhed saring den paringgaeligldende kan leve op til sine forpligtelser efter forordningen jf
den ovenfor beskrevne ordning for politiet
Faeliglles databeskyttelsesraringdgiver
Saringvel private som offentlige myndigheder kan udpege en faeliglles databeskyttelsesraringdgiver af-
haeligngig af deres struktur og stoslashrrelse
Medarbejdere som ikke har det oslashverste ansvar kan vaeligre databe-
skyttelsesraringdgivere Det betyder at ledende IT-medarbejdere
compliance-officerer eller en it-sikkerheds koordinator mv kan
udoslashve funktionen som databeskyttelsesraringdgiver i organisationen
Vejledning om databeskyttelsesraringdgivere
22
Ekstern medarbejder
Man kan ogsaring vaeliglge at udpege en ekstern databeskyttelsesraringdgiver Dette kan enten vaeligre en
raringdgiver (konsulentvirksomhed) saringsom en bestemt advokat eller revisor eller andre kvalifice-
rede eksterne parter Udoslashvelsen af hvervet som databeskyttelsesraringdgiver vil dog i sagens natur
alene kunne udoslashves i det omfang dette er foreneligt med eventuelle regler ndash herunder etiske
krav ndash for den relevante type af raringdgivervirksomhed mv
53 Databeskyttelsesraringdgiverens opgaver
Databeskyttelsesraringdgiveren funktion bestaringr i at raringdgive den dataansvarlige og hjaeliglpe med at
organisationen efterlever de databeskyttelsesretlige regler
En databeskyttelsesraringdgiver skal desuden prioritere sine opgaver og fokusere paring de behandlin-
ger af personoplysninger i den paringgaeligldende organisation som konkret indebaeligrer en hoslashjere ri-
siko for brud paring de databeskyttelsesretlige regler Dog skal oslashvrige databeskyttelsesretlige omraring-
der som indebaeligrer en lavere grad af risiko ikke undlades
Der er en raeligkke opgaver som databeskyttelsesraringdgiveren som minimum skal varetage Der er
dog ikke noget til hinder for at der overlades flere opgaver til databeskyttelsesraringdgiveren Da-
tabeskyttelsesraringdgiverens rolle som central raringdgivningsfigur i organisationen samt dennes op-
gaver kan med fordel beskrives naeligrmere i en (ansaeligttelses)aftale
Nedenfor foslashlger en naeligrmere beskrivelse af de opgaver som databeskyttelsesraringdgiveren som
minimum skal varetage i en organisation
Underrette og raringdgive organisationen og de ansatte om databeskyttelse
Det indebaeligrer
Konkret raringdgivning om beskyttelse af personoplysninger i organisationen samt
overvejelser og beslutninger om hvordan compliance sikres mv feks i forbin-
delse med foslashlgende
Organisationens indkoslashb af nyt IT-system
kravsspecifikationer til leverandoslashrer
udarbejdelse af organisationens data-politikker
ivaeligrksaeligttelse af behandling af personoplysninger
overvejelser om hvorvidt en given behandling af personoplysninger over-
holder de generelle behandlingsregler
Staring til raringdighed for ansatte samt ledelsen i organisationen vedroslashrende sposlashrgsmaringl
om databeskyttelse
Vejledning om databeskyttelsesraringdgivere
23
Raringdgivning i forbindelse med udarbejdelse af organisationens konsekvensanaly-
ser jf afsnit 3 nedenfor
Modtage underretning om og raringdgive organisationen i forbindelse med brud paring
persondatasikkerheden
Overvaringge overholdelsen af de databeskyttelsesretlige regler i organisationen
Det indebaeligrer bla ogsaring at overvaringge
organisationens politikker om databeskyttelse
uddannelse af personale i databeskyttelse
oplysningskampagner
fordeling af ansvar
revisioner
Det skal hertil bemaeligrkes at databeskyttelsesraringdgiverens opgave med at overvaringge overholdel-
sen af de databeskyttelsesretlige regler i organisationen ikke medfoslashrer at raringdgiveren overtager
selve ansvaret for at behandlingen af personoplysninger sker i overensstemmelse med reg-
lerne Dette ansvar ligger fortsat hos den dataansvarlige
Raringdgivning i forbindelse med udarbejdelse af organisationens konsekvensanalyser
I visse tilfaeliglde skal organisationer udarbejde en konsekvensanalyse af en planlagt behandling
af personoplysninger
I de tilfaeliglde hvor en organisation har udpeget en databeskyttelsesraringdgiver skal denne raringdfoslash-
res naringr der foretages en konsekvensanalyse
Herudover skal databeskyttelsesraringdgiveren raringdgive med hensyn til konsekvensanalysen naringr
der anmodes herom
Som led i overvaringgningsopgaven kan databeskyttel-
sesraringdgiveren foretage foslashlgende
indsamle oplysninger til at identificere
behandlingsaktiviteter
informere raringdgive og komme med an-
befalinger til den dataansvarlige og da-
tabehandleren
Vejledning om databeskyttelsesraringdgivere
24
I tilfaeliglde af uenighed mellem organisationen og databeskyttelsesraringdgiveren anbefales det at
det specifikt fremgaringr af selve konsekvensanalysen hvorfor databeskyttelsesraringdgiverens indstil-
ling ikke er blevet fulgt
Samarbejde med Datatilsynet paring vegne af organisationen
En organisation er forpligtet til at hoslashre Datatilsynet inden behandling hvis en konsekvensana-
lyse vedroslashrende databeskyttelse viser at behandlingen af personoplysninger vil foslashre til hoslashj ri-
siko i mangel af foranstaltninger truffet af organisation for at begraelignse risikoen
Det foslashlger af forordningen at databeskyttelsesraringdgiveren skal samarbejde med tilsynsmyndig-
heden og fungere som tilsynsmyndighedens kontaktperson Det kan feks vaeligre databeskyttel-
sesraringdgiveren der paring vegne af den dataansvarlige hoslashrer tilsynsmyndigheden
Vaeligre kontaktpunkt for tilsynsmyndigheden (Datatilsynet) angaringende alle sposlashrgsmaringl om behand-
ling af personoplysninger for de personer der behandles oplysninger om
Databeskyttelsesraringdgiveren skal inddrages af den dataansvarlige i tilfaeliglde af at konkrete kla-
gesager indbringes for Datatilsynet Databeskyttelsesraringdgiveren boslashr ligeledes orienteres naringr
Datatilsynet beslutter at gennemfoslashre et eventuelt tilsyn af den dataansvarlige
Herudover skal databeskyttelsesraringdgiveren ogsaring vaeligre i stand til at vejlede den person der be-
handles personoplysninger om Det betyder at databeskyttelsesraringdgiveren skal vaeligre i stand til
at vejlede om hvilke rettigheder den paringgaeligldende har og hvordan de kan udnyttes
Det indebaeligrer endvidere at den dataansvarlige skal give meddelelse om kontaktoplysninger paring
databeskyttelsesraringdgiveren
Det anbefales i oslashvrigt at organisationen i en funktionsbeskrivelse klart definerer hvilke opgaver
der paringhviler databeskyttelsesraringdgiveren En funktionsbeskrivelse vil goslashre det tydeligt hvornaringr
Raringdgivning i forhold til konsekvensanalyser kan bla indebaeligre raringdgiv-
ning vedroslashrende
om der skal gennemfoslashres en konsekvensanalyse
hvilken fremgangsmaringde der skal anvendes ved gennemfoslash-
relse af konsekvensanalysen
om konsekvensanalysen kan gennemfoslashres internt eller om
gennemfoslashrelsen kraeligver antagelse af ekstern bistand
hvilke sikkerhedsforanstaltninger (tekniske og organisatori-
ske) som skal anvendes for at begraelignse risici i forhold til
de registreredes rettigheder og interesser
om konsekvensanalysen er korrekt gennemfoslashrt og om
dens konklusioner er i overensstemmelse med de databe-
skyttelsesretlige regler
Vejledning om databeskyttelsesraringdgivere
25
den paringgaeligldende virker som databeskyttelsesraringdgiver og i denne egenskab ikke kan instrueres
Det vil samtidig blive tydeligt hvornaringr den paringgaeligldende udfoslashrer andre opgaver i sit ordinaeligre an-
saeligttelsesforhold i organisationen
54 Krav til organisationen ndash rettidig og tilstraeligkkelig inddragelse af databeskyt-
telsesraringdgiveren
En organisation skal sikre at databeskyttelsesraringdgiveren inddrages tilstraeligkkeligt og rettidigt i
alle sposlashrgsmaringl vedroslashrende beskyttelse af personoplysninger En saringdan inddragelse boslashr ogsaring
ske paring oslashverste ledelsesmaeligssige niveau (feks ved deltagelse paring direktions- og ledelsesmoslashder)
Det anbefales at organisationen implementerer procedurer som sikrer dette
I hvilke tilfaeliglde skal databeskyttelsesraringdgiveren inddrages
Databeskyttelsesraringdgiveren skal inddrages i alle de overvejelser og vurderinger som organisa-
tionen goslashr sig for at overholde kravene i databeskyttelsesforordningen databeskyttelsesloven
og oslashvrige regler for behandling af personoplysninger
Eksempel paring sposlashrgsmaringl hvor databeskyttelsesraringdgiveren boslashr inddrages
ved overvejelser og beslutninger om hvordan organisationens compliance med
databeskyttelsesreglerne sikres
ved overvejelser i forbindelse med datasikkerhed herunder databeskyttelse gen-
nem design og standardindstillinger og
ved udarbejdelse af konsekvensanalyser
Saringfremt databeskyttelsesraringdgiveren udpeges foslashr den 25 maj 2018 kan denne inddrages i or-
ganisationens implementering af de krav der foslashlger af forordningen
Eksempel paring sposlashrgsmaringl hvor databeskyttelsesraringdgiveren ikke
skal inddrages
Konkrete vurderinger ift registreredes rettigheder
feks anmodning paring indsigt ret til at blive glemt
mv
Deltagelse i mindre praktiske eller almindelige
driftsopgaver eller driftsmaeligssige sposlashrgsmaringl knyt-
tet til opsaeligtning af it-systemer
Udarbejdelse af konkrete databehandleraftaler
Behandling af personoplysninger der finder sted i
overensstemmelse med interne regler som den da-
taansvarlige har fastsat forudsat at disse regler er
fastsat under inddragelse af databeskyttelsesraringdgi-
veren
Vejledning om databeskyttelsesraringdgivere
26
Hvordan skal databeskyttelsesraringdgiveren inddrages
For at sikre at databeskyttelsesraringdgiveren inddrages tilstraeligkkeligt og rettidigt er organisationen
forpligtet til at holde databeskyttelsesraringdgiveren tilstraeligkkeligt og rettidigt orienteret om alle
sposlashrgsmaringl om beskyttelse af personoplysninger
Som tommelfingerregel skal databeskyttelsesraringdgiveren have mulighed for at vurdere overhol-
delsen af de databeskyttelsesretlige regler og komme med bemaeligrkninger eller lignende inden
en behandling af personoplysninger igangsaeligttes
Hvornaringr er inddragelsen rettidig
Databeskyttelsesraringdgiveren skal inddrages i saring god tid som det er muligt forud for ivaeligrksaeligttel-
sen af behandling af personoplysninger
Det er afgoslashrende at databeskyttelsesraringdgiveren inddrages i tide til at kunne foretage en reel
vurdering af om den paringtaelignkte behandling af personoplysninger er i overensstemmelse med de
databeskyttelsesretlige regler og dermed kan komme med kvalificerede bemaeligrkninger herom
med henblik paring at raringdgive organisationen
Eksempler paring rettidig inddragelse
Inddrages forud for beslutning om noslashdvendige
foranstaltninger i IT-systemer for at efterleve kra-
vene om databeskyttelse gennem design og stan-
dardindstillinger
Inddrages forud for udstedelse af retningslinjer og
procedurer for hvordan de databeskyttelsesret-
lige regler skal overholdes i organisationen
Inddragelse foslashr offentliggoslashrelse af udbudsmateri-
ale i en udbudsproces eller lignende
Eksempler paring ikke-rettidig inddragelse
Inddragelse af databeskyttelsesraringdgiveren efter
et nyt IT-system er faeligrdigudviklet
Inddragelse af databeskyttelsesraringdgiveren efter
indkoslashb af IT-systemer (dermed ikke en del af
overvejelserne vedr kravspecifikation og databe-
skyttelse gennem design og standardindstillin-
ger)
Inddragelse af databeskyttelsesraringdgiveren efter
at en konsekvensanalyse er udarbejdet
Inddragelse af databeskyttelsesraringdgiveren efter
stoslashrre aeligndringer i organisationens procedurer
der vedroslashrer databeskyttelse saringsom haringndtering
af anmodninger fra registrerede personer
Vejledning om databeskyttelsesraringdgivere
27
Behandlingsaktiviteter igangsat foslashr en databeskyttelsesraringdgiver udpeges
Naringr en organisation udpeger en databeskyttelsesraringdgiver vil der selvsagt vaeligre behandlinger af
personoplysninger der allerede er igangsat i organisationen
Databeskyttelsesraringdgiveren boslashr ved udpegelsen primaeligrt have fokus paring de fremadrettede com-
pliance aktiviteter Derudover kan databeskyttelsesraringdgiveren ndash ud fra en risikovurdering i for-
hold til de behandlinger som konkret indebaeligrer hoslashjere risiko ndash inddrages i organisationens
overvejelser om hvorvidt de igangvaeligrende aktiviteter overholder de databeskyttelsesretlige
regler
Hvornaringr er inddragelsen tilstraeligkkelig
Der skal ske en reel inddragelse af databeskyttelsesraringdgiveren i organisationens overvejelser
og beslutninger vedroslashrende databeskyttelse
Det indebaeligrer at organisationen skal inddrage og tage hoslashjde for databeskyttelsesraringdgiverens
bemaeligrkninger og raringdgivning i oslashvrigt samt dennes rapportering til oslashverste ledelsesniveau om
overholdelse af de databeskyttelsesretlige regler
Saringfremt databeskyttelsesraringdgiverens raringdgivning ikke foslashlges anbefales det at organisationen
dokumenterer dette i overensstemmelse med kravet om accountability
Ressourcer og adgang
Ressourcer
For at databeskyttelsesraringdgiveren rent faktisk kan udfoslashre sine opgaver er det noslashdvendigt at
organisationens tilvejebringer de noslashdvendige ressourcer til stoslashtte for databeskyttelsesraringdgive-
ren
Det er endvidere et krav at organisationen tilvejebringer de fornoslashdne ressourcer for at databe-
skyttelsesraringdgiveren kan opretholde sin ekspertise inden for omraringdet
Fastsaeligttelsen af de fornoslashdne ressourcer beror paring en konkret vurdering som afhaelignger af de
organisatoriske forhold i organisationen saringsom stoslashrrelsen antallet af behandlingsaktiviteter
kompleksiteten af behandlingen af personoplysninger samt de forbundne risici
Jo stoslashrre en organisation er des stoslashrre er behovet for ressourcer til stoslashtte for databeskyttelses-
raringdgiveren
Selve behovet for ressourcer beror paring en konkret vurde-
ring som organisationen er ansvarlig for at foretage
Som eksempler paring fornoslashdne ressourcer kan naeligvnes
Faciliteter og arbejdsredskaber
Oslashkonomiske ressourcer
Personaleressourcer og lignende
Vejledning om databeskyttelsesraringdgivere
28
Adgang
Databeskyttelsesraringdgiveren skal ogsaring have adgang til organisationens personoplysninger og
den behandling af disse som organisationen foretager
Der skal vaeligre tale om en vid adgang som kan tilvejebringes efter behov
Uafhaeligngighed
Det er et grundlaeligggende krav at en databeskyttelsesraringdgiver ikke maring blive instrueret af andre
om hvordan raringdgiveren skal udfoslashre sine opgaver Der gaeliglder saringledes foslashlgende for databeskyt-
telsesraringdgiveren
Maring ikke som led i sin funktion som databeskyttelsesraringdgiver modtage instruks om
hvordan denne skal udfoslashre sine opgaver (eller feks om en bestemt vurdering el-
ler fortolkning af forordningen)
Maring ikke afskediges eller sanktioneres for at udfoslashre sine opgaver
Rapporterer direkte til oslashverste ledelsesniveau
Databeskyttelsesraringdgiverens interne reaktionsmuligheder er i praksis taeligt forbundne med at
ovenstaringende krav til uafhaeligngighed efterleves Idet en databeskyttelsesraringdgiver ikke har instruk-
tionsbefoslashjelser over for andre dele af den dataansvarliges organisation er det i praksis mulighe-
den for at kunne rapportere direkte til oslashverste ledelsesniveau der er raringdgiverens interne virke-
middel overfor konstaterede brud paring forordningen
Hvor det oslashverste ledelsesniveau er afhaelignger af organiseringen hos den konkrete dataansvarlige
eller databehandleren
I forhold til det private erhvervsliv fremgaringr det af selskabsloven at det er bestyrelsen der er det
centrale eller oslashverste ledelsesorgan i selskaber der baringde har en bestyrelse og en direktion Naringr
der i databeskyttelsesforordningen henvises til det oslashverste ledelsesniveau maring det i det private
forstarings i relation til den daglige drift og dermed direktionen saringfremt selskabet har baringde en besty-
relse og en direktion Det vil i praksis betyde at direktionen skal orientere bestyrelsen om vaelig-
sentlige forhold som paringpeges af databeskyttelsesraringdgiveren
For statslige myndigheder maring den oslashverste ledelse forstarings som den oslashverste administrative le-
delse
For saring vidt angaringr kommuner og regioner gaeliglder at databeskyttelsesraringdgiveren rapporterer di-
rekte til kommunalbestyrelsen henholdsvis regionsraringdet Denne rapportering forelaeliggges for kom-
munalbestyrelsen henholdsvis regionsraringdet uden den forudgaringende udvalgsbehandling som de
kommunale og regionale sager ellers normalt skal undergives Dette udelukker dog ikke at en
kommune kan indhente en erklaeligring fra oslashkonomiudvalget forinden forelaeligggelse for kommunal-
bestyrelsen
55 Beskyttelse af databeskyttelsesraringdgiveren
Funktionen som databeskyttelsesraringdgiver er beskyttet ved et forbud mod at kunne blive afskedi-
get for udfoslashrelse af opgaverne som databeskyttelsesraringdgiver
Vejledning om databeskyttelsesraringdgivere
29
Usaglig afskedigelse af en databeskyttelsesraringdgiver er sanktioneret med en boslashde
Databeskyttelsesraringdgiveren vil kunne afskediges paring et sagligt grundlag efter almindelige ansaeligt-
telsesretlige regler
56 Opsummering
En databeskyttelsesraringdgiver udpeges paring baggrund af sine faglige kvalifikationer
Databeskyttelsesraringdgiveren kan baringde vaeligre en intern medarbejder en faeliglles da-
tabeskyttelsesraringdgiver for hele eller flere organisationer eller en ekstern databe-
skyttelsesraringdgiver
Databeskyttelsesraringdgiveren har en raeligkke opgaver denne som minimum skal va-
retage Derudover anbefales det at man klart definerer hvilke opgaver der paringhvi-
ler databeskyttelsesraringdgiveren
En organisation skal rettidig og tilstraeligkkelig inddrage databeskyttelsesraringdgiveren
i alle sposlashrgsmaringl vedroslashrende beskyttelse af personoplysninger
Databeskyttelsesraringdgiveren nyder en saeligrlig beskyttelse mod usaglig afskedi-
gelse og kan ikke afskediges eller sanktioneres for at udfoslashre sine opgaver som
Databeskyttelsesraringdgiver
Dato
20 december 2017
Justitsministeriet
Slotsholmsgade 10
1216 Koslashbenhavn K
Telefon
72 26 84 00
jmjmdk
Eksempler paring tilfaeliglde hvor en databeskyttelsesraringd-
giver kan afskediges
Ikke udfoslashrer sine arbejdsopgaver
Misligholder ansaeligttelsesforholdet
Samarbejdsvanskeligheder
Vejledning om databeskyttelsesraringdgivere
30
ISBN
978-88-98564-35-7
Foto
Scanpix
Vejledning om databeskyttelsesraringdgivere
9
2 Volumen af personoplysninger ogeller de forskellige typer af personoplysninger der bli-
ver behandlet
3 Tidsperioden der behandles oplysninger i samt hvorvidt behandlingen er permanent
4 Den geografiske udstraeligkning af behandlingsaktiviteterne
Eksempel ndash mindre forsikringsselskab
Et mindre forsikringsselskab der feks kun udbyder sin forretning til en bestemt mindre landsdel
vil formentlig behandle et saring begraelignset omfang af oplysninger at det ikke kan anses for at vaeligre
i et stort omfang Det skyldes at der ikke behandles en stor maeligngde af personoplysninger om et
stort antal personer samt den begraelignsede geografiske udstraeligkning
I modsaeligtning hertil vil et landsdaeligkkende forsikringsselskab anses for at behandle personoplys-
ninger i et stort omfang baringde som foslashlge af maeligngden af oplysninger antallet af personer og den
geografiske udstraeligkning
Eksempel ndash laeliggepraksis
Behandling af patientdata i en laeliggepraksis med et begraelignset antal laeligger tilknyttet kan som foslashlge
af den begraelignsede maeligngde oplysninger der behandles heller ikke anses for at behandle per-
sonoplysninger i et stort omfang
Omvendt vil en stor laeliggepraksis med mange laeligger tilknyttet formentlig behandle en stor maeligngde
personoplysninger om deres patienter Her vil maeligngden af oplysninger der behandles medfoslashre
at der foretages behandling af personoplysninger i et stort omfang
I overvejelserne om fastlaeligggelse af stoslashrrelsen af en privat laeliggepraksisklinikhospital er det rele-
vant at foretage en vurdering af baringde antallet af patienter og af tilknyttede laeligger
Behandling af personoplysninger rdquoi et stort omfangrdquo kan saring-
ledes indebaeligre behandling af
en stor maeligngde af personoplysninger
oplysninger om et stort antal personer
lang varighed herunder permanent
stor geografisk udstraeligkning af behandlingsaktivite-
ter
Vejledning om databeskyttelsesraringdgivere
10
Virksomheder hvis kerneaktivitet bestaringr af behandling af personoplysninger i et stort omfang
skal dog opfylde eacuten af de to sidste betingelser inden virksomheden er forpligtet til at udpege en
databeskyttelsesraringdgiver
313 Betingelse nr 3 rdquoregelmaeligssig og systematisk overvaringgningrdquo eller rdquobehandling af
foslashlsomme oplysninger eller oplysninger om strafbare forholdrdquo
Virksomheder hvis kerneaktivitet bestaringr af behandling af personoplysninger i et stort omfang skal
enten
foretage regelmaeligssig og systematisk overvaringgning af registrerede personer
eller
behandle foslashlsomme oplysningeroplysninger om strafbare forhold
for at vaeligre forpligtede til at udpege en databeskyttelsesraringdgiver
Regelmaeligssig og systematisk overvaringgning af registrerede personer
Regelmaeligssig og systematisk overvaringgning af de registrerede omfatter en virksomheds sporringer
(tracking) eller profilering bla via internettet
Det kan bla omfatte drift af telenet eller services forbundet hermed profilering i forbindelse med
risikovurdering herunder kreditvurderinger vurdering af forsikringspraeligmie lokationstracking via
applikationer og adfaeligrdsbaseret annoncering
Eksempel ndash marketingsfima
Et marketingsfirma der foretager marketingsundersoslashgelser hvor der indgaringr personoplysninger i
et stort omfang og undersoslashgelsen er baseret paring adfaeligrdsbaseret annoncering er omfattet da de
foretager en regelmaeligssig og systematisk overvaringgning af de registrerede personer
Behandling af foslashlsomme oplysninger eller oplysninger om strafbare forhold
Oplysninger kan anses for foslashlsomme hvis de omhandler oplysninger om
Behandling i et stort omfang
Eksempler paring virksomheder der behandler
personoplysninger rdquoi et stort omfangrdquo
Privathospitaler
Stoslashrre forsikringsselskaber
Sporing via feks rejsekort
Soslashgemaskines behandling af
personoplysninger
Tele- eller internetudbydere
Vejledning om databeskyttelsesraringdgivere
11
race eller etnisk oprindelse
politisk religioslashs eller filosofisk overbevisning
fagforeningsmaeligssigt tilhoslashrsforhold
behandling af genetisk data eller biometrisk data med det formaringl entydigt at iden-
tificere en fysisk person
helbredsoplysninger
oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering
Oplysninger om strafbare forhold omfatter oplysninger om straffedomme og lovovertraeligdelser
Eksempel ndash skadesforsikringsselskaber
Skadesforsikringsselskaber kan man opdele i de selskaber der behandler foslashlsomme oplysninger
og de selskaber der ikke (eller i begraelignset omfang) behandler foslashlsomme oplysninger
For saring vidt angaringr de selskaber der ikke behandler denne type oplysninger kan naeligvnes special-
selskaber som typisk forsikrer ting (feks glasforsikring) og ikke risiko for personskader Forsik-
ringsselskaber der i begraelignset omfang jf betingelsen ovenfor behandler de omhandlede op-
lysninger vil typisk vaeligre forsikringsselskaber der tegner privatforsikringer herunder eksempelvis
indbo- og bilforsikringer eller erhvervsforsikringer for mindre virksomheder Her indhentes de
naeligvnte oplysninger i forbindelse med tegning af ulykkesforsikringer og ved behandling af per-
sonskader under ulykkesforsikringer
For saring vidt angaringr skadesforsikringsselskaber der opfylder betingelse nr 3 ndash idet de behandler
foslashlsomme oplysninger ndash kan naeligvnes specialiserede rejseforsikringsselskaber for saringvel rejsegods
som syge- og ulykkesforsikringer En betydelig del af disse selskabers forsikringer er personfor-
sikringer hvor der baringde ved tegning og ved behandlingen af personskader (ulykker og syg-
domme) indhentes foslashlsomme oplysninger Endvidere kan sygeforsikringsselskaber som daeligkker
medicin og en raeligkke andre udgifter til helbredelse naeligvnes idet der indhentes helbredsoplysnin-
ger ved optagelses- og refusionssager
Eksempel ndash HR-oplysninger
Virksomheder vil typisk behandle oplysninger om ansattes fagforeningsmaeligssige tilhoslashrsforhold
og helbredsoplysninger i forbindelse med virksomhedens HR-funktion Her er der netop tale om
foslashlsomme oplysninger men det medfoslashrer ikke i sig selv at virksomheden er forpligtet til at udpege
en databeskyttelsesraringdgiver Hertil kraeligves at behandling af personoplysninger er virksomhe-
dens kerneaktivitet og foretages i et stort omfang
Eksempler paring virksomheder der kan
opfylde alle tre betingelser
Privathospitaler
Stoslashrre forsikringssel-
skaber
Tele- eller internetud-
bydere
Marketingsfirma der
udbyder marketingsun-
dersoslashgelser
Eksempler paring virksomheder der blot op-
fylder nogle af betingelserne
Mindre privathospitaler
Mindre forsikringsselskab
Mindre laeliggepraksis
Stoslashrre virksomheder hvor
behandling af personop-
lysninger kun er en biakti-
vitet
Vejledning om databeskyttelsesraringdgivere
12
Eksempel ndash Livs- og pensionsforsikringsselskaberne
Store eller middelstore forsikringsselskaber der dels tegner livs- og pensionsforsikringer for en-
keltpersoner og dels firmapensionsordninger hvor de sikrede er en virksomheds ansatte indhen-
ter og behandler foslashlsomme oplysninger isaeligr helbredsoplysninger ved saringvel tegningindmeldelse
som ved behandlingen af tab af erhvervsevne doslashdsfald sygdom mv Henset til at behandling
af personoplysninger endvidere er disse forsikringsselskabers kerneaktivitet samt at de grundet
stoslashrrelse og geografiske udstraeligkning behandler personoplysningerne i stort omfang vil de som
udgangspunkt skulle udpege en databeskyttelsesraringdgiver
Det bemaeligrkes at det er vigtigt at have sig for oslashje at der er tale om betingelser der alle skal
vaeligre opfyldt Der skal altsaring vaeligre tale om at virksomhedens kerneaktivitet er behandling i stort
omfang af foslashlsomme oplysninger eller oplysninger om strafbart forhold Eller at virksomhedens
kerneaktivitet bestaringr af behandlingsaktiviteter i stort omfang af regelmaeligssig og systematisk over-
varinggning af personer
Virksomheder der ikke er forpligtede til at udpege en databeskyttelsesraringdgiver kan med fordel
dokumentere vurderingen saring denne kan fremvises til Datatilsynet
32 Frivillig udnaeligvnelse af en databeskyttelsesraringdgiver
Private kan under alle omstaeligndigheder frivilligt vaeliglge at udpege en databeskyttelsesraringdgiver
I de tilfaeliglde hvor der frivilligt udpeges en databeskyttelsesraringdgiver gaeliglder de samme krav til
databeskyttelsesraringdgiveren som hvis virksomheden var forpligtet til at udpege en databeskyttel-
sesraringdgiver
Det betyder at kravene til databeskyttelsesraringdgiverens opgaver kvalifikationer stilling beskyt-
telse og inddragelse skal efterleves
Vaeliglger en virksomhed derimod at udpege en medarbejder der feks er compliance-raringdgiver er
virksomheden ikke forpligtet til at efterleve forordningens krav til en databeskyttelsesraringdgiver
33 Faeliglles databeskyttelsesraringdgiver
En koncern har mulighed for at udpege en faeliglles databeskyttelsesraringdgiver for hele koncernen
forudsat at alle etableringer af koncernen har let adgang til databeskyttelsesraringdgiveren
Andre private dataansvarlige og databehandlere end koncerner har ogsaring mulighed for at udpege
en faeliglles databeskyttelsesraringdgiver Et konsulentfirma kan udoslashve funktionen som databeskyttel-
sesraringdgiver for flere dataansvarlige paring samme tid paring baggrund af tjenesteydelseskontrakter
Det er dog en forudsaeligtning for at private kan udpege en faeliglles databeskyttelsesraringdgiver at
databeskyttelsesraringdgiveren kan efterleve forordningens krav til vedkommende naringr opgaven loslash-
Vejledning om databeskyttelsesraringdgivere
13
ses for flere private paring eacuten gang Dette maring i praksis forudsaeligtte at der feks er adgang til at kom-
munikere med databeskyttelsesraringdgiveren paring et sprog som de beroslashrte medarbejdere kan forstaring
Det maring ligeledes forudsaeligtte at der er afsat saringdanne ressourcer til databeskyttelsesraringdgiveren
at det spejler omfanget af de organisationer der skal daeligkkes Der vil derfor i praksis ikke vaeligre
noget til hinder for at feks en virksomhed udpeger en faeliglles databeskyttelsesraringdgiver paring tvaeligrs
af flere stoslashrre koncernforbundne virksomheder naringr blot de ressourcer der afsaeligttes til databe-
skyttelsesraringdgiveren i form af medarbejdere rejsebudget it-understoslashttelse mv i tilstraeligkkelig om-
fang sikrer at databeskyttelsesraringdgiveren kan moslashde sine forpligtelser
34 Opsummering
Der skal rigtig meget til foslashr en privat virksomhed er forpligtet til at udpege en da-
tabeskyttelsesraringdgiver
Helt konkret skal tre betingelser der knytter sig til en virksomheds behandling af
personoplysninger alle vaeligre opfyldt foslashr der en pligt til at udpege en databeskyt-
telsesraringdgiver
Alle virksomheder boslashr foretage en konkret vurdering af om de tre betingelser er
opfyldt Er alle tre betingelser ikke opfyldt skal der ikke udpeges en databeskyt-
telsesraringdgiver
Vejledning om databeskyttelsesraringdgivere
14
4 Offentlige myndigheders forpligtelse til
at udpege en databeskyttelsesraringdgiver
Offentlige myndigheder og offentlige organer skal altid have en databeskyttelsesraringdgiver uanset
om de er dataansvarlige eller databehandlere
41 Hvornaringr skal offentlige myndigheder udpege en databeskyttelsesraringdgiver
I det omfang behandling foretages af en offentlig myndighed eller et offentligt organ skal myndig-
heden eller organet altid have en databeskyttelsesraringdgiver hvad enten de er dataansvarlige eller
databehandlere
Det betyder at der ogsaring skal udpeges en databeskyttelsesraringdgiver hvis den offentlige myndig-
hed eller organ behandler personoplysninger paring vegne af en privat eller selv outsourcer sin da-
tabehandling til en privat som ikke er forpligtet til at udpege en databeskyttelsesraringdgiver Det kan
feks vaeligre tilfaeligldet naringr offentlige myndigheder eller organer vaeliglger at overlade til en anden at
udfoslashre selve den praktiske behandling af personoplysninger paring den dataansvarliges vegne
Den eneste undtagelse hertil er domstole der ikke er forpligtede til at udpege en databeskyttel-
sesraringdgiver naringr de handler i deres egenskab af domstole
42 Hvornaringr er man en offentlig myndighed
De myndigheder der i dansk ret henregnes til den offentlige forvaltning i medfoslashr af forvaltnings-
lovens sect 1 stk 1-2 skal anses for offentlige myndigheder eller organer og er dermed forpligtede
til at udpege en databeskyttelsesraringdgiver Det fremgaringr heraf at foslashlgende virksomheder omfattes
af loven al virksomhed der udoslashves af den offentlige forvaltning og al virksomhed der udoslashves af
selvejende institutioner foreninger fonde mv der er oprettet ved lov eller i henhold til lov og
selvejende institutioner foreninger fonde mv der er oprettet paring privatretligt grundlag og som
udoslashver offentlig virksomhed af mere omfattende karakter og er undergivet intensiv offentlig regu-
lering intensivt offentlig tilsyn og intensiv offentlig kontrol
I forhold til selvejende institutioner mv oprettet paring privatretligt grundlag vil der saringledes vaeligre
nogle som omfattes af kravet om at have en databeskyttelsesraringdgiver mens andre ikke omfattes
Det vil bero paring en konkret vurdering
Selvejende institutioner mv oprettet paring privatretligt grundlag som udoslashver offentlig virksomhed
af mere omfattende karakter og er undergivet intensiv offentlig regulering intensivt offentlig tilsyn
og intensiv offentlig kontrol vil vaeligre omfattet
Det spiller endvidere ind om det offentlige har instruktionsbefoslashjelser over for institutionen om det
offentlige skal godkende institutionens vedtaeliggter og om det offentlige yder sekretariatsbistand
Vejledning om databeskyttelsesraringdgivere
15
til institutionen Herudover maring man se paring om det offentlige skal godkende institutionens regn-
skaber og om institutionens drift og virksomhed er detaljeret reguleret ved regler og retningslinjer
udstedt af det offentlige Endelig kan man tage hensyn til om det offentlige overtager institutio-
nens rettigheder og forpligtelser hvis den nedlaeliggges
Eksempler paring selvejende institutioner mv der er omfattet
- Universiteter
- Institutioner hvor kommunalbestyrelsen har indgaringet overenskomst til opfyldelse af sine forplig-
telser efter lov om social service
- Gymnasieskoler
Eksempler paring selvejende institutioner og foreninger der ikke er omfattet
- Danske Regioner og KL
- Dansk Flygtningehjaeliglp
For saring vidt angaringr statslige og kommunale institutioner der er organiseret i selskabsform feks
som aktieselskab eller interessentskab vil disse umiddelbart aldrig vaeligre omfattet Dette er ogsaring
tilfaeligldet for koncessionerede selskaber og selskaber hvori staten eller en kommune er aktionaeligr
interessent eller lignende uanset om staten eller kommunen ejer selskabet 100 Det har i den
forbindelse ingen betydning hvilke aktiviteter organet udfoslashrer ligesom det ikke i sig selv kan foslashre
til et andet resultat at selskabet maringtte vaeligre oprettet ved lov eller i henhold til lov
Dog er kommunale faeligllesskaber jf sect 60 i lov om kommunernes styrelse hvortil to eller flere
kommuner overfoslashrer opgaver til selvstaeligndig varetagelse altid offentlige myndigheder Det gaeligl-
der uanset at kommunale faeligllesskaber normalt etableres som interessentskaber Det kommu-
nale faeligllesskab er selvstaeligndigt dataansvarligt og skal udpege en databeskyttelsesraringdgiver
Eksempel paring institution der er organiseret i selskabsform der ikke er omfattet
- Staten og Kommunernes Indkoslashbs Service AS
Saringfremt der ikke er tale om en offentlig myndighed eller organ skal bedoslashmmelsen af hvorvidt
man har pligt til at udpege en databeskyttelsesraringdgiver foretages i henhold til betingelserne be-
skrevet ovenfor under punkt 3 vedroslashrende privates forpligtelse til at udpege en databeskyttel-
sesraringdgiver
43 Faeliglles databeskyttelsesraringdgiver for offentlige myndigheder
Flere myndigheder eller organer vil i mange tilfaeliglde kunne have en faeliglles databeskyttelsesraringd-
giver forudsat at det er i overensstemmelse med deres organisatoriske struktur og stoslashrrelse I
den forbindelse kan det vaeligre relevant at overveje om raringdgiveren skal fungere paring baggrund af
eacuten ansaeligttelseskontrakt for to forskellige myndigheder eller to deltidskontrakter
Herudover vil en databeskyttelsesraringdgiver kunne vaeligre ansat paring en deltidskontrakt hos eacuten myn-
dighed og ansat paring baggrund af en tjenesteydelseskontrakt i en anden myndighed eller organi-
sation
Vejledning om databeskyttelsesraringdgivere
16
Saringfremt flere myndigheder har en faeliglles databeskyttelsesraringdgiver er det dog en forudsaeligtning
at databeskyttelsesraringdgiveren kan efterleve kravene i databeskyttelsesforordningen til en data-
beskyttelsesraringdgiver herunder til dennes stilling opgaver uafhaeligngighed og tilgaeligngelighed mv
naringr denne loslashser opgaven for flere myndigheder paring eacuten gang
For saring vidt angaringr tilgaeligngelighed er der ikke et krav om fysisk tilstedevaeligrelse paring alle lokationer
saringfremt der anvendes en faeliglles databeskyttelsesraringdgiver De enkelte myndigheder har i den for-
bindelse mulighed for at aftale hvordan den fysiske tilgaeligngelighed i praksis kan loslashftes herunder
feks ved hjaeliglp af mail telefon internet mm Det er i relation til kravet om tilgaeligngelighed endvi-
dere vaeligrd at bemaeligrke at flere myndigheder som naeligvnt godt kan have en faeliglles raringdgiver men
at databeskyttelsesraringdgiveren skal kunne (naring at) varetage sin raringdgivningsopgave fyldestgoslashrende
for alle de myndigheder for hvilke den paringgaeligldende varetager opgaven som databeskyttelses-
raringdgiver Her kan det bla vaeligre relevant at se paring maeligngden af personoplysninger der behandles
i en given myndighed
I relation til uafhaeligngighedskriteriet bemaeligrkes at det kan vaeligre betaelignkeligt at lade visse myndig-
heder have en faeliglles databeskyttelsesraringdgiver jf nedenfor under afsnittet rdquoEksempel ndash Ministe-
rier og underordnede myndighederrdquo
Der henvises i oslashvrigt til afsnit 5 i denne vejledning
Det er endvidere et krav at der er eacuten der er personligt ansvarlig for hvervet som databeskyttel-
sesraringdgiver
Som foslashlge af kravet om at udpegningen af en faeliglles databeskyttelsesraringdgiver skal vaeligre i over-
ensstemmelse med myndigheden eller organets organisatoriske struktur og stoslashrrelse stilles der
krav til selve ansaeligttelsen af databeskyttelsesraringdgiveren
Den retlige graelignse for at dele en databeskyttelsesraringdgiver vil i et saringdan tilfaeliglde vaeligre de gaeligl-
dende standarder om offentlige ansattes bierhverv de almindelige habilitetsregler og muligheden
for at efterleve kravene i forordningen herunder tilstraeligkkelige ressourcer i forhold til at udfoslashre
hvervet
Vejledning om databeskyttelsesraringdgivere
17
Kommuner
Det antages ikke at vaeligre i overensstemmelse med en offentlig myndigheds struktur eller stoslashr-
relse hvis en databeskyttelsesraringdgiver fungerer paring baggrund af eacuten ansaeligttelseskontrakt i to for-
skellige kommuner Det antages derimod omvendt at vaeligre i overensstemmelse hermed saring-
fremt raringdgiveren udoslashver sin funktion paring baggrund af to deltidskontrakter i to kommuner paring
samme tid
Eksempel ndash En kommune
En kommune vil typisk vaeligre dataansvarlig for alle de behandlinger af personoplysninger som
foretages inden for den kommunale enhedsforvaltning Derfor er en kommune ikke forpligtet til at
udpege eacuten databeskyttelsesraringdgiver for de enkelte forvaltninger men vil kunne udpege eacuten data-
beskyttelsesraringdgiver for hele kommunen
Eksempel ndash organer med selvstaeligndig kompetence paring det kommunale omraringde
Det bemaeligrkes at der paring det kommunale omraringde kan vaeligre organer som ikke er en del af den
kommunale enhedsforvaltning men har selvstaeligndig kompetence paring det kommunale omraringde
feks huslejenaeligvnet ligesom der kan vaeligre kommunale organer som er en del af enhedsforvalt-
ningen der i visse henseender har en ndash i forhold til kommunalbestyrelsen ndash selvstaeligndig kompe-
tence herunder feks skoleledere
Naringr det i lovgivningen er fastsat eller forudsat at disse organer sekretariatsbetjenes af kommu-
nen og kommunen yder sekretariatsbetjening kan organerne have faeliglles databeskyttelsesraringd-
giver med kommunen og er ikke forpligtet til selvstaeligndigt at udpege en databeskyttelsesraringdgiver
ved siden af kommunens Databeskyttelsesraringdgiverens ydelser vil i den forbindelse vaeligre en del
af sekretariatsbetjeningen
Eksempel ndash Flere kommuner
Flere kommuner vil have mulighed for at dele en databeskyttelsesraringdgiver Som udgangspunkt
vurderes det at feks en gennemsnitskommune paring omkring 45000 indbyggere godt vil kunne
dele en databeskyttelsesraringdgiver med en anden tilsvarende eller en mindre kommune eller at en
lidt stoslashrre kommune vil kunne dele med en mindre kommune hvis databeskyttelsesraringdgiveren
Eksempel - Rigspolitiets databeskyttelsesenhed
Rigspolitiet har udpeget en faeliglles databeskyttelsesraringdgiver for landets 12
politikredse og Rigspolitiet for saring vidt angaringr behandlingen af personoplys-
ninger til brug for retsharingndhaeligvelsesformaringl
Den faeliglles databeskyttelsesraringdgiver understoslashttes i den forbindelse af en cen-
tral datebeskyttelsesenhed i Rigspolitiet hvor de enkelte medarbejdere be-
sidder stort kendskab til persondateretlige og forretningsmaeligssige forhold
med relevans for enhedens opgavevaretagelse Paring denne baggrund kan da-
tabeskyttelsesraringdgiveren samlet set leve op til sine forpligtelser som databe-
skyttelsesraringdgiver i medfoslashr af lov om retsharingndhaeligvende myndigheders be-
handling af personoplysninger som er lig dem der foslashlger af databeskyttel-
sesforordningen
Vejledning om databeskyttelsesraringdgivere
18
samlet set vurderes at kunne varetage opgaverne som databeskyttelsesraringdgiver Der skal saringle-
des foretages en konkret vurdering i det enkelte tilfaeliglde idet det afgoslashrende er om man som
databeskyttelsesraringdgiver kan efterleve sin funktion retmaeligssigt naringr funktionen udoslashves for flere
kommuner paring samme tid
Herudover vil to eller flere kommuner kunne oprette et kommunalt faeligllesskab til hvilket de garingr
sammen om at loslashse opgaven som databeskyttelsesraringdgiver i de deltagende kommuner
Eksempel - Regioner
En region vil typisk ogsaring vaeligre dataansvarlig for alle de behandlinger af personoplysninger der
foretages inden for regionen herunder drift af hospitaler forskning og sociale tilbud mv Hver
region vil som udgangspunkt kunne udpege eacuten databeskyttelsesraringdgiver
Eksempel - Ministerier og underordnede myndigheder
Departementer og underordnede myndigheder kan have en faeliglles databeskyttelsesraringdgiver
Dog kan der vaeligre hindringer som feks myndighedens stoslashrrelse der bevirker at man ikke kan
dele en databeskyttelsesraringdgiver Som eksempel herparing kan naeligvnes Justitsministeriet og politiet
der ikke kan have en faeliglles raringdgiver
Det skyldes at politiet anses for at vaeligre saring stor en enhed at en faeliglles databeskyttelsesraringdgiver
ikke vil kunne efterleve kravene til en databeskyttelsesraringdgiver (om bla tilgaeligngelighed) hvis
denne baringde skulle udfoslashre sin opgave for politiet som helhed og med andre myndigheder under
Justitsministeriets ressort
Dog vil politiet ndash i en ordning svarende til den ovenfor beskrevne paring retsharingndhaeligvelsesomraringdet ndash
kunne have en faeliglles databeskyttelsesraringdgiver under forordningen der udfoslashrer sin funktion for
alle politikredse
Det bemaeligrkes endvidere at forordningens krav om uafhaeligngighed skal vaeligre opfyldt for alle de
myndigheder der deler en databeskyttelsesraringdgiver
I den forbindelse ndash samt i relation til en underordnet myndigheds eventuelt saeligrlige uafhaeligngighed
ift den overordnede myndighed ndash kan der vaeligre visse situationer hvor det kan vaeligre betaelignkeligt
at lade en underordnet myndighed dele databeskyttelsesraringdgiver med et departement
Som eksempel herparing kan naeligvnes Datatilsynet og Justitsministeriets departement Dette er bla
henset til Datatilsynets funktionelle uafhaeligngighed i forhold til Justitsministeriet samt tilsynets spe-
cielle kompetence og rolle i forhold til databeskyttelsesforordningen Som et andet eksempel kan
naeligvnes Ankestyrelsens relation til (paring nuvaeligrende tidspunkt) Oslashkonomi- og Indenrigsministeriets
departement Her kan bla peges paring maeligngden og karakteren af data som behandles i Ankesty-
relsen samt styrelsens faglige uafhaeligngighed af departementet
Organisatoriske aeligndringer kan ogsaring bevirke at det i visse situationer ndash af praktiske aringrsager ndash
kan vaeligre mere oplagt for en underordnet myndighed at have sin egen databeskyttelsesraringdgiver
fremfor at dele med sit departement Hvis en underordnet myndighed saringledes har sin egen data-
beskyttelsesraringdgiver kan denne blot fortsaeligtte under samme kontrakt vilkaringr mv uanset at en
Vejledning om databeskyttelsesraringdgivere
19
myndighed efter eksempelvis et regeringsskifte organisatorisk placeres under et andet ministe-
rium
Eksempel - Selvejende institutioner
I det omfang selvejende institutioner kan anses for en offentlig myndighed eller et organ vil disse
myndigheder ogsaring have mulighed for at udpege en faeliglles databeskyttelsesraringdgiver med en an-
den selvejende institution omfattet af samme lovgivning eller feks den kommune som institutio-
nen har driftsoverenskomst med i det omfang kommunen yder sekretariatsbistand til institutio-
nen
44 Opsummering
Alle offentlige myndigheder og organer skal udpege en databeskyttelsesraringdgiver
fra den 25 maj 2018
Det er i hoslashj grad muligt at udpege en faeliglles databeskyttelsesraringdgiver der funge-
rer paring vegne af flere myndigheder paring eacuten gang
Muligheden for at have en faeliglles databeskyttelsesraringdgiver begraelignses af at
denne skal kunne leve op til sine forpligtelser efter databeskyttelsesforordningen
Databeskyttelsesraringdgiveren kan understoslashttes af en enhed for at kunne udfoslashre sit
hverv i overensstemmelse med forordningens krav Dette gaeliglder uanset om da-
tabeskyttelsesraringdgiveren fungerer for eacuten myndighed eller for flere myndigheder
og organer
Vejledning om databeskyttelsesraringdgivere
20
5 Databeskyttelsesraringdgiveren
51 Krav til faglige kvalifikationer
En databeskyttelsesraringdgiver skal udpeges paring baggrund af sine faglige kvalifikationer Dette
gaeliglder navnlig evnen til at udfoslashre sine opgaver som databeskyttelsesraringdgiver og ekspertise in-
den for databeskyttelsesret- og praksis
Der er ikke krav om at en databeskyttelsesraringdgiver skal have en bestemt uddannelsesmaeligssig
baggrund feks som jurist
Dermed er det op til den enkelte organisation at vurdere hvem der er bedst egnet til at varetage
stillingen som databeskyttelsesraringdgiver
Kravene til stillingen afhaelignger til en vis grad af kompleksiteten af den behandling af personop-
lysninger som den paringgaeligldende organisation foretager Dermed kan der for nogen organisatio-
ner vaeligre behov for at ansaeligtte en databeskyttelsesraringdgiver med stor erfaring inden for feltet og
i andre tilfaeliglde kan en eksisterende medarbejder paring baggrund af diverse kurser varetage funkti-
onen
Hvis der udpeges en databeskyttelsesraringdgiver fra egen organisation kan det med fordel vaeligre
en person som i forvejen har et vist kendskab til eller indsigt i haringndtering af databeskyttelses-
retlige sposlashrgsmaringl i organisationen
52 Hvem kan vaeligre databeskyttelsesraringdgiver
Som udgangspunkt kan alle som organisationen finder kvalificeret til at vaeligre databeskyttelses-
raringdgiver varetage funktionen
Foslashlgende kan derfor vaeligre databeskyttelsesraringdgivere
En intern medarbejder
En faeliglles databeskyttelsesraringdgiver for hele eller flere organisationer
En ekstern databeskyttelsesraringdgiver
Intern medarbejder
En organisation kan vaeliglge at udpege en eksisterende medarbejder som databeskyttelsesraringdgi-
ver
Det er ikke et krav at den medarbejder der varetager funktionen som databeskyttelsesraringdgiver
udoslashver sin funktion paring fuld tid
Vejledning om databeskyttelsesraringdgivere
21
Dermed kan en intern medarbejder der varetager funktionen som databeskyttelsesraringdgiver ud-
foslashre andre opgaver og have andre pligter i organisationen
Saringledes kan en medarbejder der feks arbejder i IT-sektionen i en organisation godt varetage
funktionen som databeskyttelsesraringdgiver paring deltid eller 10 timer om ugen alt efter behovet i
den enkelte organisation
Det afgoslashrende er at den paringgaeligldende medarbejder fyldestgoslashrende kan udoslashve sit erhverv som
databeskyttelsesraringdgiver i organisationen
Den person der udpeges kan med fordel vaeligre en person som i forvejen har et vist kendskab
til eller indsigt i haringndtering af databeskyttelsesretlige sposlashrgsmaringl i organisationen
Selve vurderingen af hvor meget tid en medarbejder skal bruge paring fyldestgoslashrende at kunne ef-
terleve kravene til en databeskyttelsesraringdgiver i organisationen afhaelignger af en konkret vurde-
ring af behovet hos organisationen
Interne ansatte der ikke kan vaeligre databeskyttelsesraringdgiver
En databeskyttelsesraringdgiver skal baringde vaeligre uafhaeligngig og vaeligre i stand til at udoslashve uvildig raringd-
givning til organisationen
Derfor kan en databeskyttelsesraringdgiver ikke vaeligre den oslashverste IT-ansvarlige eller oslashverste HR-
ansvarlige i en organisation
Eksempel ndash virksomhed med faring ansatte
Virksomheder med faring ansatte herunder feks enkeltmandsvirksomheder vil have svaeligrt ved at
opfylde betingelsen om at en databeskyttelsesraringdgiver ikke kan vaeligre oslashverste IT-ansvarlige eller
oslashverste HR-ansvarlige i en organisation (forudsat at virksomheden i oslashvrigt opfylder betingelserne
for hvornaringr private skal udpege en databeskyttelsesraringdgiver jf naeligrmere om privates forpligtelse
under punkt 3) I en saringdan situation kan virksomheden enten benytte sig af muligheden for at
udpege en faeliglles databeskyttelsesraringdgiver eller anvende en konsulent til opgaven
Databeskyttelsesraringdgiverenhed
Der kan ogsaring udpeges eacuten databeskyttelsesraringdgiver for den paringgaeligldende organisation som un-
derstoslashttes af en enhed saring den paringgaeligldende kan leve op til sine forpligtelser efter forordningen jf
den ovenfor beskrevne ordning for politiet
Faeliglles databeskyttelsesraringdgiver
Saringvel private som offentlige myndigheder kan udpege en faeliglles databeskyttelsesraringdgiver af-
haeligngig af deres struktur og stoslashrrelse
Medarbejdere som ikke har det oslashverste ansvar kan vaeligre databe-
skyttelsesraringdgivere Det betyder at ledende IT-medarbejdere
compliance-officerer eller en it-sikkerheds koordinator mv kan
udoslashve funktionen som databeskyttelsesraringdgiver i organisationen
Vejledning om databeskyttelsesraringdgivere
22
Ekstern medarbejder
Man kan ogsaring vaeliglge at udpege en ekstern databeskyttelsesraringdgiver Dette kan enten vaeligre en
raringdgiver (konsulentvirksomhed) saringsom en bestemt advokat eller revisor eller andre kvalifice-
rede eksterne parter Udoslashvelsen af hvervet som databeskyttelsesraringdgiver vil dog i sagens natur
alene kunne udoslashves i det omfang dette er foreneligt med eventuelle regler ndash herunder etiske
krav ndash for den relevante type af raringdgivervirksomhed mv
53 Databeskyttelsesraringdgiverens opgaver
Databeskyttelsesraringdgiveren funktion bestaringr i at raringdgive den dataansvarlige og hjaeliglpe med at
organisationen efterlever de databeskyttelsesretlige regler
En databeskyttelsesraringdgiver skal desuden prioritere sine opgaver og fokusere paring de behandlin-
ger af personoplysninger i den paringgaeligldende organisation som konkret indebaeligrer en hoslashjere ri-
siko for brud paring de databeskyttelsesretlige regler Dog skal oslashvrige databeskyttelsesretlige omraring-
der som indebaeligrer en lavere grad af risiko ikke undlades
Der er en raeligkke opgaver som databeskyttelsesraringdgiveren som minimum skal varetage Der er
dog ikke noget til hinder for at der overlades flere opgaver til databeskyttelsesraringdgiveren Da-
tabeskyttelsesraringdgiverens rolle som central raringdgivningsfigur i organisationen samt dennes op-
gaver kan med fordel beskrives naeligrmere i en (ansaeligttelses)aftale
Nedenfor foslashlger en naeligrmere beskrivelse af de opgaver som databeskyttelsesraringdgiveren som
minimum skal varetage i en organisation
Underrette og raringdgive organisationen og de ansatte om databeskyttelse
Det indebaeligrer
Konkret raringdgivning om beskyttelse af personoplysninger i organisationen samt
overvejelser og beslutninger om hvordan compliance sikres mv feks i forbin-
delse med foslashlgende
Organisationens indkoslashb af nyt IT-system
kravsspecifikationer til leverandoslashrer
udarbejdelse af organisationens data-politikker
ivaeligrksaeligttelse af behandling af personoplysninger
overvejelser om hvorvidt en given behandling af personoplysninger over-
holder de generelle behandlingsregler
Staring til raringdighed for ansatte samt ledelsen i organisationen vedroslashrende sposlashrgsmaringl
om databeskyttelse
Vejledning om databeskyttelsesraringdgivere
23
Raringdgivning i forbindelse med udarbejdelse af organisationens konsekvensanaly-
ser jf afsnit 3 nedenfor
Modtage underretning om og raringdgive organisationen i forbindelse med brud paring
persondatasikkerheden
Overvaringge overholdelsen af de databeskyttelsesretlige regler i organisationen
Det indebaeligrer bla ogsaring at overvaringge
organisationens politikker om databeskyttelse
uddannelse af personale i databeskyttelse
oplysningskampagner
fordeling af ansvar
revisioner
Det skal hertil bemaeligrkes at databeskyttelsesraringdgiverens opgave med at overvaringge overholdel-
sen af de databeskyttelsesretlige regler i organisationen ikke medfoslashrer at raringdgiveren overtager
selve ansvaret for at behandlingen af personoplysninger sker i overensstemmelse med reg-
lerne Dette ansvar ligger fortsat hos den dataansvarlige
Raringdgivning i forbindelse med udarbejdelse af organisationens konsekvensanalyser
I visse tilfaeliglde skal organisationer udarbejde en konsekvensanalyse af en planlagt behandling
af personoplysninger
I de tilfaeliglde hvor en organisation har udpeget en databeskyttelsesraringdgiver skal denne raringdfoslash-
res naringr der foretages en konsekvensanalyse
Herudover skal databeskyttelsesraringdgiveren raringdgive med hensyn til konsekvensanalysen naringr
der anmodes herom
Som led i overvaringgningsopgaven kan databeskyttel-
sesraringdgiveren foretage foslashlgende
indsamle oplysninger til at identificere
behandlingsaktiviteter
informere raringdgive og komme med an-
befalinger til den dataansvarlige og da-
tabehandleren
Vejledning om databeskyttelsesraringdgivere
24
I tilfaeliglde af uenighed mellem organisationen og databeskyttelsesraringdgiveren anbefales det at
det specifikt fremgaringr af selve konsekvensanalysen hvorfor databeskyttelsesraringdgiverens indstil-
ling ikke er blevet fulgt
Samarbejde med Datatilsynet paring vegne af organisationen
En organisation er forpligtet til at hoslashre Datatilsynet inden behandling hvis en konsekvensana-
lyse vedroslashrende databeskyttelse viser at behandlingen af personoplysninger vil foslashre til hoslashj ri-
siko i mangel af foranstaltninger truffet af organisation for at begraelignse risikoen
Det foslashlger af forordningen at databeskyttelsesraringdgiveren skal samarbejde med tilsynsmyndig-
heden og fungere som tilsynsmyndighedens kontaktperson Det kan feks vaeligre databeskyttel-
sesraringdgiveren der paring vegne af den dataansvarlige hoslashrer tilsynsmyndigheden
Vaeligre kontaktpunkt for tilsynsmyndigheden (Datatilsynet) angaringende alle sposlashrgsmaringl om behand-
ling af personoplysninger for de personer der behandles oplysninger om
Databeskyttelsesraringdgiveren skal inddrages af den dataansvarlige i tilfaeliglde af at konkrete kla-
gesager indbringes for Datatilsynet Databeskyttelsesraringdgiveren boslashr ligeledes orienteres naringr
Datatilsynet beslutter at gennemfoslashre et eventuelt tilsyn af den dataansvarlige
Herudover skal databeskyttelsesraringdgiveren ogsaring vaeligre i stand til at vejlede den person der be-
handles personoplysninger om Det betyder at databeskyttelsesraringdgiveren skal vaeligre i stand til
at vejlede om hvilke rettigheder den paringgaeligldende har og hvordan de kan udnyttes
Det indebaeligrer endvidere at den dataansvarlige skal give meddelelse om kontaktoplysninger paring
databeskyttelsesraringdgiveren
Det anbefales i oslashvrigt at organisationen i en funktionsbeskrivelse klart definerer hvilke opgaver
der paringhviler databeskyttelsesraringdgiveren En funktionsbeskrivelse vil goslashre det tydeligt hvornaringr
Raringdgivning i forhold til konsekvensanalyser kan bla indebaeligre raringdgiv-
ning vedroslashrende
om der skal gennemfoslashres en konsekvensanalyse
hvilken fremgangsmaringde der skal anvendes ved gennemfoslash-
relse af konsekvensanalysen
om konsekvensanalysen kan gennemfoslashres internt eller om
gennemfoslashrelsen kraeligver antagelse af ekstern bistand
hvilke sikkerhedsforanstaltninger (tekniske og organisatori-
ske) som skal anvendes for at begraelignse risici i forhold til
de registreredes rettigheder og interesser
om konsekvensanalysen er korrekt gennemfoslashrt og om
dens konklusioner er i overensstemmelse med de databe-
skyttelsesretlige regler
Vejledning om databeskyttelsesraringdgivere
25
den paringgaeligldende virker som databeskyttelsesraringdgiver og i denne egenskab ikke kan instrueres
Det vil samtidig blive tydeligt hvornaringr den paringgaeligldende udfoslashrer andre opgaver i sit ordinaeligre an-
saeligttelsesforhold i organisationen
54 Krav til organisationen ndash rettidig og tilstraeligkkelig inddragelse af databeskyt-
telsesraringdgiveren
En organisation skal sikre at databeskyttelsesraringdgiveren inddrages tilstraeligkkeligt og rettidigt i
alle sposlashrgsmaringl vedroslashrende beskyttelse af personoplysninger En saringdan inddragelse boslashr ogsaring
ske paring oslashverste ledelsesmaeligssige niveau (feks ved deltagelse paring direktions- og ledelsesmoslashder)
Det anbefales at organisationen implementerer procedurer som sikrer dette
I hvilke tilfaeliglde skal databeskyttelsesraringdgiveren inddrages
Databeskyttelsesraringdgiveren skal inddrages i alle de overvejelser og vurderinger som organisa-
tionen goslashr sig for at overholde kravene i databeskyttelsesforordningen databeskyttelsesloven
og oslashvrige regler for behandling af personoplysninger
Eksempel paring sposlashrgsmaringl hvor databeskyttelsesraringdgiveren boslashr inddrages
ved overvejelser og beslutninger om hvordan organisationens compliance med
databeskyttelsesreglerne sikres
ved overvejelser i forbindelse med datasikkerhed herunder databeskyttelse gen-
nem design og standardindstillinger og
ved udarbejdelse af konsekvensanalyser
Saringfremt databeskyttelsesraringdgiveren udpeges foslashr den 25 maj 2018 kan denne inddrages i or-
ganisationens implementering af de krav der foslashlger af forordningen
Eksempel paring sposlashrgsmaringl hvor databeskyttelsesraringdgiveren ikke
skal inddrages
Konkrete vurderinger ift registreredes rettigheder
feks anmodning paring indsigt ret til at blive glemt
mv
Deltagelse i mindre praktiske eller almindelige
driftsopgaver eller driftsmaeligssige sposlashrgsmaringl knyt-
tet til opsaeligtning af it-systemer
Udarbejdelse af konkrete databehandleraftaler
Behandling af personoplysninger der finder sted i
overensstemmelse med interne regler som den da-
taansvarlige har fastsat forudsat at disse regler er
fastsat under inddragelse af databeskyttelsesraringdgi-
veren
Vejledning om databeskyttelsesraringdgivere
26
Hvordan skal databeskyttelsesraringdgiveren inddrages
For at sikre at databeskyttelsesraringdgiveren inddrages tilstraeligkkeligt og rettidigt er organisationen
forpligtet til at holde databeskyttelsesraringdgiveren tilstraeligkkeligt og rettidigt orienteret om alle
sposlashrgsmaringl om beskyttelse af personoplysninger
Som tommelfingerregel skal databeskyttelsesraringdgiveren have mulighed for at vurdere overhol-
delsen af de databeskyttelsesretlige regler og komme med bemaeligrkninger eller lignende inden
en behandling af personoplysninger igangsaeligttes
Hvornaringr er inddragelsen rettidig
Databeskyttelsesraringdgiveren skal inddrages i saring god tid som det er muligt forud for ivaeligrksaeligttel-
sen af behandling af personoplysninger
Det er afgoslashrende at databeskyttelsesraringdgiveren inddrages i tide til at kunne foretage en reel
vurdering af om den paringtaelignkte behandling af personoplysninger er i overensstemmelse med de
databeskyttelsesretlige regler og dermed kan komme med kvalificerede bemaeligrkninger herom
med henblik paring at raringdgive organisationen
Eksempler paring rettidig inddragelse
Inddrages forud for beslutning om noslashdvendige
foranstaltninger i IT-systemer for at efterleve kra-
vene om databeskyttelse gennem design og stan-
dardindstillinger
Inddrages forud for udstedelse af retningslinjer og
procedurer for hvordan de databeskyttelsesret-
lige regler skal overholdes i organisationen
Inddragelse foslashr offentliggoslashrelse af udbudsmateri-
ale i en udbudsproces eller lignende
Eksempler paring ikke-rettidig inddragelse
Inddragelse af databeskyttelsesraringdgiveren efter
et nyt IT-system er faeligrdigudviklet
Inddragelse af databeskyttelsesraringdgiveren efter
indkoslashb af IT-systemer (dermed ikke en del af
overvejelserne vedr kravspecifikation og databe-
skyttelse gennem design og standardindstillin-
ger)
Inddragelse af databeskyttelsesraringdgiveren efter
at en konsekvensanalyse er udarbejdet
Inddragelse af databeskyttelsesraringdgiveren efter
stoslashrre aeligndringer i organisationens procedurer
der vedroslashrer databeskyttelse saringsom haringndtering
af anmodninger fra registrerede personer
Vejledning om databeskyttelsesraringdgivere
27
Behandlingsaktiviteter igangsat foslashr en databeskyttelsesraringdgiver udpeges
Naringr en organisation udpeger en databeskyttelsesraringdgiver vil der selvsagt vaeligre behandlinger af
personoplysninger der allerede er igangsat i organisationen
Databeskyttelsesraringdgiveren boslashr ved udpegelsen primaeligrt have fokus paring de fremadrettede com-
pliance aktiviteter Derudover kan databeskyttelsesraringdgiveren ndash ud fra en risikovurdering i for-
hold til de behandlinger som konkret indebaeligrer hoslashjere risiko ndash inddrages i organisationens
overvejelser om hvorvidt de igangvaeligrende aktiviteter overholder de databeskyttelsesretlige
regler
Hvornaringr er inddragelsen tilstraeligkkelig
Der skal ske en reel inddragelse af databeskyttelsesraringdgiveren i organisationens overvejelser
og beslutninger vedroslashrende databeskyttelse
Det indebaeligrer at organisationen skal inddrage og tage hoslashjde for databeskyttelsesraringdgiverens
bemaeligrkninger og raringdgivning i oslashvrigt samt dennes rapportering til oslashverste ledelsesniveau om
overholdelse af de databeskyttelsesretlige regler
Saringfremt databeskyttelsesraringdgiverens raringdgivning ikke foslashlges anbefales det at organisationen
dokumenterer dette i overensstemmelse med kravet om accountability
Ressourcer og adgang
Ressourcer
For at databeskyttelsesraringdgiveren rent faktisk kan udfoslashre sine opgaver er det noslashdvendigt at
organisationens tilvejebringer de noslashdvendige ressourcer til stoslashtte for databeskyttelsesraringdgive-
ren
Det er endvidere et krav at organisationen tilvejebringer de fornoslashdne ressourcer for at databe-
skyttelsesraringdgiveren kan opretholde sin ekspertise inden for omraringdet
Fastsaeligttelsen af de fornoslashdne ressourcer beror paring en konkret vurdering som afhaelignger af de
organisatoriske forhold i organisationen saringsom stoslashrrelsen antallet af behandlingsaktiviteter
kompleksiteten af behandlingen af personoplysninger samt de forbundne risici
Jo stoslashrre en organisation er des stoslashrre er behovet for ressourcer til stoslashtte for databeskyttelses-
raringdgiveren
Selve behovet for ressourcer beror paring en konkret vurde-
ring som organisationen er ansvarlig for at foretage
Som eksempler paring fornoslashdne ressourcer kan naeligvnes
Faciliteter og arbejdsredskaber
Oslashkonomiske ressourcer
Personaleressourcer og lignende
Vejledning om databeskyttelsesraringdgivere
28
Adgang
Databeskyttelsesraringdgiveren skal ogsaring have adgang til organisationens personoplysninger og
den behandling af disse som organisationen foretager
Der skal vaeligre tale om en vid adgang som kan tilvejebringes efter behov
Uafhaeligngighed
Det er et grundlaeligggende krav at en databeskyttelsesraringdgiver ikke maring blive instrueret af andre
om hvordan raringdgiveren skal udfoslashre sine opgaver Der gaeliglder saringledes foslashlgende for databeskyt-
telsesraringdgiveren
Maring ikke som led i sin funktion som databeskyttelsesraringdgiver modtage instruks om
hvordan denne skal udfoslashre sine opgaver (eller feks om en bestemt vurdering el-
ler fortolkning af forordningen)
Maring ikke afskediges eller sanktioneres for at udfoslashre sine opgaver
Rapporterer direkte til oslashverste ledelsesniveau
Databeskyttelsesraringdgiverens interne reaktionsmuligheder er i praksis taeligt forbundne med at
ovenstaringende krav til uafhaeligngighed efterleves Idet en databeskyttelsesraringdgiver ikke har instruk-
tionsbefoslashjelser over for andre dele af den dataansvarliges organisation er det i praksis mulighe-
den for at kunne rapportere direkte til oslashverste ledelsesniveau der er raringdgiverens interne virke-
middel overfor konstaterede brud paring forordningen
Hvor det oslashverste ledelsesniveau er afhaelignger af organiseringen hos den konkrete dataansvarlige
eller databehandleren
I forhold til det private erhvervsliv fremgaringr det af selskabsloven at det er bestyrelsen der er det
centrale eller oslashverste ledelsesorgan i selskaber der baringde har en bestyrelse og en direktion Naringr
der i databeskyttelsesforordningen henvises til det oslashverste ledelsesniveau maring det i det private
forstarings i relation til den daglige drift og dermed direktionen saringfremt selskabet har baringde en besty-
relse og en direktion Det vil i praksis betyde at direktionen skal orientere bestyrelsen om vaelig-
sentlige forhold som paringpeges af databeskyttelsesraringdgiveren
For statslige myndigheder maring den oslashverste ledelse forstarings som den oslashverste administrative le-
delse
For saring vidt angaringr kommuner og regioner gaeliglder at databeskyttelsesraringdgiveren rapporterer di-
rekte til kommunalbestyrelsen henholdsvis regionsraringdet Denne rapportering forelaeliggges for kom-
munalbestyrelsen henholdsvis regionsraringdet uden den forudgaringende udvalgsbehandling som de
kommunale og regionale sager ellers normalt skal undergives Dette udelukker dog ikke at en
kommune kan indhente en erklaeligring fra oslashkonomiudvalget forinden forelaeligggelse for kommunal-
bestyrelsen
55 Beskyttelse af databeskyttelsesraringdgiveren
Funktionen som databeskyttelsesraringdgiver er beskyttet ved et forbud mod at kunne blive afskedi-
get for udfoslashrelse af opgaverne som databeskyttelsesraringdgiver
Vejledning om databeskyttelsesraringdgivere
29
Usaglig afskedigelse af en databeskyttelsesraringdgiver er sanktioneret med en boslashde
Databeskyttelsesraringdgiveren vil kunne afskediges paring et sagligt grundlag efter almindelige ansaeligt-
telsesretlige regler
56 Opsummering
En databeskyttelsesraringdgiver udpeges paring baggrund af sine faglige kvalifikationer
Databeskyttelsesraringdgiveren kan baringde vaeligre en intern medarbejder en faeliglles da-
tabeskyttelsesraringdgiver for hele eller flere organisationer eller en ekstern databe-
skyttelsesraringdgiver
Databeskyttelsesraringdgiveren har en raeligkke opgaver denne som minimum skal va-
retage Derudover anbefales det at man klart definerer hvilke opgaver der paringhvi-
ler databeskyttelsesraringdgiveren
En organisation skal rettidig og tilstraeligkkelig inddrage databeskyttelsesraringdgiveren
i alle sposlashrgsmaringl vedroslashrende beskyttelse af personoplysninger
Databeskyttelsesraringdgiveren nyder en saeligrlig beskyttelse mod usaglig afskedi-
gelse og kan ikke afskediges eller sanktioneres for at udfoslashre sine opgaver som
Databeskyttelsesraringdgiver
Dato
20 december 2017
Justitsministeriet
Slotsholmsgade 10
1216 Koslashbenhavn K
Telefon
72 26 84 00
jmjmdk
Eksempler paring tilfaeliglde hvor en databeskyttelsesraringd-
giver kan afskediges
Ikke udfoslashrer sine arbejdsopgaver
Misligholder ansaeligttelsesforholdet
Samarbejdsvanskeligheder
Vejledning om databeskyttelsesraringdgivere
30
ISBN
978-88-98564-35-7
Foto
Scanpix
Vejledning om databeskyttelsesraringdgivere
10
Virksomheder hvis kerneaktivitet bestaringr af behandling af personoplysninger i et stort omfang
skal dog opfylde eacuten af de to sidste betingelser inden virksomheden er forpligtet til at udpege en
databeskyttelsesraringdgiver
313 Betingelse nr 3 rdquoregelmaeligssig og systematisk overvaringgningrdquo eller rdquobehandling af
foslashlsomme oplysninger eller oplysninger om strafbare forholdrdquo
Virksomheder hvis kerneaktivitet bestaringr af behandling af personoplysninger i et stort omfang skal
enten
foretage regelmaeligssig og systematisk overvaringgning af registrerede personer
eller
behandle foslashlsomme oplysningeroplysninger om strafbare forhold
for at vaeligre forpligtede til at udpege en databeskyttelsesraringdgiver
Regelmaeligssig og systematisk overvaringgning af registrerede personer
Regelmaeligssig og systematisk overvaringgning af de registrerede omfatter en virksomheds sporringer
(tracking) eller profilering bla via internettet
Det kan bla omfatte drift af telenet eller services forbundet hermed profilering i forbindelse med
risikovurdering herunder kreditvurderinger vurdering af forsikringspraeligmie lokationstracking via
applikationer og adfaeligrdsbaseret annoncering
Eksempel ndash marketingsfima
Et marketingsfirma der foretager marketingsundersoslashgelser hvor der indgaringr personoplysninger i
et stort omfang og undersoslashgelsen er baseret paring adfaeligrdsbaseret annoncering er omfattet da de
foretager en regelmaeligssig og systematisk overvaringgning af de registrerede personer
Behandling af foslashlsomme oplysninger eller oplysninger om strafbare forhold
Oplysninger kan anses for foslashlsomme hvis de omhandler oplysninger om
Behandling i et stort omfang
Eksempler paring virksomheder der behandler
personoplysninger rdquoi et stort omfangrdquo
Privathospitaler
Stoslashrre forsikringsselskaber
Sporing via feks rejsekort
Soslashgemaskines behandling af
personoplysninger
Tele- eller internetudbydere
Vejledning om databeskyttelsesraringdgivere
11
race eller etnisk oprindelse
politisk religioslashs eller filosofisk overbevisning
fagforeningsmaeligssigt tilhoslashrsforhold
behandling af genetisk data eller biometrisk data med det formaringl entydigt at iden-
tificere en fysisk person
helbredsoplysninger
oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering
Oplysninger om strafbare forhold omfatter oplysninger om straffedomme og lovovertraeligdelser
Eksempel ndash skadesforsikringsselskaber
Skadesforsikringsselskaber kan man opdele i de selskaber der behandler foslashlsomme oplysninger
og de selskaber der ikke (eller i begraelignset omfang) behandler foslashlsomme oplysninger
For saring vidt angaringr de selskaber der ikke behandler denne type oplysninger kan naeligvnes special-
selskaber som typisk forsikrer ting (feks glasforsikring) og ikke risiko for personskader Forsik-
ringsselskaber der i begraelignset omfang jf betingelsen ovenfor behandler de omhandlede op-
lysninger vil typisk vaeligre forsikringsselskaber der tegner privatforsikringer herunder eksempelvis
indbo- og bilforsikringer eller erhvervsforsikringer for mindre virksomheder Her indhentes de
naeligvnte oplysninger i forbindelse med tegning af ulykkesforsikringer og ved behandling af per-
sonskader under ulykkesforsikringer
For saring vidt angaringr skadesforsikringsselskaber der opfylder betingelse nr 3 ndash idet de behandler
foslashlsomme oplysninger ndash kan naeligvnes specialiserede rejseforsikringsselskaber for saringvel rejsegods
som syge- og ulykkesforsikringer En betydelig del af disse selskabers forsikringer er personfor-
sikringer hvor der baringde ved tegning og ved behandlingen af personskader (ulykker og syg-
domme) indhentes foslashlsomme oplysninger Endvidere kan sygeforsikringsselskaber som daeligkker
medicin og en raeligkke andre udgifter til helbredelse naeligvnes idet der indhentes helbredsoplysnin-
ger ved optagelses- og refusionssager
Eksempel ndash HR-oplysninger
Virksomheder vil typisk behandle oplysninger om ansattes fagforeningsmaeligssige tilhoslashrsforhold
og helbredsoplysninger i forbindelse med virksomhedens HR-funktion Her er der netop tale om
foslashlsomme oplysninger men det medfoslashrer ikke i sig selv at virksomheden er forpligtet til at udpege
en databeskyttelsesraringdgiver Hertil kraeligves at behandling af personoplysninger er virksomhe-
dens kerneaktivitet og foretages i et stort omfang
Eksempler paring virksomheder der kan
opfylde alle tre betingelser
Privathospitaler
Stoslashrre forsikringssel-
skaber
Tele- eller internetud-
bydere
Marketingsfirma der
udbyder marketingsun-
dersoslashgelser
Eksempler paring virksomheder der blot op-
fylder nogle af betingelserne
Mindre privathospitaler
Mindre forsikringsselskab
Mindre laeliggepraksis
Stoslashrre virksomheder hvor
behandling af personop-
lysninger kun er en biakti-
vitet
Vejledning om databeskyttelsesraringdgivere
12
Eksempel ndash Livs- og pensionsforsikringsselskaberne
Store eller middelstore forsikringsselskaber der dels tegner livs- og pensionsforsikringer for en-
keltpersoner og dels firmapensionsordninger hvor de sikrede er en virksomheds ansatte indhen-
ter og behandler foslashlsomme oplysninger isaeligr helbredsoplysninger ved saringvel tegningindmeldelse
som ved behandlingen af tab af erhvervsevne doslashdsfald sygdom mv Henset til at behandling
af personoplysninger endvidere er disse forsikringsselskabers kerneaktivitet samt at de grundet
stoslashrrelse og geografiske udstraeligkning behandler personoplysningerne i stort omfang vil de som
udgangspunkt skulle udpege en databeskyttelsesraringdgiver
Det bemaeligrkes at det er vigtigt at have sig for oslashje at der er tale om betingelser der alle skal
vaeligre opfyldt Der skal altsaring vaeligre tale om at virksomhedens kerneaktivitet er behandling i stort
omfang af foslashlsomme oplysninger eller oplysninger om strafbart forhold Eller at virksomhedens
kerneaktivitet bestaringr af behandlingsaktiviteter i stort omfang af regelmaeligssig og systematisk over-
varinggning af personer
Virksomheder der ikke er forpligtede til at udpege en databeskyttelsesraringdgiver kan med fordel
dokumentere vurderingen saring denne kan fremvises til Datatilsynet
32 Frivillig udnaeligvnelse af en databeskyttelsesraringdgiver
Private kan under alle omstaeligndigheder frivilligt vaeliglge at udpege en databeskyttelsesraringdgiver
I de tilfaeliglde hvor der frivilligt udpeges en databeskyttelsesraringdgiver gaeliglder de samme krav til
databeskyttelsesraringdgiveren som hvis virksomheden var forpligtet til at udpege en databeskyttel-
sesraringdgiver
Det betyder at kravene til databeskyttelsesraringdgiverens opgaver kvalifikationer stilling beskyt-
telse og inddragelse skal efterleves
Vaeliglger en virksomhed derimod at udpege en medarbejder der feks er compliance-raringdgiver er
virksomheden ikke forpligtet til at efterleve forordningens krav til en databeskyttelsesraringdgiver
33 Faeliglles databeskyttelsesraringdgiver
En koncern har mulighed for at udpege en faeliglles databeskyttelsesraringdgiver for hele koncernen
forudsat at alle etableringer af koncernen har let adgang til databeskyttelsesraringdgiveren
Andre private dataansvarlige og databehandlere end koncerner har ogsaring mulighed for at udpege
en faeliglles databeskyttelsesraringdgiver Et konsulentfirma kan udoslashve funktionen som databeskyttel-
sesraringdgiver for flere dataansvarlige paring samme tid paring baggrund af tjenesteydelseskontrakter
Det er dog en forudsaeligtning for at private kan udpege en faeliglles databeskyttelsesraringdgiver at
databeskyttelsesraringdgiveren kan efterleve forordningens krav til vedkommende naringr opgaven loslash-
Vejledning om databeskyttelsesraringdgivere
13
ses for flere private paring eacuten gang Dette maring i praksis forudsaeligtte at der feks er adgang til at kom-
munikere med databeskyttelsesraringdgiveren paring et sprog som de beroslashrte medarbejdere kan forstaring
Det maring ligeledes forudsaeligtte at der er afsat saringdanne ressourcer til databeskyttelsesraringdgiveren
at det spejler omfanget af de organisationer der skal daeligkkes Der vil derfor i praksis ikke vaeligre
noget til hinder for at feks en virksomhed udpeger en faeliglles databeskyttelsesraringdgiver paring tvaeligrs
af flere stoslashrre koncernforbundne virksomheder naringr blot de ressourcer der afsaeligttes til databe-
skyttelsesraringdgiveren i form af medarbejdere rejsebudget it-understoslashttelse mv i tilstraeligkkelig om-
fang sikrer at databeskyttelsesraringdgiveren kan moslashde sine forpligtelser
34 Opsummering
Der skal rigtig meget til foslashr en privat virksomhed er forpligtet til at udpege en da-
tabeskyttelsesraringdgiver
Helt konkret skal tre betingelser der knytter sig til en virksomheds behandling af
personoplysninger alle vaeligre opfyldt foslashr der en pligt til at udpege en databeskyt-
telsesraringdgiver
Alle virksomheder boslashr foretage en konkret vurdering af om de tre betingelser er
opfyldt Er alle tre betingelser ikke opfyldt skal der ikke udpeges en databeskyt-
telsesraringdgiver
Vejledning om databeskyttelsesraringdgivere
14
4 Offentlige myndigheders forpligtelse til
at udpege en databeskyttelsesraringdgiver
Offentlige myndigheder og offentlige organer skal altid have en databeskyttelsesraringdgiver uanset
om de er dataansvarlige eller databehandlere
41 Hvornaringr skal offentlige myndigheder udpege en databeskyttelsesraringdgiver
I det omfang behandling foretages af en offentlig myndighed eller et offentligt organ skal myndig-
heden eller organet altid have en databeskyttelsesraringdgiver hvad enten de er dataansvarlige eller
databehandlere
Det betyder at der ogsaring skal udpeges en databeskyttelsesraringdgiver hvis den offentlige myndig-
hed eller organ behandler personoplysninger paring vegne af en privat eller selv outsourcer sin da-
tabehandling til en privat som ikke er forpligtet til at udpege en databeskyttelsesraringdgiver Det kan
feks vaeligre tilfaeligldet naringr offentlige myndigheder eller organer vaeliglger at overlade til en anden at
udfoslashre selve den praktiske behandling af personoplysninger paring den dataansvarliges vegne
Den eneste undtagelse hertil er domstole der ikke er forpligtede til at udpege en databeskyttel-
sesraringdgiver naringr de handler i deres egenskab af domstole
42 Hvornaringr er man en offentlig myndighed
De myndigheder der i dansk ret henregnes til den offentlige forvaltning i medfoslashr af forvaltnings-
lovens sect 1 stk 1-2 skal anses for offentlige myndigheder eller organer og er dermed forpligtede
til at udpege en databeskyttelsesraringdgiver Det fremgaringr heraf at foslashlgende virksomheder omfattes
af loven al virksomhed der udoslashves af den offentlige forvaltning og al virksomhed der udoslashves af
selvejende institutioner foreninger fonde mv der er oprettet ved lov eller i henhold til lov og
selvejende institutioner foreninger fonde mv der er oprettet paring privatretligt grundlag og som
udoslashver offentlig virksomhed af mere omfattende karakter og er undergivet intensiv offentlig regu-
lering intensivt offentlig tilsyn og intensiv offentlig kontrol
I forhold til selvejende institutioner mv oprettet paring privatretligt grundlag vil der saringledes vaeligre
nogle som omfattes af kravet om at have en databeskyttelsesraringdgiver mens andre ikke omfattes
Det vil bero paring en konkret vurdering
Selvejende institutioner mv oprettet paring privatretligt grundlag som udoslashver offentlig virksomhed
af mere omfattende karakter og er undergivet intensiv offentlig regulering intensivt offentlig tilsyn
og intensiv offentlig kontrol vil vaeligre omfattet
Det spiller endvidere ind om det offentlige har instruktionsbefoslashjelser over for institutionen om det
offentlige skal godkende institutionens vedtaeliggter og om det offentlige yder sekretariatsbistand
Vejledning om databeskyttelsesraringdgivere
15
til institutionen Herudover maring man se paring om det offentlige skal godkende institutionens regn-
skaber og om institutionens drift og virksomhed er detaljeret reguleret ved regler og retningslinjer
udstedt af det offentlige Endelig kan man tage hensyn til om det offentlige overtager institutio-
nens rettigheder og forpligtelser hvis den nedlaeliggges
Eksempler paring selvejende institutioner mv der er omfattet
- Universiteter
- Institutioner hvor kommunalbestyrelsen har indgaringet overenskomst til opfyldelse af sine forplig-
telser efter lov om social service
- Gymnasieskoler
Eksempler paring selvejende institutioner og foreninger der ikke er omfattet
- Danske Regioner og KL
- Dansk Flygtningehjaeliglp
For saring vidt angaringr statslige og kommunale institutioner der er organiseret i selskabsform feks
som aktieselskab eller interessentskab vil disse umiddelbart aldrig vaeligre omfattet Dette er ogsaring
tilfaeligldet for koncessionerede selskaber og selskaber hvori staten eller en kommune er aktionaeligr
interessent eller lignende uanset om staten eller kommunen ejer selskabet 100 Det har i den
forbindelse ingen betydning hvilke aktiviteter organet udfoslashrer ligesom det ikke i sig selv kan foslashre
til et andet resultat at selskabet maringtte vaeligre oprettet ved lov eller i henhold til lov
Dog er kommunale faeligllesskaber jf sect 60 i lov om kommunernes styrelse hvortil to eller flere
kommuner overfoslashrer opgaver til selvstaeligndig varetagelse altid offentlige myndigheder Det gaeligl-
der uanset at kommunale faeligllesskaber normalt etableres som interessentskaber Det kommu-
nale faeligllesskab er selvstaeligndigt dataansvarligt og skal udpege en databeskyttelsesraringdgiver
Eksempel paring institution der er organiseret i selskabsform der ikke er omfattet
- Staten og Kommunernes Indkoslashbs Service AS
Saringfremt der ikke er tale om en offentlig myndighed eller organ skal bedoslashmmelsen af hvorvidt
man har pligt til at udpege en databeskyttelsesraringdgiver foretages i henhold til betingelserne be-
skrevet ovenfor under punkt 3 vedroslashrende privates forpligtelse til at udpege en databeskyttel-
sesraringdgiver
43 Faeliglles databeskyttelsesraringdgiver for offentlige myndigheder
Flere myndigheder eller organer vil i mange tilfaeliglde kunne have en faeliglles databeskyttelsesraringd-
giver forudsat at det er i overensstemmelse med deres organisatoriske struktur og stoslashrrelse I
den forbindelse kan det vaeligre relevant at overveje om raringdgiveren skal fungere paring baggrund af
eacuten ansaeligttelseskontrakt for to forskellige myndigheder eller to deltidskontrakter
Herudover vil en databeskyttelsesraringdgiver kunne vaeligre ansat paring en deltidskontrakt hos eacuten myn-
dighed og ansat paring baggrund af en tjenesteydelseskontrakt i en anden myndighed eller organi-
sation
Vejledning om databeskyttelsesraringdgivere
16
Saringfremt flere myndigheder har en faeliglles databeskyttelsesraringdgiver er det dog en forudsaeligtning
at databeskyttelsesraringdgiveren kan efterleve kravene i databeskyttelsesforordningen til en data-
beskyttelsesraringdgiver herunder til dennes stilling opgaver uafhaeligngighed og tilgaeligngelighed mv
naringr denne loslashser opgaven for flere myndigheder paring eacuten gang
For saring vidt angaringr tilgaeligngelighed er der ikke et krav om fysisk tilstedevaeligrelse paring alle lokationer
saringfremt der anvendes en faeliglles databeskyttelsesraringdgiver De enkelte myndigheder har i den for-
bindelse mulighed for at aftale hvordan den fysiske tilgaeligngelighed i praksis kan loslashftes herunder
feks ved hjaeliglp af mail telefon internet mm Det er i relation til kravet om tilgaeligngelighed endvi-
dere vaeligrd at bemaeligrke at flere myndigheder som naeligvnt godt kan have en faeliglles raringdgiver men
at databeskyttelsesraringdgiveren skal kunne (naring at) varetage sin raringdgivningsopgave fyldestgoslashrende
for alle de myndigheder for hvilke den paringgaeligldende varetager opgaven som databeskyttelses-
raringdgiver Her kan det bla vaeligre relevant at se paring maeligngden af personoplysninger der behandles
i en given myndighed
I relation til uafhaeligngighedskriteriet bemaeligrkes at det kan vaeligre betaelignkeligt at lade visse myndig-
heder have en faeliglles databeskyttelsesraringdgiver jf nedenfor under afsnittet rdquoEksempel ndash Ministe-
rier og underordnede myndighederrdquo
Der henvises i oslashvrigt til afsnit 5 i denne vejledning
Det er endvidere et krav at der er eacuten der er personligt ansvarlig for hvervet som databeskyttel-
sesraringdgiver
Som foslashlge af kravet om at udpegningen af en faeliglles databeskyttelsesraringdgiver skal vaeligre i over-
ensstemmelse med myndigheden eller organets organisatoriske struktur og stoslashrrelse stilles der
krav til selve ansaeligttelsen af databeskyttelsesraringdgiveren
Den retlige graelignse for at dele en databeskyttelsesraringdgiver vil i et saringdan tilfaeliglde vaeligre de gaeligl-
dende standarder om offentlige ansattes bierhverv de almindelige habilitetsregler og muligheden
for at efterleve kravene i forordningen herunder tilstraeligkkelige ressourcer i forhold til at udfoslashre
hvervet
Vejledning om databeskyttelsesraringdgivere
17
Kommuner
Det antages ikke at vaeligre i overensstemmelse med en offentlig myndigheds struktur eller stoslashr-
relse hvis en databeskyttelsesraringdgiver fungerer paring baggrund af eacuten ansaeligttelseskontrakt i to for-
skellige kommuner Det antages derimod omvendt at vaeligre i overensstemmelse hermed saring-
fremt raringdgiveren udoslashver sin funktion paring baggrund af to deltidskontrakter i to kommuner paring
samme tid
Eksempel ndash En kommune
En kommune vil typisk vaeligre dataansvarlig for alle de behandlinger af personoplysninger som
foretages inden for den kommunale enhedsforvaltning Derfor er en kommune ikke forpligtet til at
udpege eacuten databeskyttelsesraringdgiver for de enkelte forvaltninger men vil kunne udpege eacuten data-
beskyttelsesraringdgiver for hele kommunen
Eksempel ndash organer med selvstaeligndig kompetence paring det kommunale omraringde
Det bemaeligrkes at der paring det kommunale omraringde kan vaeligre organer som ikke er en del af den
kommunale enhedsforvaltning men har selvstaeligndig kompetence paring det kommunale omraringde
feks huslejenaeligvnet ligesom der kan vaeligre kommunale organer som er en del af enhedsforvalt-
ningen der i visse henseender har en ndash i forhold til kommunalbestyrelsen ndash selvstaeligndig kompe-
tence herunder feks skoleledere
Naringr det i lovgivningen er fastsat eller forudsat at disse organer sekretariatsbetjenes af kommu-
nen og kommunen yder sekretariatsbetjening kan organerne have faeliglles databeskyttelsesraringd-
giver med kommunen og er ikke forpligtet til selvstaeligndigt at udpege en databeskyttelsesraringdgiver
ved siden af kommunens Databeskyttelsesraringdgiverens ydelser vil i den forbindelse vaeligre en del
af sekretariatsbetjeningen
Eksempel ndash Flere kommuner
Flere kommuner vil have mulighed for at dele en databeskyttelsesraringdgiver Som udgangspunkt
vurderes det at feks en gennemsnitskommune paring omkring 45000 indbyggere godt vil kunne
dele en databeskyttelsesraringdgiver med en anden tilsvarende eller en mindre kommune eller at en
lidt stoslashrre kommune vil kunne dele med en mindre kommune hvis databeskyttelsesraringdgiveren
Eksempel - Rigspolitiets databeskyttelsesenhed
Rigspolitiet har udpeget en faeliglles databeskyttelsesraringdgiver for landets 12
politikredse og Rigspolitiet for saring vidt angaringr behandlingen af personoplys-
ninger til brug for retsharingndhaeligvelsesformaringl
Den faeliglles databeskyttelsesraringdgiver understoslashttes i den forbindelse af en cen-
tral datebeskyttelsesenhed i Rigspolitiet hvor de enkelte medarbejdere be-
sidder stort kendskab til persondateretlige og forretningsmaeligssige forhold
med relevans for enhedens opgavevaretagelse Paring denne baggrund kan da-
tabeskyttelsesraringdgiveren samlet set leve op til sine forpligtelser som databe-
skyttelsesraringdgiver i medfoslashr af lov om retsharingndhaeligvende myndigheders be-
handling af personoplysninger som er lig dem der foslashlger af databeskyttel-
sesforordningen
Vejledning om databeskyttelsesraringdgivere
18
samlet set vurderes at kunne varetage opgaverne som databeskyttelsesraringdgiver Der skal saringle-
des foretages en konkret vurdering i det enkelte tilfaeliglde idet det afgoslashrende er om man som
databeskyttelsesraringdgiver kan efterleve sin funktion retmaeligssigt naringr funktionen udoslashves for flere
kommuner paring samme tid
Herudover vil to eller flere kommuner kunne oprette et kommunalt faeligllesskab til hvilket de garingr
sammen om at loslashse opgaven som databeskyttelsesraringdgiver i de deltagende kommuner
Eksempel - Regioner
En region vil typisk ogsaring vaeligre dataansvarlig for alle de behandlinger af personoplysninger der
foretages inden for regionen herunder drift af hospitaler forskning og sociale tilbud mv Hver
region vil som udgangspunkt kunne udpege eacuten databeskyttelsesraringdgiver
Eksempel - Ministerier og underordnede myndigheder
Departementer og underordnede myndigheder kan have en faeliglles databeskyttelsesraringdgiver
Dog kan der vaeligre hindringer som feks myndighedens stoslashrrelse der bevirker at man ikke kan
dele en databeskyttelsesraringdgiver Som eksempel herparing kan naeligvnes Justitsministeriet og politiet
der ikke kan have en faeliglles raringdgiver
Det skyldes at politiet anses for at vaeligre saring stor en enhed at en faeliglles databeskyttelsesraringdgiver
ikke vil kunne efterleve kravene til en databeskyttelsesraringdgiver (om bla tilgaeligngelighed) hvis
denne baringde skulle udfoslashre sin opgave for politiet som helhed og med andre myndigheder under
Justitsministeriets ressort
Dog vil politiet ndash i en ordning svarende til den ovenfor beskrevne paring retsharingndhaeligvelsesomraringdet ndash
kunne have en faeliglles databeskyttelsesraringdgiver under forordningen der udfoslashrer sin funktion for
alle politikredse
Det bemaeligrkes endvidere at forordningens krav om uafhaeligngighed skal vaeligre opfyldt for alle de
myndigheder der deler en databeskyttelsesraringdgiver
I den forbindelse ndash samt i relation til en underordnet myndigheds eventuelt saeligrlige uafhaeligngighed
ift den overordnede myndighed ndash kan der vaeligre visse situationer hvor det kan vaeligre betaelignkeligt
at lade en underordnet myndighed dele databeskyttelsesraringdgiver med et departement
Som eksempel herparing kan naeligvnes Datatilsynet og Justitsministeriets departement Dette er bla
henset til Datatilsynets funktionelle uafhaeligngighed i forhold til Justitsministeriet samt tilsynets spe-
cielle kompetence og rolle i forhold til databeskyttelsesforordningen Som et andet eksempel kan
naeligvnes Ankestyrelsens relation til (paring nuvaeligrende tidspunkt) Oslashkonomi- og Indenrigsministeriets
departement Her kan bla peges paring maeligngden og karakteren af data som behandles i Ankesty-
relsen samt styrelsens faglige uafhaeligngighed af departementet
Organisatoriske aeligndringer kan ogsaring bevirke at det i visse situationer ndash af praktiske aringrsager ndash
kan vaeligre mere oplagt for en underordnet myndighed at have sin egen databeskyttelsesraringdgiver
fremfor at dele med sit departement Hvis en underordnet myndighed saringledes har sin egen data-
beskyttelsesraringdgiver kan denne blot fortsaeligtte under samme kontrakt vilkaringr mv uanset at en
Vejledning om databeskyttelsesraringdgivere
19
myndighed efter eksempelvis et regeringsskifte organisatorisk placeres under et andet ministe-
rium
Eksempel - Selvejende institutioner
I det omfang selvejende institutioner kan anses for en offentlig myndighed eller et organ vil disse
myndigheder ogsaring have mulighed for at udpege en faeliglles databeskyttelsesraringdgiver med en an-
den selvejende institution omfattet af samme lovgivning eller feks den kommune som institutio-
nen har driftsoverenskomst med i det omfang kommunen yder sekretariatsbistand til institutio-
nen
44 Opsummering
Alle offentlige myndigheder og organer skal udpege en databeskyttelsesraringdgiver
fra den 25 maj 2018
Det er i hoslashj grad muligt at udpege en faeliglles databeskyttelsesraringdgiver der funge-
rer paring vegne af flere myndigheder paring eacuten gang
Muligheden for at have en faeliglles databeskyttelsesraringdgiver begraelignses af at
denne skal kunne leve op til sine forpligtelser efter databeskyttelsesforordningen
Databeskyttelsesraringdgiveren kan understoslashttes af en enhed for at kunne udfoslashre sit
hverv i overensstemmelse med forordningens krav Dette gaeliglder uanset om da-
tabeskyttelsesraringdgiveren fungerer for eacuten myndighed eller for flere myndigheder
og organer
Vejledning om databeskyttelsesraringdgivere
20
5 Databeskyttelsesraringdgiveren
51 Krav til faglige kvalifikationer
En databeskyttelsesraringdgiver skal udpeges paring baggrund af sine faglige kvalifikationer Dette
gaeliglder navnlig evnen til at udfoslashre sine opgaver som databeskyttelsesraringdgiver og ekspertise in-
den for databeskyttelsesret- og praksis
Der er ikke krav om at en databeskyttelsesraringdgiver skal have en bestemt uddannelsesmaeligssig
baggrund feks som jurist
Dermed er det op til den enkelte organisation at vurdere hvem der er bedst egnet til at varetage
stillingen som databeskyttelsesraringdgiver
Kravene til stillingen afhaelignger til en vis grad af kompleksiteten af den behandling af personop-
lysninger som den paringgaeligldende organisation foretager Dermed kan der for nogen organisatio-
ner vaeligre behov for at ansaeligtte en databeskyttelsesraringdgiver med stor erfaring inden for feltet og
i andre tilfaeliglde kan en eksisterende medarbejder paring baggrund af diverse kurser varetage funkti-
onen
Hvis der udpeges en databeskyttelsesraringdgiver fra egen organisation kan det med fordel vaeligre
en person som i forvejen har et vist kendskab til eller indsigt i haringndtering af databeskyttelses-
retlige sposlashrgsmaringl i organisationen
52 Hvem kan vaeligre databeskyttelsesraringdgiver
Som udgangspunkt kan alle som organisationen finder kvalificeret til at vaeligre databeskyttelses-
raringdgiver varetage funktionen
Foslashlgende kan derfor vaeligre databeskyttelsesraringdgivere
En intern medarbejder
En faeliglles databeskyttelsesraringdgiver for hele eller flere organisationer
En ekstern databeskyttelsesraringdgiver
Intern medarbejder
En organisation kan vaeliglge at udpege en eksisterende medarbejder som databeskyttelsesraringdgi-
ver
Det er ikke et krav at den medarbejder der varetager funktionen som databeskyttelsesraringdgiver
udoslashver sin funktion paring fuld tid
Vejledning om databeskyttelsesraringdgivere
21
Dermed kan en intern medarbejder der varetager funktionen som databeskyttelsesraringdgiver ud-
foslashre andre opgaver og have andre pligter i organisationen
Saringledes kan en medarbejder der feks arbejder i IT-sektionen i en organisation godt varetage
funktionen som databeskyttelsesraringdgiver paring deltid eller 10 timer om ugen alt efter behovet i
den enkelte organisation
Det afgoslashrende er at den paringgaeligldende medarbejder fyldestgoslashrende kan udoslashve sit erhverv som
databeskyttelsesraringdgiver i organisationen
Den person der udpeges kan med fordel vaeligre en person som i forvejen har et vist kendskab
til eller indsigt i haringndtering af databeskyttelsesretlige sposlashrgsmaringl i organisationen
Selve vurderingen af hvor meget tid en medarbejder skal bruge paring fyldestgoslashrende at kunne ef-
terleve kravene til en databeskyttelsesraringdgiver i organisationen afhaelignger af en konkret vurde-
ring af behovet hos organisationen
Interne ansatte der ikke kan vaeligre databeskyttelsesraringdgiver
En databeskyttelsesraringdgiver skal baringde vaeligre uafhaeligngig og vaeligre i stand til at udoslashve uvildig raringd-
givning til organisationen
Derfor kan en databeskyttelsesraringdgiver ikke vaeligre den oslashverste IT-ansvarlige eller oslashverste HR-
ansvarlige i en organisation
Eksempel ndash virksomhed med faring ansatte
Virksomheder med faring ansatte herunder feks enkeltmandsvirksomheder vil have svaeligrt ved at
opfylde betingelsen om at en databeskyttelsesraringdgiver ikke kan vaeligre oslashverste IT-ansvarlige eller
oslashverste HR-ansvarlige i en organisation (forudsat at virksomheden i oslashvrigt opfylder betingelserne
for hvornaringr private skal udpege en databeskyttelsesraringdgiver jf naeligrmere om privates forpligtelse
under punkt 3) I en saringdan situation kan virksomheden enten benytte sig af muligheden for at
udpege en faeliglles databeskyttelsesraringdgiver eller anvende en konsulent til opgaven
Databeskyttelsesraringdgiverenhed
Der kan ogsaring udpeges eacuten databeskyttelsesraringdgiver for den paringgaeligldende organisation som un-
derstoslashttes af en enhed saring den paringgaeligldende kan leve op til sine forpligtelser efter forordningen jf
den ovenfor beskrevne ordning for politiet
Faeliglles databeskyttelsesraringdgiver
Saringvel private som offentlige myndigheder kan udpege en faeliglles databeskyttelsesraringdgiver af-
haeligngig af deres struktur og stoslashrrelse
Medarbejdere som ikke har det oslashverste ansvar kan vaeligre databe-
skyttelsesraringdgivere Det betyder at ledende IT-medarbejdere
compliance-officerer eller en it-sikkerheds koordinator mv kan
udoslashve funktionen som databeskyttelsesraringdgiver i organisationen
Vejledning om databeskyttelsesraringdgivere
22
Ekstern medarbejder
Man kan ogsaring vaeliglge at udpege en ekstern databeskyttelsesraringdgiver Dette kan enten vaeligre en
raringdgiver (konsulentvirksomhed) saringsom en bestemt advokat eller revisor eller andre kvalifice-
rede eksterne parter Udoslashvelsen af hvervet som databeskyttelsesraringdgiver vil dog i sagens natur
alene kunne udoslashves i det omfang dette er foreneligt med eventuelle regler ndash herunder etiske
krav ndash for den relevante type af raringdgivervirksomhed mv
53 Databeskyttelsesraringdgiverens opgaver
Databeskyttelsesraringdgiveren funktion bestaringr i at raringdgive den dataansvarlige og hjaeliglpe med at
organisationen efterlever de databeskyttelsesretlige regler
En databeskyttelsesraringdgiver skal desuden prioritere sine opgaver og fokusere paring de behandlin-
ger af personoplysninger i den paringgaeligldende organisation som konkret indebaeligrer en hoslashjere ri-
siko for brud paring de databeskyttelsesretlige regler Dog skal oslashvrige databeskyttelsesretlige omraring-
der som indebaeligrer en lavere grad af risiko ikke undlades
Der er en raeligkke opgaver som databeskyttelsesraringdgiveren som minimum skal varetage Der er
dog ikke noget til hinder for at der overlades flere opgaver til databeskyttelsesraringdgiveren Da-
tabeskyttelsesraringdgiverens rolle som central raringdgivningsfigur i organisationen samt dennes op-
gaver kan med fordel beskrives naeligrmere i en (ansaeligttelses)aftale
Nedenfor foslashlger en naeligrmere beskrivelse af de opgaver som databeskyttelsesraringdgiveren som
minimum skal varetage i en organisation
Underrette og raringdgive organisationen og de ansatte om databeskyttelse
Det indebaeligrer
Konkret raringdgivning om beskyttelse af personoplysninger i organisationen samt
overvejelser og beslutninger om hvordan compliance sikres mv feks i forbin-
delse med foslashlgende
Organisationens indkoslashb af nyt IT-system
kravsspecifikationer til leverandoslashrer
udarbejdelse af organisationens data-politikker
ivaeligrksaeligttelse af behandling af personoplysninger
overvejelser om hvorvidt en given behandling af personoplysninger over-
holder de generelle behandlingsregler
Staring til raringdighed for ansatte samt ledelsen i organisationen vedroslashrende sposlashrgsmaringl
om databeskyttelse
Vejledning om databeskyttelsesraringdgivere
23
Raringdgivning i forbindelse med udarbejdelse af organisationens konsekvensanaly-
ser jf afsnit 3 nedenfor
Modtage underretning om og raringdgive organisationen i forbindelse med brud paring
persondatasikkerheden
Overvaringge overholdelsen af de databeskyttelsesretlige regler i organisationen
Det indebaeligrer bla ogsaring at overvaringge
organisationens politikker om databeskyttelse
uddannelse af personale i databeskyttelse
oplysningskampagner
fordeling af ansvar
revisioner
Det skal hertil bemaeligrkes at databeskyttelsesraringdgiverens opgave med at overvaringge overholdel-
sen af de databeskyttelsesretlige regler i organisationen ikke medfoslashrer at raringdgiveren overtager
selve ansvaret for at behandlingen af personoplysninger sker i overensstemmelse med reg-
lerne Dette ansvar ligger fortsat hos den dataansvarlige
Raringdgivning i forbindelse med udarbejdelse af organisationens konsekvensanalyser
I visse tilfaeliglde skal organisationer udarbejde en konsekvensanalyse af en planlagt behandling
af personoplysninger
I de tilfaeliglde hvor en organisation har udpeget en databeskyttelsesraringdgiver skal denne raringdfoslash-
res naringr der foretages en konsekvensanalyse
Herudover skal databeskyttelsesraringdgiveren raringdgive med hensyn til konsekvensanalysen naringr
der anmodes herom
Som led i overvaringgningsopgaven kan databeskyttel-
sesraringdgiveren foretage foslashlgende
indsamle oplysninger til at identificere
behandlingsaktiviteter
informere raringdgive og komme med an-
befalinger til den dataansvarlige og da-
tabehandleren
Vejledning om databeskyttelsesraringdgivere
24
I tilfaeliglde af uenighed mellem organisationen og databeskyttelsesraringdgiveren anbefales det at
det specifikt fremgaringr af selve konsekvensanalysen hvorfor databeskyttelsesraringdgiverens indstil-
ling ikke er blevet fulgt
Samarbejde med Datatilsynet paring vegne af organisationen
En organisation er forpligtet til at hoslashre Datatilsynet inden behandling hvis en konsekvensana-
lyse vedroslashrende databeskyttelse viser at behandlingen af personoplysninger vil foslashre til hoslashj ri-
siko i mangel af foranstaltninger truffet af organisation for at begraelignse risikoen
Det foslashlger af forordningen at databeskyttelsesraringdgiveren skal samarbejde med tilsynsmyndig-
heden og fungere som tilsynsmyndighedens kontaktperson Det kan feks vaeligre databeskyttel-
sesraringdgiveren der paring vegne af den dataansvarlige hoslashrer tilsynsmyndigheden
Vaeligre kontaktpunkt for tilsynsmyndigheden (Datatilsynet) angaringende alle sposlashrgsmaringl om behand-
ling af personoplysninger for de personer der behandles oplysninger om
Databeskyttelsesraringdgiveren skal inddrages af den dataansvarlige i tilfaeliglde af at konkrete kla-
gesager indbringes for Datatilsynet Databeskyttelsesraringdgiveren boslashr ligeledes orienteres naringr
Datatilsynet beslutter at gennemfoslashre et eventuelt tilsyn af den dataansvarlige
Herudover skal databeskyttelsesraringdgiveren ogsaring vaeligre i stand til at vejlede den person der be-
handles personoplysninger om Det betyder at databeskyttelsesraringdgiveren skal vaeligre i stand til
at vejlede om hvilke rettigheder den paringgaeligldende har og hvordan de kan udnyttes
Det indebaeligrer endvidere at den dataansvarlige skal give meddelelse om kontaktoplysninger paring
databeskyttelsesraringdgiveren
Det anbefales i oslashvrigt at organisationen i en funktionsbeskrivelse klart definerer hvilke opgaver
der paringhviler databeskyttelsesraringdgiveren En funktionsbeskrivelse vil goslashre det tydeligt hvornaringr
Raringdgivning i forhold til konsekvensanalyser kan bla indebaeligre raringdgiv-
ning vedroslashrende
om der skal gennemfoslashres en konsekvensanalyse
hvilken fremgangsmaringde der skal anvendes ved gennemfoslash-
relse af konsekvensanalysen
om konsekvensanalysen kan gennemfoslashres internt eller om
gennemfoslashrelsen kraeligver antagelse af ekstern bistand
hvilke sikkerhedsforanstaltninger (tekniske og organisatori-
ske) som skal anvendes for at begraelignse risici i forhold til
de registreredes rettigheder og interesser
om konsekvensanalysen er korrekt gennemfoslashrt og om
dens konklusioner er i overensstemmelse med de databe-
skyttelsesretlige regler
Vejledning om databeskyttelsesraringdgivere
25
den paringgaeligldende virker som databeskyttelsesraringdgiver og i denne egenskab ikke kan instrueres
Det vil samtidig blive tydeligt hvornaringr den paringgaeligldende udfoslashrer andre opgaver i sit ordinaeligre an-
saeligttelsesforhold i organisationen
54 Krav til organisationen ndash rettidig og tilstraeligkkelig inddragelse af databeskyt-
telsesraringdgiveren
En organisation skal sikre at databeskyttelsesraringdgiveren inddrages tilstraeligkkeligt og rettidigt i
alle sposlashrgsmaringl vedroslashrende beskyttelse af personoplysninger En saringdan inddragelse boslashr ogsaring
ske paring oslashverste ledelsesmaeligssige niveau (feks ved deltagelse paring direktions- og ledelsesmoslashder)
Det anbefales at organisationen implementerer procedurer som sikrer dette
I hvilke tilfaeliglde skal databeskyttelsesraringdgiveren inddrages
Databeskyttelsesraringdgiveren skal inddrages i alle de overvejelser og vurderinger som organisa-
tionen goslashr sig for at overholde kravene i databeskyttelsesforordningen databeskyttelsesloven
og oslashvrige regler for behandling af personoplysninger
Eksempel paring sposlashrgsmaringl hvor databeskyttelsesraringdgiveren boslashr inddrages
ved overvejelser og beslutninger om hvordan organisationens compliance med
databeskyttelsesreglerne sikres
ved overvejelser i forbindelse med datasikkerhed herunder databeskyttelse gen-
nem design og standardindstillinger og
ved udarbejdelse af konsekvensanalyser
Saringfremt databeskyttelsesraringdgiveren udpeges foslashr den 25 maj 2018 kan denne inddrages i or-
ganisationens implementering af de krav der foslashlger af forordningen
Eksempel paring sposlashrgsmaringl hvor databeskyttelsesraringdgiveren ikke
skal inddrages
Konkrete vurderinger ift registreredes rettigheder
feks anmodning paring indsigt ret til at blive glemt
mv
Deltagelse i mindre praktiske eller almindelige
driftsopgaver eller driftsmaeligssige sposlashrgsmaringl knyt-
tet til opsaeligtning af it-systemer
Udarbejdelse af konkrete databehandleraftaler
Behandling af personoplysninger der finder sted i
overensstemmelse med interne regler som den da-
taansvarlige har fastsat forudsat at disse regler er
fastsat under inddragelse af databeskyttelsesraringdgi-
veren
Vejledning om databeskyttelsesraringdgivere
26
Hvordan skal databeskyttelsesraringdgiveren inddrages
For at sikre at databeskyttelsesraringdgiveren inddrages tilstraeligkkeligt og rettidigt er organisationen
forpligtet til at holde databeskyttelsesraringdgiveren tilstraeligkkeligt og rettidigt orienteret om alle
sposlashrgsmaringl om beskyttelse af personoplysninger
Som tommelfingerregel skal databeskyttelsesraringdgiveren have mulighed for at vurdere overhol-
delsen af de databeskyttelsesretlige regler og komme med bemaeligrkninger eller lignende inden
en behandling af personoplysninger igangsaeligttes
Hvornaringr er inddragelsen rettidig
Databeskyttelsesraringdgiveren skal inddrages i saring god tid som det er muligt forud for ivaeligrksaeligttel-
sen af behandling af personoplysninger
Det er afgoslashrende at databeskyttelsesraringdgiveren inddrages i tide til at kunne foretage en reel
vurdering af om den paringtaelignkte behandling af personoplysninger er i overensstemmelse med de
databeskyttelsesretlige regler og dermed kan komme med kvalificerede bemaeligrkninger herom
med henblik paring at raringdgive organisationen
Eksempler paring rettidig inddragelse
Inddrages forud for beslutning om noslashdvendige
foranstaltninger i IT-systemer for at efterleve kra-
vene om databeskyttelse gennem design og stan-
dardindstillinger
Inddrages forud for udstedelse af retningslinjer og
procedurer for hvordan de databeskyttelsesret-
lige regler skal overholdes i organisationen
Inddragelse foslashr offentliggoslashrelse af udbudsmateri-
ale i en udbudsproces eller lignende
Eksempler paring ikke-rettidig inddragelse
Inddragelse af databeskyttelsesraringdgiveren efter
et nyt IT-system er faeligrdigudviklet
Inddragelse af databeskyttelsesraringdgiveren efter
indkoslashb af IT-systemer (dermed ikke en del af
overvejelserne vedr kravspecifikation og databe-
skyttelse gennem design og standardindstillin-
ger)
Inddragelse af databeskyttelsesraringdgiveren efter
at en konsekvensanalyse er udarbejdet
Inddragelse af databeskyttelsesraringdgiveren efter
stoslashrre aeligndringer i organisationens procedurer
der vedroslashrer databeskyttelse saringsom haringndtering
af anmodninger fra registrerede personer
Vejledning om databeskyttelsesraringdgivere
27
Behandlingsaktiviteter igangsat foslashr en databeskyttelsesraringdgiver udpeges
Naringr en organisation udpeger en databeskyttelsesraringdgiver vil der selvsagt vaeligre behandlinger af
personoplysninger der allerede er igangsat i organisationen
Databeskyttelsesraringdgiveren boslashr ved udpegelsen primaeligrt have fokus paring de fremadrettede com-
pliance aktiviteter Derudover kan databeskyttelsesraringdgiveren ndash ud fra en risikovurdering i for-
hold til de behandlinger som konkret indebaeligrer hoslashjere risiko ndash inddrages i organisationens
overvejelser om hvorvidt de igangvaeligrende aktiviteter overholder de databeskyttelsesretlige
regler
Hvornaringr er inddragelsen tilstraeligkkelig
Der skal ske en reel inddragelse af databeskyttelsesraringdgiveren i organisationens overvejelser
og beslutninger vedroslashrende databeskyttelse
Det indebaeligrer at organisationen skal inddrage og tage hoslashjde for databeskyttelsesraringdgiverens
bemaeligrkninger og raringdgivning i oslashvrigt samt dennes rapportering til oslashverste ledelsesniveau om
overholdelse af de databeskyttelsesretlige regler
Saringfremt databeskyttelsesraringdgiverens raringdgivning ikke foslashlges anbefales det at organisationen
dokumenterer dette i overensstemmelse med kravet om accountability
Ressourcer og adgang
Ressourcer
For at databeskyttelsesraringdgiveren rent faktisk kan udfoslashre sine opgaver er det noslashdvendigt at
organisationens tilvejebringer de noslashdvendige ressourcer til stoslashtte for databeskyttelsesraringdgive-
ren
Det er endvidere et krav at organisationen tilvejebringer de fornoslashdne ressourcer for at databe-
skyttelsesraringdgiveren kan opretholde sin ekspertise inden for omraringdet
Fastsaeligttelsen af de fornoslashdne ressourcer beror paring en konkret vurdering som afhaelignger af de
organisatoriske forhold i organisationen saringsom stoslashrrelsen antallet af behandlingsaktiviteter
kompleksiteten af behandlingen af personoplysninger samt de forbundne risici
Jo stoslashrre en organisation er des stoslashrre er behovet for ressourcer til stoslashtte for databeskyttelses-
raringdgiveren
Selve behovet for ressourcer beror paring en konkret vurde-
ring som organisationen er ansvarlig for at foretage
Som eksempler paring fornoslashdne ressourcer kan naeligvnes
Faciliteter og arbejdsredskaber
Oslashkonomiske ressourcer
Personaleressourcer og lignende
Vejledning om databeskyttelsesraringdgivere
28
Adgang
Databeskyttelsesraringdgiveren skal ogsaring have adgang til organisationens personoplysninger og
den behandling af disse som organisationen foretager
Der skal vaeligre tale om en vid adgang som kan tilvejebringes efter behov
Uafhaeligngighed
Det er et grundlaeligggende krav at en databeskyttelsesraringdgiver ikke maring blive instrueret af andre
om hvordan raringdgiveren skal udfoslashre sine opgaver Der gaeliglder saringledes foslashlgende for databeskyt-
telsesraringdgiveren
Maring ikke som led i sin funktion som databeskyttelsesraringdgiver modtage instruks om
hvordan denne skal udfoslashre sine opgaver (eller feks om en bestemt vurdering el-
ler fortolkning af forordningen)
Maring ikke afskediges eller sanktioneres for at udfoslashre sine opgaver
Rapporterer direkte til oslashverste ledelsesniveau
Databeskyttelsesraringdgiverens interne reaktionsmuligheder er i praksis taeligt forbundne med at
ovenstaringende krav til uafhaeligngighed efterleves Idet en databeskyttelsesraringdgiver ikke har instruk-
tionsbefoslashjelser over for andre dele af den dataansvarliges organisation er det i praksis mulighe-
den for at kunne rapportere direkte til oslashverste ledelsesniveau der er raringdgiverens interne virke-
middel overfor konstaterede brud paring forordningen
Hvor det oslashverste ledelsesniveau er afhaelignger af organiseringen hos den konkrete dataansvarlige
eller databehandleren
I forhold til det private erhvervsliv fremgaringr det af selskabsloven at det er bestyrelsen der er det
centrale eller oslashverste ledelsesorgan i selskaber der baringde har en bestyrelse og en direktion Naringr
der i databeskyttelsesforordningen henvises til det oslashverste ledelsesniveau maring det i det private
forstarings i relation til den daglige drift og dermed direktionen saringfremt selskabet har baringde en besty-
relse og en direktion Det vil i praksis betyde at direktionen skal orientere bestyrelsen om vaelig-
sentlige forhold som paringpeges af databeskyttelsesraringdgiveren
For statslige myndigheder maring den oslashverste ledelse forstarings som den oslashverste administrative le-
delse
For saring vidt angaringr kommuner og regioner gaeliglder at databeskyttelsesraringdgiveren rapporterer di-
rekte til kommunalbestyrelsen henholdsvis regionsraringdet Denne rapportering forelaeliggges for kom-
munalbestyrelsen henholdsvis regionsraringdet uden den forudgaringende udvalgsbehandling som de
kommunale og regionale sager ellers normalt skal undergives Dette udelukker dog ikke at en
kommune kan indhente en erklaeligring fra oslashkonomiudvalget forinden forelaeligggelse for kommunal-
bestyrelsen
55 Beskyttelse af databeskyttelsesraringdgiveren
Funktionen som databeskyttelsesraringdgiver er beskyttet ved et forbud mod at kunne blive afskedi-
get for udfoslashrelse af opgaverne som databeskyttelsesraringdgiver
Vejledning om databeskyttelsesraringdgivere
29
Usaglig afskedigelse af en databeskyttelsesraringdgiver er sanktioneret med en boslashde
Databeskyttelsesraringdgiveren vil kunne afskediges paring et sagligt grundlag efter almindelige ansaeligt-
telsesretlige regler
56 Opsummering
En databeskyttelsesraringdgiver udpeges paring baggrund af sine faglige kvalifikationer
Databeskyttelsesraringdgiveren kan baringde vaeligre en intern medarbejder en faeliglles da-
tabeskyttelsesraringdgiver for hele eller flere organisationer eller en ekstern databe-
skyttelsesraringdgiver
Databeskyttelsesraringdgiveren har en raeligkke opgaver denne som minimum skal va-
retage Derudover anbefales det at man klart definerer hvilke opgaver der paringhvi-
ler databeskyttelsesraringdgiveren
En organisation skal rettidig og tilstraeligkkelig inddrage databeskyttelsesraringdgiveren
i alle sposlashrgsmaringl vedroslashrende beskyttelse af personoplysninger
Databeskyttelsesraringdgiveren nyder en saeligrlig beskyttelse mod usaglig afskedi-
gelse og kan ikke afskediges eller sanktioneres for at udfoslashre sine opgaver som
Databeskyttelsesraringdgiver
Dato
20 december 2017
Justitsministeriet
Slotsholmsgade 10
1216 Koslashbenhavn K
Telefon
72 26 84 00
jmjmdk
Eksempler paring tilfaeliglde hvor en databeskyttelsesraringd-
giver kan afskediges
Ikke udfoslashrer sine arbejdsopgaver
Misligholder ansaeligttelsesforholdet
Samarbejdsvanskeligheder
Vejledning om databeskyttelsesraringdgivere
30
ISBN
978-88-98564-35-7
Foto
Scanpix
Vejledning om databeskyttelsesraringdgivere
11
race eller etnisk oprindelse
politisk religioslashs eller filosofisk overbevisning
fagforeningsmaeligssigt tilhoslashrsforhold
behandling af genetisk data eller biometrisk data med det formaringl entydigt at iden-
tificere en fysisk person
helbredsoplysninger
oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering
Oplysninger om strafbare forhold omfatter oplysninger om straffedomme og lovovertraeligdelser
Eksempel ndash skadesforsikringsselskaber
Skadesforsikringsselskaber kan man opdele i de selskaber der behandler foslashlsomme oplysninger
og de selskaber der ikke (eller i begraelignset omfang) behandler foslashlsomme oplysninger
For saring vidt angaringr de selskaber der ikke behandler denne type oplysninger kan naeligvnes special-
selskaber som typisk forsikrer ting (feks glasforsikring) og ikke risiko for personskader Forsik-
ringsselskaber der i begraelignset omfang jf betingelsen ovenfor behandler de omhandlede op-
lysninger vil typisk vaeligre forsikringsselskaber der tegner privatforsikringer herunder eksempelvis
indbo- og bilforsikringer eller erhvervsforsikringer for mindre virksomheder Her indhentes de
naeligvnte oplysninger i forbindelse med tegning af ulykkesforsikringer og ved behandling af per-
sonskader under ulykkesforsikringer
For saring vidt angaringr skadesforsikringsselskaber der opfylder betingelse nr 3 ndash idet de behandler
foslashlsomme oplysninger ndash kan naeligvnes specialiserede rejseforsikringsselskaber for saringvel rejsegods
som syge- og ulykkesforsikringer En betydelig del af disse selskabers forsikringer er personfor-
sikringer hvor der baringde ved tegning og ved behandlingen af personskader (ulykker og syg-
domme) indhentes foslashlsomme oplysninger Endvidere kan sygeforsikringsselskaber som daeligkker
medicin og en raeligkke andre udgifter til helbredelse naeligvnes idet der indhentes helbredsoplysnin-
ger ved optagelses- og refusionssager
Eksempel ndash HR-oplysninger
Virksomheder vil typisk behandle oplysninger om ansattes fagforeningsmaeligssige tilhoslashrsforhold
og helbredsoplysninger i forbindelse med virksomhedens HR-funktion Her er der netop tale om
foslashlsomme oplysninger men det medfoslashrer ikke i sig selv at virksomheden er forpligtet til at udpege
en databeskyttelsesraringdgiver Hertil kraeligves at behandling af personoplysninger er virksomhe-
dens kerneaktivitet og foretages i et stort omfang
Eksempler paring virksomheder der kan
opfylde alle tre betingelser
Privathospitaler
Stoslashrre forsikringssel-
skaber
Tele- eller internetud-
bydere
Marketingsfirma der
udbyder marketingsun-
dersoslashgelser
Eksempler paring virksomheder der blot op-
fylder nogle af betingelserne
Mindre privathospitaler
Mindre forsikringsselskab
Mindre laeliggepraksis
Stoslashrre virksomheder hvor
behandling af personop-
lysninger kun er en biakti-
vitet
Vejledning om databeskyttelsesraringdgivere
12
Eksempel ndash Livs- og pensionsforsikringsselskaberne
Store eller middelstore forsikringsselskaber der dels tegner livs- og pensionsforsikringer for en-
keltpersoner og dels firmapensionsordninger hvor de sikrede er en virksomheds ansatte indhen-
ter og behandler foslashlsomme oplysninger isaeligr helbredsoplysninger ved saringvel tegningindmeldelse
som ved behandlingen af tab af erhvervsevne doslashdsfald sygdom mv Henset til at behandling
af personoplysninger endvidere er disse forsikringsselskabers kerneaktivitet samt at de grundet
stoslashrrelse og geografiske udstraeligkning behandler personoplysningerne i stort omfang vil de som
udgangspunkt skulle udpege en databeskyttelsesraringdgiver
Det bemaeligrkes at det er vigtigt at have sig for oslashje at der er tale om betingelser der alle skal
vaeligre opfyldt Der skal altsaring vaeligre tale om at virksomhedens kerneaktivitet er behandling i stort
omfang af foslashlsomme oplysninger eller oplysninger om strafbart forhold Eller at virksomhedens
kerneaktivitet bestaringr af behandlingsaktiviteter i stort omfang af regelmaeligssig og systematisk over-
varinggning af personer
Virksomheder der ikke er forpligtede til at udpege en databeskyttelsesraringdgiver kan med fordel
dokumentere vurderingen saring denne kan fremvises til Datatilsynet
32 Frivillig udnaeligvnelse af en databeskyttelsesraringdgiver
Private kan under alle omstaeligndigheder frivilligt vaeliglge at udpege en databeskyttelsesraringdgiver
I de tilfaeliglde hvor der frivilligt udpeges en databeskyttelsesraringdgiver gaeliglder de samme krav til
databeskyttelsesraringdgiveren som hvis virksomheden var forpligtet til at udpege en databeskyttel-
sesraringdgiver
Det betyder at kravene til databeskyttelsesraringdgiverens opgaver kvalifikationer stilling beskyt-
telse og inddragelse skal efterleves
Vaeliglger en virksomhed derimod at udpege en medarbejder der feks er compliance-raringdgiver er
virksomheden ikke forpligtet til at efterleve forordningens krav til en databeskyttelsesraringdgiver
33 Faeliglles databeskyttelsesraringdgiver
En koncern har mulighed for at udpege en faeliglles databeskyttelsesraringdgiver for hele koncernen
forudsat at alle etableringer af koncernen har let adgang til databeskyttelsesraringdgiveren
Andre private dataansvarlige og databehandlere end koncerner har ogsaring mulighed for at udpege
en faeliglles databeskyttelsesraringdgiver Et konsulentfirma kan udoslashve funktionen som databeskyttel-
sesraringdgiver for flere dataansvarlige paring samme tid paring baggrund af tjenesteydelseskontrakter
Det er dog en forudsaeligtning for at private kan udpege en faeliglles databeskyttelsesraringdgiver at
databeskyttelsesraringdgiveren kan efterleve forordningens krav til vedkommende naringr opgaven loslash-
Vejledning om databeskyttelsesraringdgivere
13
ses for flere private paring eacuten gang Dette maring i praksis forudsaeligtte at der feks er adgang til at kom-
munikere med databeskyttelsesraringdgiveren paring et sprog som de beroslashrte medarbejdere kan forstaring
Det maring ligeledes forudsaeligtte at der er afsat saringdanne ressourcer til databeskyttelsesraringdgiveren
at det spejler omfanget af de organisationer der skal daeligkkes Der vil derfor i praksis ikke vaeligre
noget til hinder for at feks en virksomhed udpeger en faeliglles databeskyttelsesraringdgiver paring tvaeligrs
af flere stoslashrre koncernforbundne virksomheder naringr blot de ressourcer der afsaeligttes til databe-
skyttelsesraringdgiveren i form af medarbejdere rejsebudget it-understoslashttelse mv i tilstraeligkkelig om-
fang sikrer at databeskyttelsesraringdgiveren kan moslashde sine forpligtelser
34 Opsummering
Der skal rigtig meget til foslashr en privat virksomhed er forpligtet til at udpege en da-
tabeskyttelsesraringdgiver
Helt konkret skal tre betingelser der knytter sig til en virksomheds behandling af
personoplysninger alle vaeligre opfyldt foslashr der en pligt til at udpege en databeskyt-
telsesraringdgiver
Alle virksomheder boslashr foretage en konkret vurdering af om de tre betingelser er
opfyldt Er alle tre betingelser ikke opfyldt skal der ikke udpeges en databeskyt-
telsesraringdgiver
Vejledning om databeskyttelsesraringdgivere
14
4 Offentlige myndigheders forpligtelse til
at udpege en databeskyttelsesraringdgiver
Offentlige myndigheder og offentlige organer skal altid have en databeskyttelsesraringdgiver uanset
om de er dataansvarlige eller databehandlere
41 Hvornaringr skal offentlige myndigheder udpege en databeskyttelsesraringdgiver
I det omfang behandling foretages af en offentlig myndighed eller et offentligt organ skal myndig-
heden eller organet altid have en databeskyttelsesraringdgiver hvad enten de er dataansvarlige eller
databehandlere
Det betyder at der ogsaring skal udpeges en databeskyttelsesraringdgiver hvis den offentlige myndig-
hed eller organ behandler personoplysninger paring vegne af en privat eller selv outsourcer sin da-
tabehandling til en privat som ikke er forpligtet til at udpege en databeskyttelsesraringdgiver Det kan
feks vaeligre tilfaeligldet naringr offentlige myndigheder eller organer vaeliglger at overlade til en anden at
udfoslashre selve den praktiske behandling af personoplysninger paring den dataansvarliges vegne
Den eneste undtagelse hertil er domstole der ikke er forpligtede til at udpege en databeskyttel-
sesraringdgiver naringr de handler i deres egenskab af domstole
42 Hvornaringr er man en offentlig myndighed
De myndigheder der i dansk ret henregnes til den offentlige forvaltning i medfoslashr af forvaltnings-
lovens sect 1 stk 1-2 skal anses for offentlige myndigheder eller organer og er dermed forpligtede
til at udpege en databeskyttelsesraringdgiver Det fremgaringr heraf at foslashlgende virksomheder omfattes
af loven al virksomhed der udoslashves af den offentlige forvaltning og al virksomhed der udoslashves af
selvejende institutioner foreninger fonde mv der er oprettet ved lov eller i henhold til lov og
selvejende institutioner foreninger fonde mv der er oprettet paring privatretligt grundlag og som
udoslashver offentlig virksomhed af mere omfattende karakter og er undergivet intensiv offentlig regu-
lering intensivt offentlig tilsyn og intensiv offentlig kontrol
I forhold til selvejende institutioner mv oprettet paring privatretligt grundlag vil der saringledes vaeligre
nogle som omfattes af kravet om at have en databeskyttelsesraringdgiver mens andre ikke omfattes
Det vil bero paring en konkret vurdering
Selvejende institutioner mv oprettet paring privatretligt grundlag som udoslashver offentlig virksomhed
af mere omfattende karakter og er undergivet intensiv offentlig regulering intensivt offentlig tilsyn
og intensiv offentlig kontrol vil vaeligre omfattet
Det spiller endvidere ind om det offentlige har instruktionsbefoslashjelser over for institutionen om det
offentlige skal godkende institutionens vedtaeliggter og om det offentlige yder sekretariatsbistand
Vejledning om databeskyttelsesraringdgivere
15
til institutionen Herudover maring man se paring om det offentlige skal godkende institutionens regn-
skaber og om institutionens drift og virksomhed er detaljeret reguleret ved regler og retningslinjer
udstedt af det offentlige Endelig kan man tage hensyn til om det offentlige overtager institutio-
nens rettigheder og forpligtelser hvis den nedlaeliggges
Eksempler paring selvejende institutioner mv der er omfattet
- Universiteter
- Institutioner hvor kommunalbestyrelsen har indgaringet overenskomst til opfyldelse af sine forplig-
telser efter lov om social service
- Gymnasieskoler
Eksempler paring selvejende institutioner og foreninger der ikke er omfattet
- Danske Regioner og KL
- Dansk Flygtningehjaeliglp
For saring vidt angaringr statslige og kommunale institutioner der er organiseret i selskabsform feks
som aktieselskab eller interessentskab vil disse umiddelbart aldrig vaeligre omfattet Dette er ogsaring
tilfaeligldet for koncessionerede selskaber og selskaber hvori staten eller en kommune er aktionaeligr
interessent eller lignende uanset om staten eller kommunen ejer selskabet 100 Det har i den
forbindelse ingen betydning hvilke aktiviteter organet udfoslashrer ligesom det ikke i sig selv kan foslashre
til et andet resultat at selskabet maringtte vaeligre oprettet ved lov eller i henhold til lov
Dog er kommunale faeligllesskaber jf sect 60 i lov om kommunernes styrelse hvortil to eller flere
kommuner overfoslashrer opgaver til selvstaeligndig varetagelse altid offentlige myndigheder Det gaeligl-
der uanset at kommunale faeligllesskaber normalt etableres som interessentskaber Det kommu-
nale faeligllesskab er selvstaeligndigt dataansvarligt og skal udpege en databeskyttelsesraringdgiver
Eksempel paring institution der er organiseret i selskabsform der ikke er omfattet
- Staten og Kommunernes Indkoslashbs Service AS
Saringfremt der ikke er tale om en offentlig myndighed eller organ skal bedoslashmmelsen af hvorvidt
man har pligt til at udpege en databeskyttelsesraringdgiver foretages i henhold til betingelserne be-
skrevet ovenfor under punkt 3 vedroslashrende privates forpligtelse til at udpege en databeskyttel-
sesraringdgiver
43 Faeliglles databeskyttelsesraringdgiver for offentlige myndigheder
Flere myndigheder eller organer vil i mange tilfaeliglde kunne have en faeliglles databeskyttelsesraringd-
giver forudsat at det er i overensstemmelse med deres organisatoriske struktur og stoslashrrelse I
den forbindelse kan det vaeligre relevant at overveje om raringdgiveren skal fungere paring baggrund af
eacuten ansaeligttelseskontrakt for to forskellige myndigheder eller to deltidskontrakter
Herudover vil en databeskyttelsesraringdgiver kunne vaeligre ansat paring en deltidskontrakt hos eacuten myn-
dighed og ansat paring baggrund af en tjenesteydelseskontrakt i en anden myndighed eller organi-
sation
Vejledning om databeskyttelsesraringdgivere
16
Saringfremt flere myndigheder har en faeliglles databeskyttelsesraringdgiver er det dog en forudsaeligtning
at databeskyttelsesraringdgiveren kan efterleve kravene i databeskyttelsesforordningen til en data-
beskyttelsesraringdgiver herunder til dennes stilling opgaver uafhaeligngighed og tilgaeligngelighed mv
naringr denne loslashser opgaven for flere myndigheder paring eacuten gang
For saring vidt angaringr tilgaeligngelighed er der ikke et krav om fysisk tilstedevaeligrelse paring alle lokationer
saringfremt der anvendes en faeliglles databeskyttelsesraringdgiver De enkelte myndigheder har i den for-
bindelse mulighed for at aftale hvordan den fysiske tilgaeligngelighed i praksis kan loslashftes herunder
feks ved hjaeliglp af mail telefon internet mm Det er i relation til kravet om tilgaeligngelighed endvi-
dere vaeligrd at bemaeligrke at flere myndigheder som naeligvnt godt kan have en faeliglles raringdgiver men
at databeskyttelsesraringdgiveren skal kunne (naring at) varetage sin raringdgivningsopgave fyldestgoslashrende
for alle de myndigheder for hvilke den paringgaeligldende varetager opgaven som databeskyttelses-
raringdgiver Her kan det bla vaeligre relevant at se paring maeligngden af personoplysninger der behandles
i en given myndighed
I relation til uafhaeligngighedskriteriet bemaeligrkes at det kan vaeligre betaelignkeligt at lade visse myndig-
heder have en faeliglles databeskyttelsesraringdgiver jf nedenfor under afsnittet rdquoEksempel ndash Ministe-
rier og underordnede myndighederrdquo
Der henvises i oslashvrigt til afsnit 5 i denne vejledning
Det er endvidere et krav at der er eacuten der er personligt ansvarlig for hvervet som databeskyttel-
sesraringdgiver
Som foslashlge af kravet om at udpegningen af en faeliglles databeskyttelsesraringdgiver skal vaeligre i over-
ensstemmelse med myndigheden eller organets organisatoriske struktur og stoslashrrelse stilles der
krav til selve ansaeligttelsen af databeskyttelsesraringdgiveren
Den retlige graelignse for at dele en databeskyttelsesraringdgiver vil i et saringdan tilfaeliglde vaeligre de gaeligl-
dende standarder om offentlige ansattes bierhverv de almindelige habilitetsregler og muligheden
for at efterleve kravene i forordningen herunder tilstraeligkkelige ressourcer i forhold til at udfoslashre
hvervet
Vejledning om databeskyttelsesraringdgivere
17
Kommuner
Det antages ikke at vaeligre i overensstemmelse med en offentlig myndigheds struktur eller stoslashr-
relse hvis en databeskyttelsesraringdgiver fungerer paring baggrund af eacuten ansaeligttelseskontrakt i to for-
skellige kommuner Det antages derimod omvendt at vaeligre i overensstemmelse hermed saring-
fremt raringdgiveren udoslashver sin funktion paring baggrund af to deltidskontrakter i to kommuner paring
samme tid
Eksempel ndash En kommune
En kommune vil typisk vaeligre dataansvarlig for alle de behandlinger af personoplysninger som
foretages inden for den kommunale enhedsforvaltning Derfor er en kommune ikke forpligtet til at
udpege eacuten databeskyttelsesraringdgiver for de enkelte forvaltninger men vil kunne udpege eacuten data-
beskyttelsesraringdgiver for hele kommunen
Eksempel ndash organer med selvstaeligndig kompetence paring det kommunale omraringde
Det bemaeligrkes at der paring det kommunale omraringde kan vaeligre organer som ikke er en del af den
kommunale enhedsforvaltning men har selvstaeligndig kompetence paring det kommunale omraringde
feks huslejenaeligvnet ligesom der kan vaeligre kommunale organer som er en del af enhedsforvalt-
ningen der i visse henseender har en ndash i forhold til kommunalbestyrelsen ndash selvstaeligndig kompe-
tence herunder feks skoleledere
Naringr det i lovgivningen er fastsat eller forudsat at disse organer sekretariatsbetjenes af kommu-
nen og kommunen yder sekretariatsbetjening kan organerne have faeliglles databeskyttelsesraringd-
giver med kommunen og er ikke forpligtet til selvstaeligndigt at udpege en databeskyttelsesraringdgiver
ved siden af kommunens Databeskyttelsesraringdgiverens ydelser vil i den forbindelse vaeligre en del
af sekretariatsbetjeningen
Eksempel ndash Flere kommuner
Flere kommuner vil have mulighed for at dele en databeskyttelsesraringdgiver Som udgangspunkt
vurderes det at feks en gennemsnitskommune paring omkring 45000 indbyggere godt vil kunne
dele en databeskyttelsesraringdgiver med en anden tilsvarende eller en mindre kommune eller at en
lidt stoslashrre kommune vil kunne dele med en mindre kommune hvis databeskyttelsesraringdgiveren
Eksempel - Rigspolitiets databeskyttelsesenhed
Rigspolitiet har udpeget en faeliglles databeskyttelsesraringdgiver for landets 12
politikredse og Rigspolitiet for saring vidt angaringr behandlingen af personoplys-
ninger til brug for retsharingndhaeligvelsesformaringl
Den faeliglles databeskyttelsesraringdgiver understoslashttes i den forbindelse af en cen-
tral datebeskyttelsesenhed i Rigspolitiet hvor de enkelte medarbejdere be-
sidder stort kendskab til persondateretlige og forretningsmaeligssige forhold
med relevans for enhedens opgavevaretagelse Paring denne baggrund kan da-
tabeskyttelsesraringdgiveren samlet set leve op til sine forpligtelser som databe-
skyttelsesraringdgiver i medfoslashr af lov om retsharingndhaeligvende myndigheders be-
handling af personoplysninger som er lig dem der foslashlger af databeskyttel-
sesforordningen
Vejledning om databeskyttelsesraringdgivere
18
samlet set vurderes at kunne varetage opgaverne som databeskyttelsesraringdgiver Der skal saringle-
des foretages en konkret vurdering i det enkelte tilfaeliglde idet det afgoslashrende er om man som
databeskyttelsesraringdgiver kan efterleve sin funktion retmaeligssigt naringr funktionen udoslashves for flere
kommuner paring samme tid
Herudover vil to eller flere kommuner kunne oprette et kommunalt faeligllesskab til hvilket de garingr
sammen om at loslashse opgaven som databeskyttelsesraringdgiver i de deltagende kommuner
Eksempel - Regioner
En region vil typisk ogsaring vaeligre dataansvarlig for alle de behandlinger af personoplysninger der
foretages inden for regionen herunder drift af hospitaler forskning og sociale tilbud mv Hver
region vil som udgangspunkt kunne udpege eacuten databeskyttelsesraringdgiver
Eksempel - Ministerier og underordnede myndigheder
Departementer og underordnede myndigheder kan have en faeliglles databeskyttelsesraringdgiver
Dog kan der vaeligre hindringer som feks myndighedens stoslashrrelse der bevirker at man ikke kan
dele en databeskyttelsesraringdgiver Som eksempel herparing kan naeligvnes Justitsministeriet og politiet
der ikke kan have en faeliglles raringdgiver
Det skyldes at politiet anses for at vaeligre saring stor en enhed at en faeliglles databeskyttelsesraringdgiver
ikke vil kunne efterleve kravene til en databeskyttelsesraringdgiver (om bla tilgaeligngelighed) hvis
denne baringde skulle udfoslashre sin opgave for politiet som helhed og med andre myndigheder under
Justitsministeriets ressort
Dog vil politiet ndash i en ordning svarende til den ovenfor beskrevne paring retsharingndhaeligvelsesomraringdet ndash
kunne have en faeliglles databeskyttelsesraringdgiver under forordningen der udfoslashrer sin funktion for
alle politikredse
Det bemaeligrkes endvidere at forordningens krav om uafhaeligngighed skal vaeligre opfyldt for alle de
myndigheder der deler en databeskyttelsesraringdgiver
I den forbindelse ndash samt i relation til en underordnet myndigheds eventuelt saeligrlige uafhaeligngighed
ift den overordnede myndighed ndash kan der vaeligre visse situationer hvor det kan vaeligre betaelignkeligt
at lade en underordnet myndighed dele databeskyttelsesraringdgiver med et departement
Som eksempel herparing kan naeligvnes Datatilsynet og Justitsministeriets departement Dette er bla
henset til Datatilsynets funktionelle uafhaeligngighed i forhold til Justitsministeriet samt tilsynets spe-
cielle kompetence og rolle i forhold til databeskyttelsesforordningen Som et andet eksempel kan
naeligvnes Ankestyrelsens relation til (paring nuvaeligrende tidspunkt) Oslashkonomi- og Indenrigsministeriets
departement Her kan bla peges paring maeligngden og karakteren af data som behandles i Ankesty-
relsen samt styrelsens faglige uafhaeligngighed af departementet
Organisatoriske aeligndringer kan ogsaring bevirke at det i visse situationer ndash af praktiske aringrsager ndash
kan vaeligre mere oplagt for en underordnet myndighed at have sin egen databeskyttelsesraringdgiver
fremfor at dele med sit departement Hvis en underordnet myndighed saringledes har sin egen data-
beskyttelsesraringdgiver kan denne blot fortsaeligtte under samme kontrakt vilkaringr mv uanset at en
Vejledning om databeskyttelsesraringdgivere
19
myndighed efter eksempelvis et regeringsskifte organisatorisk placeres under et andet ministe-
rium
Eksempel - Selvejende institutioner
I det omfang selvejende institutioner kan anses for en offentlig myndighed eller et organ vil disse
myndigheder ogsaring have mulighed for at udpege en faeliglles databeskyttelsesraringdgiver med en an-
den selvejende institution omfattet af samme lovgivning eller feks den kommune som institutio-
nen har driftsoverenskomst med i det omfang kommunen yder sekretariatsbistand til institutio-
nen
44 Opsummering
Alle offentlige myndigheder og organer skal udpege en databeskyttelsesraringdgiver
fra den 25 maj 2018
Det er i hoslashj grad muligt at udpege en faeliglles databeskyttelsesraringdgiver der funge-
rer paring vegne af flere myndigheder paring eacuten gang
Muligheden for at have en faeliglles databeskyttelsesraringdgiver begraelignses af at
denne skal kunne leve op til sine forpligtelser efter databeskyttelsesforordningen
Databeskyttelsesraringdgiveren kan understoslashttes af en enhed for at kunne udfoslashre sit
hverv i overensstemmelse med forordningens krav Dette gaeliglder uanset om da-
tabeskyttelsesraringdgiveren fungerer for eacuten myndighed eller for flere myndigheder
og organer
Vejledning om databeskyttelsesraringdgivere
20
5 Databeskyttelsesraringdgiveren
51 Krav til faglige kvalifikationer
En databeskyttelsesraringdgiver skal udpeges paring baggrund af sine faglige kvalifikationer Dette
gaeliglder navnlig evnen til at udfoslashre sine opgaver som databeskyttelsesraringdgiver og ekspertise in-
den for databeskyttelsesret- og praksis
Der er ikke krav om at en databeskyttelsesraringdgiver skal have en bestemt uddannelsesmaeligssig
baggrund feks som jurist
Dermed er det op til den enkelte organisation at vurdere hvem der er bedst egnet til at varetage
stillingen som databeskyttelsesraringdgiver
Kravene til stillingen afhaelignger til en vis grad af kompleksiteten af den behandling af personop-
lysninger som den paringgaeligldende organisation foretager Dermed kan der for nogen organisatio-
ner vaeligre behov for at ansaeligtte en databeskyttelsesraringdgiver med stor erfaring inden for feltet og
i andre tilfaeliglde kan en eksisterende medarbejder paring baggrund af diverse kurser varetage funkti-
onen
Hvis der udpeges en databeskyttelsesraringdgiver fra egen organisation kan det med fordel vaeligre
en person som i forvejen har et vist kendskab til eller indsigt i haringndtering af databeskyttelses-
retlige sposlashrgsmaringl i organisationen
52 Hvem kan vaeligre databeskyttelsesraringdgiver
Som udgangspunkt kan alle som organisationen finder kvalificeret til at vaeligre databeskyttelses-
raringdgiver varetage funktionen
Foslashlgende kan derfor vaeligre databeskyttelsesraringdgivere
En intern medarbejder
En faeliglles databeskyttelsesraringdgiver for hele eller flere organisationer
En ekstern databeskyttelsesraringdgiver
Intern medarbejder
En organisation kan vaeliglge at udpege en eksisterende medarbejder som databeskyttelsesraringdgi-
ver
Det er ikke et krav at den medarbejder der varetager funktionen som databeskyttelsesraringdgiver
udoslashver sin funktion paring fuld tid
Vejledning om databeskyttelsesraringdgivere
21
Dermed kan en intern medarbejder der varetager funktionen som databeskyttelsesraringdgiver ud-
foslashre andre opgaver og have andre pligter i organisationen
Saringledes kan en medarbejder der feks arbejder i IT-sektionen i en organisation godt varetage
funktionen som databeskyttelsesraringdgiver paring deltid eller 10 timer om ugen alt efter behovet i
den enkelte organisation
Det afgoslashrende er at den paringgaeligldende medarbejder fyldestgoslashrende kan udoslashve sit erhverv som
databeskyttelsesraringdgiver i organisationen
Den person der udpeges kan med fordel vaeligre en person som i forvejen har et vist kendskab
til eller indsigt i haringndtering af databeskyttelsesretlige sposlashrgsmaringl i organisationen
Selve vurderingen af hvor meget tid en medarbejder skal bruge paring fyldestgoslashrende at kunne ef-
terleve kravene til en databeskyttelsesraringdgiver i organisationen afhaelignger af en konkret vurde-
ring af behovet hos organisationen
Interne ansatte der ikke kan vaeligre databeskyttelsesraringdgiver
En databeskyttelsesraringdgiver skal baringde vaeligre uafhaeligngig og vaeligre i stand til at udoslashve uvildig raringd-
givning til organisationen
Derfor kan en databeskyttelsesraringdgiver ikke vaeligre den oslashverste IT-ansvarlige eller oslashverste HR-
ansvarlige i en organisation
Eksempel ndash virksomhed med faring ansatte
Virksomheder med faring ansatte herunder feks enkeltmandsvirksomheder vil have svaeligrt ved at
opfylde betingelsen om at en databeskyttelsesraringdgiver ikke kan vaeligre oslashverste IT-ansvarlige eller
oslashverste HR-ansvarlige i en organisation (forudsat at virksomheden i oslashvrigt opfylder betingelserne
for hvornaringr private skal udpege en databeskyttelsesraringdgiver jf naeligrmere om privates forpligtelse
under punkt 3) I en saringdan situation kan virksomheden enten benytte sig af muligheden for at
udpege en faeliglles databeskyttelsesraringdgiver eller anvende en konsulent til opgaven
Databeskyttelsesraringdgiverenhed
Der kan ogsaring udpeges eacuten databeskyttelsesraringdgiver for den paringgaeligldende organisation som un-
derstoslashttes af en enhed saring den paringgaeligldende kan leve op til sine forpligtelser efter forordningen jf
den ovenfor beskrevne ordning for politiet
Faeliglles databeskyttelsesraringdgiver
Saringvel private som offentlige myndigheder kan udpege en faeliglles databeskyttelsesraringdgiver af-
haeligngig af deres struktur og stoslashrrelse
Medarbejdere som ikke har det oslashverste ansvar kan vaeligre databe-
skyttelsesraringdgivere Det betyder at ledende IT-medarbejdere
compliance-officerer eller en it-sikkerheds koordinator mv kan
udoslashve funktionen som databeskyttelsesraringdgiver i organisationen
Vejledning om databeskyttelsesraringdgivere
22
Ekstern medarbejder
Man kan ogsaring vaeliglge at udpege en ekstern databeskyttelsesraringdgiver Dette kan enten vaeligre en
raringdgiver (konsulentvirksomhed) saringsom en bestemt advokat eller revisor eller andre kvalifice-
rede eksterne parter Udoslashvelsen af hvervet som databeskyttelsesraringdgiver vil dog i sagens natur
alene kunne udoslashves i det omfang dette er foreneligt med eventuelle regler ndash herunder etiske
krav ndash for den relevante type af raringdgivervirksomhed mv
53 Databeskyttelsesraringdgiverens opgaver
Databeskyttelsesraringdgiveren funktion bestaringr i at raringdgive den dataansvarlige og hjaeliglpe med at
organisationen efterlever de databeskyttelsesretlige regler
En databeskyttelsesraringdgiver skal desuden prioritere sine opgaver og fokusere paring de behandlin-
ger af personoplysninger i den paringgaeligldende organisation som konkret indebaeligrer en hoslashjere ri-
siko for brud paring de databeskyttelsesretlige regler Dog skal oslashvrige databeskyttelsesretlige omraring-
der som indebaeligrer en lavere grad af risiko ikke undlades
Der er en raeligkke opgaver som databeskyttelsesraringdgiveren som minimum skal varetage Der er
dog ikke noget til hinder for at der overlades flere opgaver til databeskyttelsesraringdgiveren Da-
tabeskyttelsesraringdgiverens rolle som central raringdgivningsfigur i organisationen samt dennes op-
gaver kan med fordel beskrives naeligrmere i en (ansaeligttelses)aftale
Nedenfor foslashlger en naeligrmere beskrivelse af de opgaver som databeskyttelsesraringdgiveren som
minimum skal varetage i en organisation
Underrette og raringdgive organisationen og de ansatte om databeskyttelse
Det indebaeligrer
Konkret raringdgivning om beskyttelse af personoplysninger i organisationen samt
overvejelser og beslutninger om hvordan compliance sikres mv feks i forbin-
delse med foslashlgende
Organisationens indkoslashb af nyt IT-system
kravsspecifikationer til leverandoslashrer
udarbejdelse af organisationens data-politikker
ivaeligrksaeligttelse af behandling af personoplysninger
overvejelser om hvorvidt en given behandling af personoplysninger over-
holder de generelle behandlingsregler
Staring til raringdighed for ansatte samt ledelsen i organisationen vedroslashrende sposlashrgsmaringl
om databeskyttelse
Vejledning om databeskyttelsesraringdgivere
23
Raringdgivning i forbindelse med udarbejdelse af organisationens konsekvensanaly-
ser jf afsnit 3 nedenfor
Modtage underretning om og raringdgive organisationen i forbindelse med brud paring
persondatasikkerheden
Overvaringge overholdelsen af de databeskyttelsesretlige regler i organisationen
Det indebaeligrer bla ogsaring at overvaringge
organisationens politikker om databeskyttelse
uddannelse af personale i databeskyttelse
oplysningskampagner
fordeling af ansvar
revisioner
Det skal hertil bemaeligrkes at databeskyttelsesraringdgiverens opgave med at overvaringge overholdel-
sen af de databeskyttelsesretlige regler i organisationen ikke medfoslashrer at raringdgiveren overtager
selve ansvaret for at behandlingen af personoplysninger sker i overensstemmelse med reg-
lerne Dette ansvar ligger fortsat hos den dataansvarlige
Raringdgivning i forbindelse med udarbejdelse af organisationens konsekvensanalyser
I visse tilfaeliglde skal organisationer udarbejde en konsekvensanalyse af en planlagt behandling
af personoplysninger
I de tilfaeliglde hvor en organisation har udpeget en databeskyttelsesraringdgiver skal denne raringdfoslash-
res naringr der foretages en konsekvensanalyse
Herudover skal databeskyttelsesraringdgiveren raringdgive med hensyn til konsekvensanalysen naringr
der anmodes herom
Som led i overvaringgningsopgaven kan databeskyttel-
sesraringdgiveren foretage foslashlgende
indsamle oplysninger til at identificere
behandlingsaktiviteter
informere raringdgive og komme med an-
befalinger til den dataansvarlige og da-
tabehandleren
Vejledning om databeskyttelsesraringdgivere
24
I tilfaeliglde af uenighed mellem organisationen og databeskyttelsesraringdgiveren anbefales det at
det specifikt fremgaringr af selve konsekvensanalysen hvorfor databeskyttelsesraringdgiverens indstil-
ling ikke er blevet fulgt
Samarbejde med Datatilsynet paring vegne af organisationen
En organisation er forpligtet til at hoslashre Datatilsynet inden behandling hvis en konsekvensana-
lyse vedroslashrende databeskyttelse viser at behandlingen af personoplysninger vil foslashre til hoslashj ri-
siko i mangel af foranstaltninger truffet af organisation for at begraelignse risikoen
Det foslashlger af forordningen at databeskyttelsesraringdgiveren skal samarbejde med tilsynsmyndig-
heden og fungere som tilsynsmyndighedens kontaktperson Det kan feks vaeligre databeskyttel-
sesraringdgiveren der paring vegne af den dataansvarlige hoslashrer tilsynsmyndigheden
Vaeligre kontaktpunkt for tilsynsmyndigheden (Datatilsynet) angaringende alle sposlashrgsmaringl om behand-
ling af personoplysninger for de personer der behandles oplysninger om
Databeskyttelsesraringdgiveren skal inddrages af den dataansvarlige i tilfaeliglde af at konkrete kla-
gesager indbringes for Datatilsynet Databeskyttelsesraringdgiveren boslashr ligeledes orienteres naringr
Datatilsynet beslutter at gennemfoslashre et eventuelt tilsyn af den dataansvarlige
Herudover skal databeskyttelsesraringdgiveren ogsaring vaeligre i stand til at vejlede den person der be-
handles personoplysninger om Det betyder at databeskyttelsesraringdgiveren skal vaeligre i stand til
at vejlede om hvilke rettigheder den paringgaeligldende har og hvordan de kan udnyttes
Det indebaeligrer endvidere at den dataansvarlige skal give meddelelse om kontaktoplysninger paring
databeskyttelsesraringdgiveren
Det anbefales i oslashvrigt at organisationen i en funktionsbeskrivelse klart definerer hvilke opgaver
der paringhviler databeskyttelsesraringdgiveren En funktionsbeskrivelse vil goslashre det tydeligt hvornaringr
Raringdgivning i forhold til konsekvensanalyser kan bla indebaeligre raringdgiv-
ning vedroslashrende
om der skal gennemfoslashres en konsekvensanalyse
hvilken fremgangsmaringde der skal anvendes ved gennemfoslash-
relse af konsekvensanalysen
om konsekvensanalysen kan gennemfoslashres internt eller om
gennemfoslashrelsen kraeligver antagelse af ekstern bistand
hvilke sikkerhedsforanstaltninger (tekniske og organisatori-
ske) som skal anvendes for at begraelignse risici i forhold til
de registreredes rettigheder og interesser
om konsekvensanalysen er korrekt gennemfoslashrt og om
dens konklusioner er i overensstemmelse med de databe-
skyttelsesretlige regler
Vejledning om databeskyttelsesraringdgivere
25
den paringgaeligldende virker som databeskyttelsesraringdgiver og i denne egenskab ikke kan instrueres
Det vil samtidig blive tydeligt hvornaringr den paringgaeligldende udfoslashrer andre opgaver i sit ordinaeligre an-
saeligttelsesforhold i organisationen
54 Krav til organisationen ndash rettidig og tilstraeligkkelig inddragelse af databeskyt-
telsesraringdgiveren
En organisation skal sikre at databeskyttelsesraringdgiveren inddrages tilstraeligkkeligt og rettidigt i
alle sposlashrgsmaringl vedroslashrende beskyttelse af personoplysninger En saringdan inddragelse boslashr ogsaring
ske paring oslashverste ledelsesmaeligssige niveau (feks ved deltagelse paring direktions- og ledelsesmoslashder)
Det anbefales at organisationen implementerer procedurer som sikrer dette
I hvilke tilfaeliglde skal databeskyttelsesraringdgiveren inddrages
Databeskyttelsesraringdgiveren skal inddrages i alle de overvejelser og vurderinger som organisa-
tionen goslashr sig for at overholde kravene i databeskyttelsesforordningen databeskyttelsesloven
og oslashvrige regler for behandling af personoplysninger
Eksempel paring sposlashrgsmaringl hvor databeskyttelsesraringdgiveren boslashr inddrages
ved overvejelser og beslutninger om hvordan organisationens compliance med
databeskyttelsesreglerne sikres
ved overvejelser i forbindelse med datasikkerhed herunder databeskyttelse gen-
nem design og standardindstillinger og
ved udarbejdelse af konsekvensanalyser
Saringfremt databeskyttelsesraringdgiveren udpeges foslashr den 25 maj 2018 kan denne inddrages i or-
ganisationens implementering af de krav der foslashlger af forordningen
Eksempel paring sposlashrgsmaringl hvor databeskyttelsesraringdgiveren ikke
skal inddrages
Konkrete vurderinger ift registreredes rettigheder
feks anmodning paring indsigt ret til at blive glemt
mv
Deltagelse i mindre praktiske eller almindelige
driftsopgaver eller driftsmaeligssige sposlashrgsmaringl knyt-
tet til opsaeligtning af it-systemer
Udarbejdelse af konkrete databehandleraftaler
Behandling af personoplysninger der finder sted i
overensstemmelse med interne regler som den da-
taansvarlige har fastsat forudsat at disse regler er
fastsat under inddragelse af databeskyttelsesraringdgi-
veren
Vejledning om databeskyttelsesraringdgivere
26
Hvordan skal databeskyttelsesraringdgiveren inddrages
For at sikre at databeskyttelsesraringdgiveren inddrages tilstraeligkkeligt og rettidigt er organisationen
forpligtet til at holde databeskyttelsesraringdgiveren tilstraeligkkeligt og rettidigt orienteret om alle
sposlashrgsmaringl om beskyttelse af personoplysninger
Som tommelfingerregel skal databeskyttelsesraringdgiveren have mulighed for at vurdere overhol-
delsen af de databeskyttelsesretlige regler og komme med bemaeligrkninger eller lignende inden
en behandling af personoplysninger igangsaeligttes
Hvornaringr er inddragelsen rettidig
Databeskyttelsesraringdgiveren skal inddrages i saring god tid som det er muligt forud for ivaeligrksaeligttel-
sen af behandling af personoplysninger
Det er afgoslashrende at databeskyttelsesraringdgiveren inddrages i tide til at kunne foretage en reel
vurdering af om den paringtaelignkte behandling af personoplysninger er i overensstemmelse med de
databeskyttelsesretlige regler og dermed kan komme med kvalificerede bemaeligrkninger herom
med henblik paring at raringdgive organisationen
Eksempler paring rettidig inddragelse
Inddrages forud for beslutning om noslashdvendige
foranstaltninger i IT-systemer for at efterleve kra-
vene om databeskyttelse gennem design og stan-
dardindstillinger
Inddrages forud for udstedelse af retningslinjer og
procedurer for hvordan de databeskyttelsesret-
lige regler skal overholdes i organisationen
Inddragelse foslashr offentliggoslashrelse af udbudsmateri-
ale i en udbudsproces eller lignende
Eksempler paring ikke-rettidig inddragelse
Inddragelse af databeskyttelsesraringdgiveren efter
et nyt IT-system er faeligrdigudviklet
Inddragelse af databeskyttelsesraringdgiveren efter
indkoslashb af IT-systemer (dermed ikke en del af
overvejelserne vedr kravspecifikation og databe-
skyttelse gennem design og standardindstillin-
ger)
Inddragelse af databeskyttelsesraringdgiveren efter
at en konsekvensanalyse er udarbejdet
Inddragelse af databeskyttelsesraringdgiveren efter
stoslashrre aeligndringer i organisationens procedurer
der vedroslashrer databeskyttelse saringsom haringndtering
af anmodninger fra registrerede personer
Vejledning om databeskyttelsesraringdgivere
27
Behandlingsaktiviteter igangsat foslashr en databeskyttelsesraringdgiver udpeges
Naringr en organisation udpeger en databeskyttelsesraringdgiver vil der selvsagt vaeligre behandlinger af
personoplysninger der allerede er igangsat i organisationen
Databeskyttelsesraringdgiveren boslashr ved udpegelsen primaeligrt have fokus paring de fremadrettede com-
pliance aktiviteter Derudover kan databeskyttelsesraringdgiveren ndash ud fra en risikovurdering i for-
hold til de behandlinger som konkret indebaeligrer hoslashjere risiko ndash inddrages i organisationens
overvejelser om hvorvidt de igangvaeligrende aktiviteter overholder de databeskyttelsesretlige
regler
Hvornaringr er inddragelsen tilstraeligkkelig
Der skal ske en reel inddragelse af databeskyttelsesraringdgiveren i organisationens overvejelser
og beslutninger vedroslashrende databeskyttelse
Det indebaeligrer at organisationen skal inddrage og tage hoslashjde for databeskyttelsesraringdgiverens
bemaeligrkninger og raringdgivning i oslashvrigt samt dennes rapportering til oslashverste ledelsesniveau om
overholdelse af de databeskyttelsesretlige regler
Saringfremt databeskyttelsesraringdgiverens raringdgivning ikke foslashlges anbefales det at organisationen
dokumenterer dette i overensstemmelse med kravet om accountability
Ressourcer og adgang
Ressourcer
For at databeskyttelsesraringdgiveren rent faktisk kan udfoslashre sine opgaver er det noslashdvendigt at
organisationens tilvejebringer de noslashdvendige ressourcer til stoslashtte for databeskyttelsesraringdgive-
ren
Det er endvidere et krav at organisationen tilvejebringer de fornoslashdne ressourcer for at databe-
skyttelsesraringdgiveren kan opretholde sin ekspertise inden for omraringdet
Fastsaeligttelsen af de fornoslashdne ressourcer beror paring en konkret vurdering som afhaelignger af de
organisatoriske forhold i organisationen saringsom stoslashrrelsen antallet af behandlingsaktiviteter
kompleksiteten af behandlingen af personoplysninger samt de forbundne risici
Jo stoslashrre en organisation er des stoslashrre er behovet for ressourcer til stoslashtte for databeskyttelses-
raringdgiveren
Selve behovet for ressourcer beror paring en konkret vurde-
ring som organisationen er ansvarlig for at foretage
Som eksempler paring fornoslashdne ressourcer kan naeligvnes
Faciliteter og arbejdsredskaber
Oslashkonomiske ressourcer
Personaleressourcer og lignende
Vejledning om databeskyttelsesraringdgivere
28
Adgang
Databeskyttelsesraringdgiveren skal ogsaring have adgang til organisationens personoplysninger og
den behandling af disse som organisationen foretager
Der skal vaeligre tale om en vid adgang som kan tilvejebringes efter behov
Uafhaeligngighed
Det er et grundlaeligggende krav at en databeskyttelsesraringdgiver ikke maring blive instrueret af andre
om hvordan raringdgiveren skal udfoslashre sine opgaver Der gaeliglder saringledes foslashlgende for databeskyt-
telsesraringdgiveren
Maring ikke som led i sin funktion som databeskyttelsesraringdgiver modtage instruks om
hvordan denne skal udfoslashre sine opgaver (eller feks om en bestemt vurdering el-
ler fortolkning af forordningen)
Maring ikke afskediges eller sanktioneres for at udfoslashre sine opgaver
Rapporterer direkte til oslashverste ledelsesniveau
Databeskyttelsesraringdgiverens interne reaktionsmuligheder er i praksis taeligt forbundne med at
ovenstaringende krav til uafhaeligngighed efterleves Idet en databeskyttelsesraringdgiver ikke har instruk-
tionsbefoslashjelser over for andre dele af den dataansvarliges organisation er det i praksis mulighe-
den for at kunne rapportere direkte til oslashverste ledelsesniveau der er raringdgiverens interne virke-
middel overfor konstaterede brud paring forordningen
Hvor det oslashverste ledelsesniveau er afhaelignger af organiseringen hos den konkrete dataansvarlige
eller databehandleren
I forhold til det private erhvervsliv fremgaringr det af selskabsloven at det er bestyrelsen der er det
centrale eller oslashverste ledelsesorgan i selskaber der baringde har en bestyrelse og en direktion Naringr
der i databeskyttelsesforordningen henvises til det oslashverste ledelsesniveau maring det i det private
forstarings i relation til den daglige drift og dermed direktionen saringfremt selskabet har baringde en besty-
relse og en direktion Det vil i praksis betyde at direktionen skal orientere bestyrelsen om vaelig-
sentlige forhold som paringpeges af databeskyttelsesraringdgiveren
For statslige myndigheder maring den oslashverste ledelse forstarings som den oslashverste administrative le-
delse
For saring vidt angaringr kommuner og regioner gaeliglder at databeskyttelsesraringdgiveren rapporterer di-
rekte til kommunalbestyrelsen henholdsvis regionsraringdet Denne rapportering forelaeliggges for kom-
munalbestyrelsen henholdsvis regionsraringdet uden den forudgaringende udvalgsbehandling som de
kommunale og regionale sager ellers normalt skal undergives Dette udelukker dog ikke at en
kommune kan indhente en erklaeligring fra oslashkonomiudvalget forinden forelaeligggelse for kommunal-
bestyrelsen
55 Beskyttelse af databeskyttelsesraringdgiveren
Funktionen som databeskyttelsesraringdgiver er beskyttet ved et forbud mod at kunne blive afskedi-
get for udfoslashrelse af opgaverne som databeskyttelsesraringdgiver
Vejledning om databeskyttelsesraringdgivere
29
Usaglig afskedigelse af en databeskyttelsesraringdgiver er sanktioneret med en boslashde
Databeskyttelsesraringdgiveren vil kunne afskediges paring et sagligt grundlag efter almindelige ansaeligt-
telsesretlige regler
56 Opsummering
En databeskyttelsesraringdgiver udpeges paring baggrund af sine faglige kvalifikationer
Databeskyttelsesraringdgiveren kan baringde vaeligre en intern medarbejder en faeliglles da-
tabeskyttelsesraringdgiver for hele eller flere organisationer eller en ekstern databe-
skyttelsesraringdgiver
Databeskyttelsesraringdgiveren har en raeligkke opgaver denne som minimum skal va-
retage Derudover anbefales det at man klart definerer hvilke opgaver der paringhvi-
ler databeskyttelsesraringdgiveren
En organisation skal rettidig og tilstraeligkkelig inddrage databeskyttelsesraringdgiveren
i alle sposlashrgsmaringl vedroslashrende beskyttelse af personoplysninger
Databeskyttelsesraringdgiveren nyder en saeligrlig beskyttelse mod usaglig afskedi-
gelse og kan ikke afskediges eller sanktioneres for at udfoslashre sine opgaver som
Databeskyttelsesraringdgiver
Dato
20 december 2017
Justitsministeriet
Slotsholmsgade 10
1216 Koslashbenhavn K
Telefon
72 26 84 00
jmjmdk
Eksempler paring tilfaeliglde hvor en databeskyttelsesraringd-
giver kan afskediges
Ikke udfoslashrer sine arbejdsopgaver
Misligholder ansaeligttelsesforholdet
Samarbejdsvanskeligheder
Vejledning om databeskyttelsesraringdgivere
30
ISBN
978-88-98564-35-7
Foto
Scanpix
Vejledning om databeskyttelsesraringdgivere
12
Eksempel ndash Livs- og pensionsforsikringsselskaberne
Store eller middelstore forsikringsselskaber der dels tegner livs- og pensionsforsikringer for en-
keltpersoner og dels firmapensionsordninger hvor de sikrede er en virksomheds ansatte indhen-
ter og behandler foslashlsomme oplysninger isaeligr helbredsoplysninger ved saringvel tegningindmeldelse
som ved behandlingen af tab af erhvervsevne doslashdsfald sygdom mv Henset til at behandling
af personoplysninger endvidere er disse forsikringsselskabers kerneaktivitet samt at de grundet
stoslashrrelse og geografiske udstraeligkning behandler personoplysningerne i stort omfang vil de som
udgangspunkt skulle udpege en databeskyttelsesraringdgiver
Det bemaeligrkes at det er vigtigt at have sig for oslashje at der er tale om betingelser der alle skal
vaeligre opfyldt Der skal altsaring vaeligre tale om at virksomhedens kerneaktivitet er behandling i stort
omfang af foslashlsomme oplysninger eller oplysninger om strafbart forhold Eller at virksomhedens
kerneaktivitet bestaringr af behandlingsaktiviteter i stort omfang af regelmaeligssig og systematisk over-
varinggning af personer
Virksomheder der ikke er forpligtede til at udpege en databeskyttelsesraringdgiver kan med fordel
dokumentere vurderingen saring denne kan fremvises til Datatilsynet
32 Frivillig udnaeligvnelse af en databeskyttelsesraringdgiver
Private kan under alle omstaeligndigheder frivilligt vaeliglge at udpege en databeskyttelsesraringdgiver
I de tilfaeliglde hvor der frivilligt udpeges en databeskyttelsesraringdgiver gaeliglder de samme krav til
databeskyttelsesraringdgiveren som hvis virksomheden var forpligtet til at udpege en databeskyttel-
sesraringdgiver
Det betyder at kravene til databeskyttelsesraringdgiverens opgaver kvalifikationer stilling beskyt-
telse og inddragelse skal efterleves
Vaeliglger en virksomhed derimod at udpege en medarbejder der feks er compliance-raringdgiver er
virksomheden ikke forpligtet til at efterleve forordningens krav til en databeskyttelsesraringdgiver
33 Faeliglles databeskyttelsesraringdgiver
En koncern har mulighed for at udpege en faeliglles databeskyttelsesraringdgiver for hele koncernen
forudsat at alle etableringer af koncernen har let adgang til databeskyttelsesraringdgiveren
Andre private dataansvarlige og databehandlere end koncerner har ogsaring mulighed for at udpege
en faeliglles databeskyttelsesraringdgiver Et konsulentfirma kan udoslashve funktionen som databeskyttel-
sesraringdgiver for flere dataansvarlige paring samme tid paring baggrund af tjenesteydelseskontrakter
Det er dog en forudsaeligtning for at private kan udpege en faeliglles databeskyttelsesraringdgiver at
databeskyttelsesraringdgiveren kan efterleve forordningens krav til vedkommende naringr opgaven loslash-
Vejledning om databeskyttelsesraringdgivere
13
ses for flere private paring eacuten gang Dette maring i praksis forudsaeligtte at der feks er adgang til at kom-
munikere med databeskyttelsesraringdgiveren paring et sprog som de beroslashrte medarbejdere kan forstaring
Det maring ligeledes forudsaeligtte at der er afsat saringdanne ressourcer til databeskyttelsesraringdgiveren
at det spejler omfanget af de organisationer der skal daeligkkes Der vil derfor i praksis ikke vaeligre
noget til hinder for at feks en virksomhed udpeger en faeliglles databeskyttelsesraringdgiver paring tvaeligrs
af flere stoslashrre koncernforbundne virksomheder naringr blot de ressourcer der afsaeligttes til databe-
skyttelsesraringdgiveren i form af medarbejdere rejsebudget it-understoslashttelse mv i tilstraeligkkelig om-
fang sikrer at databeskyttelsesraringdgiveren kan moslashde sine forpligtelser
34 Opsummering
Der skal rigtig meget til foslashr en privat virksomhed er forpligtet til at udpege en da-
tabeskyttelsesraringdgiver
Helt konkret skal tre betingelser der knytter sig til en virksomheds behandling af
personoplysninger alle vaeligre opfyldt foslashr der en pligt til at udpege en databeskyt-
telsesraringdgiver
Alle virksomheder boslashr foretage en konkret vurdering af om de tre betingelser er
opfyldt Er alle tre betingelser ikke opfyldt skal der ikke udpeges en databeskyt-
telsesraringdgiver
Vejledning om databeskyttelsesraringdgivere
14
4 Offentlige myndigheders forpligtelse til
at udpege en databeskyttelsesraringdgiver
Offentlige myndigheder og offentlige organer skal altid have en databeskyttelsesraringdgiver uanset
om de er dataansvarlige eller databehandlere
41 Hvornaringr skal offentlige myndigheder udpege en databeskyttelsesraringdgiver
I det omfang behandling foretages af en offentlig myndighed eller et offentligt organ skal myndig-
heden eller organet altid have en databeskyttelsesraringdgiver hvad enten de er dataansvarlige eller
databehandlere
Det betyder at der ogsaring skal udpeges en databeskyttelsesraringdgiver hvis den offentlige myndig-
hed eller organ behandler personoplysninger paring vegne af en privat eller selv outsourcer sin da-
tabehandling til en privat som ikke er forpligtet til at udpege en databeskyttelsesraringdgiver Det kan
feks vaeligre tilfaeligldet naringr offentlige myndigheder eller organer vaeliglger at overlade til en anden at
udfoslashre selve den praktiske behandling af personoplysninger paring den dataansvarliges vegne
Den eneste undtagelse hertil er domstole der ikke er forpligtede til at udpege en databeskyttel-
sesraringdgiver naringr de handler i deres egenskab af domstole
42 Hvornaringr er man en offentlig myndighed
De myndigheder der i dansk ret henregnes til den offentlige forvaltning i medfoslashr af forvaltnings-
lovens sect 1 stk 1-2 skal anses for offentlige myndigheder eller organer og er dermed forpligtede
til at udpege en databeskyttelsesraringdgiver Det fremgaringr heraf at foslashlgende virksomheder omfattes
af loven al virksomhed der udoslashves af den offentlige forvaltning og al virksomhed der udoslashves af
selvejende institutioner foreninger fonde mv der er oprettet ved lov eller i henhold til lov og
selvejende institutioner foreninger fonde mv der er oprettet paring privatretligt grundlag og som
udoslashver offentlig virksomhed af mere omfattende karakter og er undergivet intensiv offentlig regu-
lering intensivt offentlig tilsyn og intensiv offentlig kontrol
I forhold til selvejende institutioner mv oprettet paring privatretligt grundlag vil der saringledes vaeligre
nogle som omfattes af kravet om at have en databeskyttelsesraringdgiver mens andre ikke omfattes
Det vil bero paring en konkret vurdering
Selvejende institutioner mv oprettet paring privatretligt grundlag som udoslashver offentlig virksomhed
af mere omfattende karakter og er undergivet intensiv offentlig regulering intensivt offentlig tilsyn
og intensiv offentlig kontrol vil vaeligre omfattet
Det spiller endvidere ind om det offentlige har instruktionsbefoslashjelser over for institutionen om det
offentlige skal godkende institutionens vedtaeliggter og om det offentlige yder sekretariatsbistand
Vejledning om databeskyttelsesraringdgivere
15
til institutionen Herudover maring man se paring om det offentlige skal godkende institutionens regn-
skaber og om institutionens drift og virksomhed er detaljeret reguleret ved regler og retningslinjer
udstedt af det offentlige Endelig kan man tage hensyn til om det offentlige overtager institutio-
nens rettigheder og forpligtelser hvis den nedlaeliggges
Eksempler paring selvejende institutioner mv der er omfattet
- Universiteter
- Institutioner hvor kommunalbestyrelsen har indgaringet overenskomst til opfyldelse af sine forplig-
telser efter lov om social service
- Gymnasieskoler
Eksempler paring selvejende institutioner og foreninger der ikke er omfattet
- Danske Regioner og KL
- Dansk Flygtningehjaeliglp
For saring vidt angaringr statslige og kommunale institutioner der er organiseret i selskabsform feks
som aktieselskab eller interessentskab vil disse umiddelbart aldrig vaeligre omfattet Dette er ogsaring
tilfaeligldet for koncessionerede selskaber og selskaber hvori staten eller en kommune er aktionaeligr
interessent eller lignende uanset om staten eller kommunen ejer selskabet 100 Det har i den
forbindelse ingen betydning hvilke aktiviteter organet udfoslashrer ligesom det ikke i sig selv kan foslashre
til et andet resultat at selskabet maringtte vaeligre oprettet ved lov eller i henhold til lov
Dog er kommunale faeligllesskaber jf sect 60 i lov om kommunernes styrelse hvortil to eller flere
kommuner overfoslashrer opgaver til selvstaeligndig varetagelse altid offentlige myndigheder Det gaeligl-
der uanset at kommunale faeligllesskaber normalt etableres som interessentskaber Det kommu-
nale faeligllesskab er selvstaeligndigt dataansvarligt og skal udpege en databeskyttelsesraringdgiver
Eksempel paring institution der er organiseret i selskabsform der ikke er omfattet
- Staten og Kommunernes Indkoslashbs Service AS
Saringfremt der ikke er tale om en offentlig myndighed eller organ skal bedoslashmmelsen af hvorvidt
man har pligt til at udpege en databeskyttelsesraringdgiver foretages i henhold til betingelserne be-
skrevet ovenfor under punkt 3 vedroslashrende privates forpligtelse til at udpege en databeskyttel-
sesraringdgiver
43 Faeliglles databeskyttelsesraringdgiver for offentlige myndigheder
Flere myndigheder eller organer vil i mange tilfaeliglde kunne have en faeliglles databeskyttelsesraringd-
giver forudsat at det er i overensstemmelse med deres organisatoriske struktur og stoslashrrelse I
den forbindelse kan det vaeligre relevant at overveje om raringdgiveren skal fungere paring baggrund af
eacuten ansaeligttelseskontrakt for to forskellige myndigheder eller to deltidskontrakter
Herudover vil en databeskyttelsesraringdgiver kunne vaeligre ansat paring en deltidskontrakt hos eacuten myn-
dighed og ansat paring baggrund af en tjenesteydelseskontrakt i en anden myndighed eller organi-
sation
Vejledning om databeskyttelsesraringdgivere
16
Saringfremt flere myndigheder har en faeliglles databeskyttelsesraringdgiver er det dog en forudsaeligtning
at databeskyttelsesraringdgiveren kan efterleve kravene i databeskyttelsesforordningen til en data-
beskyttelsesraringdgiver herunder til dennes stilling opgaver uafhaeligngighed og tilgaeligngelighed mv
naringr denne loslashser opgaven for flere myndigheder paring eacuten gang
For saring vidt angaringr tilgaeligngelighed er der ikke et krav om fysisk tilstedevaeligrelse paring alle lokationer
saringfremt der anvendes en faeliglles databeskyttelsesraringdgiver De enkelte myndigheder har i den for-
bindelse mulighed for at aftale hvordan den fysiske tilgaeligngelighed i praksis kan loslashftes herunder
feks ved hjaeliglp af mail telefon internet mm Det er i relation til kravet om tilgaeligngelighed endvi-
dere vaeligrd at bemaeligrke at flere myndigheder som naeligvnt godt kan have en faeliglles raringdgiver men
at databeskyttelsesraringdgiveren skal kunne (naring at) varetage sin raringdgivningsopgave fyldestgoslashrende
for alle de myndigheder for hvilke den paringgaeligldende varetager opgaven som databeskyttelses-
raringdgiver Her kan det bla vaeligre relevant at se paring maeligngden af personoplysninger der behandles
i en given myndighed
I relation til uafhaeligngighedskriteriet bemaeligrkes at det kan vaeligre betaelignkeligt at lade visse myndig-
heder have en faeliglles databeskyttelsesraringdgiver jf nedenfor under afsnittet rdquoEksempel ndash Ministe-
rier og underordnede myndighederrdquo
Der henvises i oslashvrigt til afsnit 5 i denne vejledning
Det er endvidere et krav at der er eacuten der er personligt ansvarlig for hvervet som databeskyttel-
sesraringdgiver
Som foslashlge af kravet om at udpegningen af en faeliglles databeskyttelsesraringdgiver skal vaeligre i over-
ensstemmelse med myndigheden eller organets organisatoriske struktur og stoslashrrelse stilles der
krav til selve ansaeligttelsen af databeskyttelsesraringdgiveren
Den retlige graelignse for at dele en databeskyttelsesraringdgiver vil i et saringdan tilfaeliglde vaeligre de gaeligl-
dende standarder om offentlige ansattes bierhverv de almindelige habilitetsregler og muligheden
for at efterleve kravene i forordningen herunder tilstraeligkkelige ressourcer i forhold til at udfoslashre
hvervet
Vejledning om databeskyttelsesraringdgivere
17
Kommuner
Det antages ikke at vaeligre i overensstemmelse med en offentlig myndigheds struktur eller stoslashr-
relse hvis en databeskyttelsesraringdgiver fungerer paring baggrund af eacuten ansaeligttelseskontrakt i to for-
skellige kommuner Det antages derimod omvendt at vaeligre i overensstemmelse hermed saring-
fremt raringdgiveren udoslashver sin funktion paring baggrund af to deltidskontrakter i to kommuner paring
samme tid
Eksempel ndash En kommune
En kommune vil typisk vaeligre dataansvarlig for alle de behandlinger af personoplysninger som
foretages inden for den kommunale enhedsforvaltning Derfor er en kommune ikke forpligtet til at
udpege eacuten databeskyttelsesraringdgiver for de enkelte forvaltninger men vil kunne udpege eacuten data-
beskyttelsesraringdgiver for hele kommunen
Eksempel ndash organer med selvstaeligndig kompetence paring det kommunale omraringde
Det bemaeligrkes at der paring det kommunale omraringde kan vaeligre organer som ikke er en del af den
kommunale enhedsforvaltning men har selvstaeligndig kompetence paring det kommunale omraringde
feks huslejenaeligvnet ligesom der kan vaeligre kommunale organer som er en del af enhedsforvalt-
ningen der i visse henseender har en ndash i forhold til kommunalbestyrelsen ndash selvstaeligndig kompe-
tence herunder feks skoleledere
Naringr det i lovgivningen er fastsat eller forudsat at disse organer sekretariatsbetjenes af kommu-
nen og kommunen yder sekretariatsbetjening kan organerne have faeliglles databeskyttelsesraringd-
giver med kommunen og er ikke forpligtet til selvstaeligndigt at udpege en databeskyttelsesraringdgiver
ved siden af kommunens Databeskyttelsesraringdgiverens ydelser vil i den forbindelse vaeligre en del
af sekretariatsbetjeningen
Eksempel ndash Flere kommuner
Flere kommuner vil have mulighed for at dele en databeskyttelsesraringdgiver Som udgangspunkt
vurderes det at feks en gennemsnitskommune paring omkring 45000 indbyggere godt vil kunne
dele en databeskyttelsesraringdgiver med en anden tilsvarende eller en mindre kommune eller at en
lidt stoslashrre kommune vil kunne dele med en mindre kommune hvis databeskyttelsesraringdgiveren
Eksempel - Rigspolitiets databeskyttelsesenhed
Rigspolitiet har udpeget en faeliglles databeskyttelsesraringdgiver for landets 12
politikredse og Rigspolitiet for saring vidt angaringr behandlingen af personoplys-
ninger til brug for retsharingndhaeligvelsesformaringl
Den faeliglles databeskyttelsesraringdgiver understoslashttes i den forbindelse af en cen-
tral datebeskyttelsesenhed i Rigspolitiet hvor de enkelte medarbejdere be-
sidder stort kendskab til persondateretlige og forretningsmaeligssige forhold
med relevans for enhedens opgavevaretagelse Paring denne baggrund kan da-
tabeskyttelsesraringdgiveren samlet set leve op til sine forpligtelser som databe-
skyttelsesraringdgiver i medfoslashr af lov om retsharingndhaeligvende myndigheders be-
handling af personoplysninger som er lig dem der foslashlger af databeskyttel-
sesforordningen
Vejledning om databeskyttelsesraringdgivere
18
samlet set vurderes at kunne varetage opgaverne som databeskyttelsesraringdgiver Der skal saringle-
des foretages en konkret vurdering i det enkelte tilfaeliglde idet det afgoslashrende er om man som
databeskyttelsesraringdgiver kan efterleve sin funktion retmaeligssigt naringr funktionen udoslashves for flere
kommuner paring samme tid
Herudover vil to eller flere kommuner kunne oprette et kommunalt faeligllesskab til hvilket de garingr
sammen om at loslashse opgaven som databeskyttelsesraringdgiver i de deltagende kommuner
Eksempel - Regioner
En region vil typisk ogsaring vaeligre dataansvarlig for alle de behandlinger af personoplysninger der
foretages inden for regionen herunder drift af hospitaler forskning og sociale tilbud mv Hver
region vil som udgangspunkt kunne udpege eacuten databeskyttelsesraringdgiver
Eksempel - Ministerier og underordnede myndigheder
Departementer og underordnede myndigheder kan have en faeliglles databeskyttelsesraringdgiver
Dog kan der vaeligre hindringer som feks myndighedens stoslashrrelse der bevirker at man ikke kan
dele en databeskyttelsesraringdgiver Som eksempel herparing kan naeligvnes Justitsministeriet og politiet
der ikke kan have en faeliglles raringdgiver
Det skyldes at politiet anses for at vaeligre saring stor en enhed at en faeliglles databeskyttelsesraringdgiver
ikke vil kunne efterleve kravene til en databeskyttelsesraringdgiver (om bla tilgaeligngelighed) hvis
denne baringde skulle udfoslashre sin opgave for politiet som helhed og med andre myndigheder under
Justitsministeriets ressort
Dog vil politiet ndash i en ordning svarende til den ovenfor beskrevne paring retsharingndhaeligvelsesomraringdet ndash
kunne have en faeliglles databeskyttelsesraringdgiver under forordningen der udfoslashrer sin funktion for
alle politikredse
Det bemaeligrkes endvidere at forordningens krav om uafhaeligngighed skal vaeligre opfyldt for alle de
myndigheder der deler en databeskyttelsesraringdgiver
I den forbindelse ndash samt i relation til en underordnet myndigheds eventuelt saeligrlige uafhaeligngighed
ift den overordnede myndighed ndash kan der vaeligre visse situationer hvor det kan vaeligre betaelignkeligt
at lade en underordnet myndighed dele databeskyttelsesraringdgiver med et departement
Som eksempel herparing kan naeligvnes Datatilsynet og Justitsministeriets departement Dette er bla
henset til Datatilsynets funktionelle uafhaeligngighed i forhold til Justitsministeriet samt tilsynets spe-
cielle kompetence og rolle i forhold til databeskyttelsesforordningen Som et andet eksempel kan
naeligvnes Ankestyrelsens relation til (paring nuvaeligrende tidspunkt) Oslashkonomi- og Indenrigsministeriets
departement Her kan bla peges paring maeligngden og karakteren af data som behandles i Ankesty-
relsen samt styrelsens faglige uafhaeligngighed af departementet
Organisatoriske aeligndringer kan ogsaring bevirke at det i visse situationer ndash af praktiske aringrsager ndash
kan vaeligre mere oplagt for en underordnet myndighed at have sin egen databeskyttelsesraringdgiver
fremfor at dele med sit departement Hvis en underordnet myndighed saringledes har sin egen data-
beskyttelsesraringdgiver kan denne blot fortsaeligtte under samme kontrakt vilkaringr mv uanset at en
Vejledning om databeskyttelsesraringdgivere
19
myndighed efter eksempelvis et regeringsskifte organisatorisk placeres under et andet ministe-
rium
Eksempel - Selvejende institutioner
I det omfang selvejende institutioner kan anses for en offentlig myndighed eller et organ vil disse
myndigheder ogsaring have mulighed for at udpege en faeliglles databeskyttelsesraringdgiver med en an-
den selvejende institution omfattet af samme lovgivning eller feks den kommune som institutio-
nen har driftsoverenskomst med i det omfang kommunen yder sekretariatsbistand til institutio-
nen
44 Opsummering
Alle offentlige myndigheder og organer skal udpege en databeskyttelsesraringdgiver
fra den 25 maj 2018
Det er i hoslashj grad muligt at udpege en faeliglles databeskyttelsesraringdgiver der funge-
rer paring vegne af flere myndigheder paring eacuten gang
Muligheden for at have en faeliglles databeskyttelsesraringdgiver begraelignses af at
denne skal kunne leve op til sine forpligtelser efter databeskyttelsesforordningen
Databeskyttelsesraringdgiveren kan understoslashttes af en enhed for at kunne udfoslashre sit
hverv i overensstemmelse med forordningens krav Dette gaeliglder uanset om da-
tabeskyttelsesraringdgiveren fungerer for eacuten myndighed eller for flere myndigheder
og organer
Vejledning om databeskyttelsesraringdgivere
20
5 Databeskyttelsesraringdgiveren
51 Krav til faglige kvalifikationer
En databeskyttelsesraringdgiver skal udpeges paring baggrund af sine faglige kvalifikationer Dette
gaeliglder navnlig evnen til at udfoslashre sine opgaver som databeskyttelsesraringdgiver og ekspertise in-
den for databeskyttelsesret- og praksis
Der er ikke krav om at en databeskyttelsesraringdgiver skal have en bestemt uddannelsesmaeligssig
baggrund feks som jurist
Dermed er det op til den enkelte organisation at vurdere hvem der er bedst egnet til at varetage
stillingen som databeskyttelsesraringdgiver
Kravene til stillingen afhaelignger til en vis grad af kompleksiteten af den behandling af personop-
lysninger som den paringgaeligldende organisation foretager Dermed kan der for nogen organisatio-
ner vaeligre behov for at ansaeligtte en databeskyttelsesraringdgiver med stor erfaring inden for feltet og
i andre tilfaeliglde kan en eksisterende medarbejder paring baggrund af diverse kurser varetage funkti-
onen
Hvis der udpeges en databeskyttelsesraringdgiver fra egen organisation kan det med fordel vaeligre
en person som i forvejen har et vist kendskab til eller indsigt i haringndtering af databeskyttelses-
retlige sposlashrgsmaringl i organisationen
52 Hvem kan vaeligre databeskyttelsesraringdgiver
Som udgangspunkt kan alle som organisationen finder kvalificeret til at vaeligre databeskyttelses-
raringdgiver varetage funktionen
Foslashlgende kan derfor vaeligre databeskyttelsesraringdgivere
En intern medarbejder
En faeliglles databeskyttelsesraringdgiver for hele eller flere organisationer
En ekstern databeskyttelsesraringdgiver
Intern medarbejder
En organisation kan vaeliglge at udpege en eksisterende medarbejder som databeskyttelsesraringdgi-
ver
Det er ikke et krav at den medarbejder der varetager funktionen som databeskyttelsesraringdgiver
udoslashver sin funktion paring fuld tid
Vejledning om databeskyttelsesraringdgivere
21
Dermed kan en intern medarbejder der varetager funktionen som databeskyttelsesraringdgiver ud-
foslashre andre opgaver og have andre pligter i organisationen
Saringledes kan en medarbejder der feks arbejder i IT-sektionen i en organisation godt varetage
funktionen som databeskyttelsesraringdgiver paring deltid eller 10 timer om ugen alt efter behovet i
den enkelte organisation
Det afgoslashrende er at den paringgaeligldende medarbejder fyldestgoslashrende kan udoslashve sit erhverv som
databeskyttelsesraringdgiver i organisationen
Den person der udpeges kan med fordel vaeligre en person som i forvejen har et vist kendskab
til eller indsigt i haringndtering af databeskyttelsesretlige sposlashrgsmaringl i organisationen
Selve vurderingen af hvor meget tid en medarbejder skal bruge paring fyldestgoslashrende at kunne ef-
terleve kravene til en databeskyttelsesraringdgiver i organisationen afhaelignger af en konkret vurde-
ring af behovet hos organisationen
Interne ansatte der ikke kan vaeligre databeskyttelsesraringdgiver
En databeskyttelsesraringdgiver skal baringde vaeligre uafhaeligngig og vaeligre i stand til at udoslashve uvildig raringd-
givning til organisationen
Derfor kan en databeskyttelsesraringdgiver ikke vaeligre den oslashverste IT-ansvarlige eller oslashverste HR-
ansvarlige i en organisation
Eksempel ndash virksomhed med faring ansatte
Virksomheder med faring ansatte herunder feks enkeltmandsvirksomheder vil have svaeligrt ved at
opfylde betingelsen om at en databeskyttelsesraringdgiver ikke kan vaeligre oslashverste IT-ansvarlige eller
oslashverste HR-ansvarlige i en organisation (forudsat at virksomheden i oslashvrigt opfylder betingelserne
for hvornaringr private skal udpege en databeskyttelsesraringdgiver jf naeligrmere om privates forpligtelse
under punkt 3) I en saringdan situation kan virksomheden enten benytte sig af muligheden for at
udpege en faeliglles databeskyttelsesraringdgiver eller anvende en konsulent til opgaven
Databeskyttelsesraringdgiverenhed
Der kan ogsaring udpeges eacuten databeskyttelsesraringdgiver for den paringgaeligldende organisation som un-
derstoslashttes af en enhed saring den paringgaeligldende kan leve op til sine forpligtelser efter forordningen jf
den ovenfor beskrevne ordning for politiet
Faeliglles databeskyttelsesraringdgiver
Saringvel private som offentlige myndigheder kan udpege en faeliglles databeskyttelsesraringdgiver af-
haeligngig af deres struktur og stoslashrrelse
Medarbejdere som ikke har det oslashverste ansvar kan vaeligre databe-
skyttelsesraringdgivere Det betyder at ledende IT-medarbejdere
compliance-officerer eller en it-sikkerheds koordinator mv kan
udoslashve funktionen som databeskyttelsesraringdgiver i organisationen
Vejledning om databeskyttelsesraringdgivere
22
Ekstern medarbejder
Man kan ogsaring vaeliglge at udpege en ekstern databeskyttelsesraringdgiver Dette kan enten vaeligre en
raringdgiver (konsulentvirksomhed) saringsom en bestemt advokat eller revisor eller andre kvalifice-
rede eksterne parter Udoslashvelsen af hvervet som databeskyttelsesraringdgiver vil dog i sagens natur
alene kunne udoslashves i det omfang dette er foreneligt med eventuelle regler ndash herunder etiske
krav ndash for den relevante type af raringdgivervirksomhed mv
53 Databeskyttelsesraringdgiverens opgaver
Databeskyttelsesraringdgiveren funktion bestaringr i at raringdgive den dataansvarlige og hjaeliglpe med at
organisationen efterlever de databeskyttelsesretlige regler
En databeskyttelsesraringdgiver skal desuden prioritere sine opgaver og fokusere paring de behandlin-
ger af personoplysninger i den paringgaeligldende organisation som konkret indebaeligrer en hoslashjere ri-
siko for brud paring de databeskyttelsesretlige regler Dog skal oslashvrige databeskyttelsesretlige omraring-
der som indebaeligrer en lavere grad af risiko ikke undlades
Der er en raeligkke opgaver som databeskyttelsesraringdgiveren som minimum skal varetage Der er
dog ikke noget til hinder for at der overlades flere opgaver til databeskyttelsesraringdgiveren Da-
tabeskyttelsesraringdgiverens rolle som central raringdgivningsfigur i organisationen samt dennes op-
gaver kan med fordel beskrives naeligrmere i en (ansaeligttelses)aftale
Nedenfor foslashlger en naeligrmere beskrivelse af de opgaver som databeskyttelsesraringdgiveren som
minimum skal varetage i en organisation
Underrette og raringdgive organisationen og de ansatte om databeskyttelse
Det indebaeligrer
Konkret raringdgivning om beskyttelse af personoplysninger i organisationen samt
overvejelser og beslutninger om hvordan compliance sikres mv feks i forbin-
delse med foslashlgende
Organisationens indkoslashb af nyt IT-system
kravsspecifikationer til leverandoslashrer
udarbejdelse af organisationens data-politikker
ivaeligrksaeligttelse af behandling af personoplysninger
overvejelser om hvorvidt en given behandling af personoplysninger over-
holder de generelle behandlingsregler
Staring til raringdighed for ansatte samt ledelsen i organisationen vedroslashrende sposlashrgsmaringl
om databeskyttelse
Vejledning om databeskyttelsesraringdgivere
23
Raringdgivning i forbindelse med udarbejdelse af organisationens konsekvensanaly-
ser jf afsnit 3 nedenfor
Modtage underretning om og raringdgive organisationen i forbindelse med brud paring
persondatasikkerheden
Overvaringge overholdelsen af de databeskyttelsesretlige regler i organisationen
Det indebaeligrer bla ogsaring at overvaringge
organisationens politikker om databeskyttelse
uddannelse af personale i databeskyttelse
oplysningskampagner
fordeling af ansvar
revisioner
Det skal hertil bemaeligrkes at databeskyttelsesraringdgiverens opgave med at overvaringge overholdel-
sen af de databeskyttelsesretlige regler i organisationen ikke medfoslashrer at raringdgiveren overtager
selve ansvaret for at behandlingen af personoplysninger sker i overensstemmelse med reg-
lerne Dette ansvar ligger fortsat hos den dataansvarlige
Raringdgivning i forbindelse med udarbejdelse af organisationens konsekvensanalyser
I visse tilfaeliglde skal organisationer udarbejde en konsekvensanalyse af en planlagt behandling
af personoplysninger
I de tilfaeliglde hvor en organisation har udpeget en databeskyttelsesraringdgiver skal denne raringdfoslash-
res naringr der foretages en konsekvensanalyse
Herudover skal databeskyttelsesraringdgiveren raringdgive med hensyn til konsekvensanalysen naringr
der anmodes herom
Som led i overvaringgningsopgaven kan databeskyttel-
sesraringdgiveren foretage foslashlgende
indsamle oplysninger til at identificere
behandlingsaktiviteter
informere raringdgive og komme med an-
befalinger til den dataansvarlige og da-
tabehandleren
Vejledning om databeskyttelsesraringdgivere
24
I tilfaeliglde af uenighed mellem organisationen og databeskyttelsesraringdgiveren anbefales det at
det specifikt fremgaringr af selve konsekvensanalysen hvorfor databeskyttelsesraringdgiverens indstil-
ling ikke er blevet fulgt
Samarbejde med Datatilsynet paring vegne af organisationen
En organisation er forpligtet til at hoslashre Datatilsynet inden behandling hvis en konsekvensana-
lyse vedroslashrende databeskyttelse viser at behandlingen af personoplysninger vil foslashre til hoslashj ri-
siko i mangel af foranstaltninger truffet af organisation for at begraelignse risikoen
Det foslashlger af forordningen at databeskyttelsesraringdgiveren skal samarbejde med tilsynsmyndig-
heden og fungere som tilsynsmyndighedens kontaktperson Det kan feks vaeligre databeskyttel-
sesraringdgiveren der paring vegne af den dataansvarlige hoslashrer tilsynsmyndigheden
Vaeligre kontaktpunkt for tilsynsmyndigheden (Datatilsynet) angaringende alle sposlashrgsmaringl om behand-
ling af personoplysninger for de personer der behandles oplysninger om
Databeskyttelsesraringdgiveren skal inddrages af den dataansvarlige i tilfaeliglde af at konkrete kla-
gesager indbringes for Datatilsynet Databeskyttelsesraringdgiveren boslashr ligeledes orienteres naringr
Datatilsynet beslutter at gennemfoslashre et eventuelt tilsyn af den dataansvarlige
Herudover skal databeskyttelsesraringdgiveren ogsaring vaeligre i stand til at vejlede den person der be-
handles personoplysninger om Det betyder at databeskyttelsesraringdgiveren skal vaeligre i stand til
at vejlede om hvilke rettigheder den paringgaeligldende har og hvordan de kan udnyttes
Det indebaeligrer endvidere at den dataansvarlige skal give meddelelse om kontaktoplysninger paring
databeskyttelsesraringdgiveren
Det anbefales i oslashvrigt at organisationen i en funktionsbeskrivelse klart definerer hvilke opgaver
der paringhviler databeskyttelsesraringdgiveren En funktionsbeskrivelse vil goslashre det tydeligt hvornaringr
Raringdgivning i forhold til konsekvensanalyser kan bla indebaeligre raringdgiv-
ning vedroslashrende
om der skal gennemfoslashres en konsekvensanalyse
hvilken fremgangsmaringde der skal anvendes ved gennemfoslash-
relse af konsekvensanalysen
om konsekvensanalysen kan gennemfoslashres internt eller om
gennemfoslashrelsen kraeligver antagelse af ekstern bistand
hvilke sikkerhedsforanstaltninger (tekniske og organisatori-
ske) som skal anvendes for at begraelignse risici i forhold til
de registreredes rettigheder og interesser
om konsekvensanalysen er korrekt gennemfoslashrt og om
dens konklusioner er i overensstemmelse med de databe-
skyttelsesretlige regler
Vejledning om databeskyttelsesraringdgivere
25
den paringgaeligldende virker som databeskyttelsesraringdgiver og i denne egenskab ikke kan instrueres
Det vil samtidig blive tydeligt hvornaringr den paringgaeligldende udfoslashrer andre opgaver i sit ordinaeligre an-
saeligttelsesforhold i organisationen
54 Krav til organisationen ndash rettidig og tilstraeligkkelig inddragelse af databeskyt-
telsesraringdgiveren
En organisation skal sikre at databeskyttelsesraringdgiveren inddrages tilstraeligkkeligt og rettidigt i
alle sposlashrgsmaringl vedroslashrende beskyttelse af personoplysninger En saringdan inddragelse boslashr ogsaring
ske paring oslashverste ledelsesmaeligssige niveau (feks ved deltagelse paring direktions- og ledelsesmoslashder)
Det anbefales at organisationen implementerer procedurer som sikrer dette
I hvilke tilfaeliglde skal databeskyttelsesraringdgiveren inddrages
Databeskyttelsesraringdgiveren skal inddrages i alle de overvejelser og vurderinger som organisa-
tionen goslashr sig for at overholde kravene i databeskyttelsesforordningen databeskyttelsesloven
og oslashvrige regler for behandling af personoplysninger
Eksempel paring sposlashrgsmaringl hvor databeskyttelsesraringdgiveren boslashr inddrages
ved overvejelser og beslutninger om hvordan organisationens compliance med
databeskyttelsesreglerne sikres
ved overvejelser i forbindelse med datasikkerhed herunder databeskyttelse gen-
nem design og standardindstillinger og
ved udarbejdelse af konsekvensanalyser
Saringfremt databeskyttelsesraringdgiveren udpeges foslashr den 25 maj 2018 kan denne inddrages i or-
ganisationens implementering af de krav der foslashlger af forordningen
Eksempel paring sposlashrgsmaringl hvor databeskyttelsesraringdgiveren ikke
skal inddrages
Konkrete vurderinger ift registreredes rettigheder
feks anmodning paring indsigt ret til at blive glemt
mv
Deltagelse i mindre praktiske eller almindelige
driftsopgaver eller driftsmaeligssige sposlashrgsmaringl knyt-
tet til opsaeligtning af it-systemer
Udarbejdelse af konkrete databehandleraftaler
Behandling af personoplysninger der finder sted i
overensstemmelse med interne regler som den da-
taansvarlige har fastsat forudsat at disse regler er
fastsat under inddragelse af databeskyttelsesraringdgi-
veren
Vejledning om databeskyttelsesraringdgivere
26
Hvordan skal databeskyttelsesraringdgiveren inddrages
For at sikre at databeskyttelsesraringdgiveren inddrages tilstraeligkkeligt og rettidigt er organisationen
forpligtet til at holde databeskyttelsesraringdgiveren tilstraeligkkeligt og rettidigt orienteret om alle
sposlashrgsmaringl om beskyttelse af personoplysninger
Som tommelfingerregel skal databeskyttelsesraringdgiveren have mulighed for at vurdere overhol-
delsen af de databeskyttelsesretlige regler og komme med bemaeligrkninger eller lignende inden
en behandling af personoplysninger igangsaeligttes
Hvornaringr er inddragelsen rettidig
Databeskyttelsesraringdgiveren skal inddrages i saring god tid som det er muligt forud for ivaeligrksaeligttel-
sen af behandling af personoplysninger
Det er afgoslashrende at databeskyttelsesraringdgiveren inddrages i tide til at kunne foretage en reel
vurdering af om den paringtaelignkte behandling af personoplysninger er i overensstemmelse med de
databeskyttelsesretlige regler og dermed kan komme med kvalificerede bemaeligrkninger herom
med henblik paring at raringdgive organisationen
Eksempler paring rettidig inddragelse
Inddrages forud for beslutning om noslashdvendige
foranstaltninger i IT-systemer for at efterleve kra-
vene om databeskyttelse gennem design og stan-
dardindstillinger
Inddrages forud for udstedelse af retningslinjer og
procedurer for hvordan de databeskyttelsesret-
lige regler skal overholdes i organisationen
Inddragelse foslashr offentliggoslashrelse af udbudsmateri-
ale i en udbudsproces eller lignende
Eksempler paring ikke-rettidig inddragelse
Inddragelse af databeskyttelsesraringdgiveren efter
et nyt IT-system er faeligrdigudviklet
Inddragelse af databeskyttelsesraringdgiveren efter
indkoslashb af IT-systemer (dermed ikke en del af
overvejelserne vedr kravspecifikation og databe-
skyttelse gennem design og standardindstillin-
ger)
Inddragelse af databeskyttelsesraringdgiveren efter
at en konsekvensanalyse er udarbejdet
Inddragelse af databeskyttelsesraringdgiveren efter
stoslashrre aeligndringer i organisationens procedurer
der vedroslashrer databeskyttelse saringsom haringndtering
af anmodninger fra registrerede personer
Vejledning om databeskyttelsesraringdgivere
27
Behandlingsaktiviteter igangsat foslashr en databeskyttelsesraringdgiver udpeges
Naringr en organisation udpeger en databeskyttelsesraringdgiver vil der selvsagt vaeligre behandlinger af
personoplysninger der allerede er igangsat i organisationen
Databeskyttelsesraringdgiveren boslashr ved udpegelsen primaeligrt have fokus paring de fremadrettede com-
pliance aktiviteter Derudover kan databeskyttelsesraringdgiveren ndash ud fra en risikovurdering i for-
hold til de behandlinger som konkret indebaeligrer hoslashjere risiko ndash inddrages i organisationens
overvejelser om hvorvidt de igangvaeligrende aktiviteter overholder de databeskyttelsesretlige
regler
Hvornaringr er inddragelsen tilstraeligkkelig
Der skal ske en reel inddragelse af databeskyttelsesraringdgiveren i organisationens overvejelser
og beslutninger vedroslashrende databeskyttelse
Det indebaeligrer at organisationen skal inddrage og tage hoslashjde for databeskyttelsesraringdgiverens
bemaeligrkninger og raringdgivning i oslashvrigt samt dennes rapportering til oslashverste ledelsesniveau om
overholdelse af de databeskyttelsesretlige regler
Saringfremt databeskyttelsesraringdgiverens raringdgivning ikke foslashlges anbefales det at organisationen
dokumenterer dette i overensstemmelse med kravet om accountability
Ressourcer og adgang
Ressourcer
For at databeskyttelsesraringdgiveren rent faktisk kan udfoslashre sine opgaver er det noslashdvendigt at
organisationens tilvejebringer de noslashdvendige ressourcer til stoslashtte for databeskyttelsesraringdgive-
ren
Det er endvidere et krav at organisationen tilvejebringer de fornoslashdne ressourcer for at databe-
skyttelsesraringdgiveren kan opretholde sin ekspertise inden for omraringdet
Fastsaeligttelsen af de fornoslashdne ressourcer beror paring en konkret vurdering som afhaelignger af de
organisatoriske forhold i organisationen saringsom stoslashrrelsen antallet af behandlingsaktiviteter
kompleksiteten af behandlingen af personoplysninger samt de forbundne risici
Jo stoslashrre en organisation er des stoslashrre er behovet for ressourcer til stoslashtte for databeskyttelses-
raringdgiveren
Selve behovet for ressourcer beror paring en konkret vurde-
ring som organisationen er ansvarlig for at foretage
Som eksempler paring fornoslashdne ressourcer kan naeligvnes
Faciliteter og arbejdsredskaber
Oslashkonomiske ressourcer
Personaleressourcer og lignende
Vejledning om databeskyttelsesraringdgivere
28
Adgang
Databeskyttelsesraringdgiveren skal ogsaring have adgang til organisationens personoplysninger og
den behandling af disse som organisationen foretager
Der skal vaeligre tale om en vid adgang som kan tilvejebringes efter behov
Uafhaeligngighed
Det er et grundlaeligggende krav at en databeskyttelsesraringdgiver ikke maring blive instrueret af andre
om hvordan raringdgiveren skal udfoslashre sine opgaver Der gaeliglder saringledes foslashlgende for databeskyt-
telsesraringdgiveren
Maring ikke som led i sin funktion som databeskyttelsesraringdgiver modtage instruks om
hvordan denne skal udfoslashre sine opgaver (eller feks om en bestemt vurdering el-
ler fortolkning af forordningen)
Maring ikke afskediges eller sanktioneres for at udfoslashre sine opgaver
Rapporterer direkte til oslashverste ledelsesniveau
Databeskyttelsesraringdgiverens interne reaktionsmuligheder er i praksis taeligt forbundne med at
ovenstaringende krav til uafhaeligngighed efterleves Idet en databeskyttelsesraringdgiver ikke har instruk-
tionsbefoslashjelser over for andre dele af den dataansvarliges organisation er det i praksis mulighe-
den for at kunne rapportere direkte til oslashverste ledelsesniveau der er raringdgiverens interne virke-
middel overfor konstaterede brud paring forordningen
Hvor det oslashverste ledelsesniveau er afhaelignger af organiseringen hos den konkrete dataansvarlige
eller databehandleren
I forhold til det private erhvervsliv fremgaringr det af selskabsloven at det er bestyrelsen der er det
centrale eller oslashverste ledelsesorgan i selskaber der baringde har en bestyrelse og en direktion Naringr
der i databeskyttelsesforordningen henvises til det oslashverste ledelsesniveau maring det i det private
forstarings i relation til den daglige drift og dermed direktionen saringfremt selskabet har baringde en besty-
relse og en direktion Det vil i praksis betyde at direktionen skal orientere bestyrelsen om vaelig-
sentlige forhold som paringpeges af databeskyttelsesraringdgiveren
For statslige myndigheder maring den oslashverste ledelse forstarings som den oslashverste administrative le-
delse
For saring vidt angaringr kommuner og regioner gaeliglder at databeskyttelsesraringdgiveren rapporterer di-
rekte til kommunalbestyrelsen henholdsvis regionsraringdet Denne rapportering forelaeliggges for kom-
munalbestyrelsen henholdsvis regionsraringdet uden den forudgaringende udvalgsbehandling som de
kommunale og regionale sager ellers normalt skal undergives Dette udelukker dog ikke at en
kommune kan indhente en erklaeligring fra oslashkonomiudvalget forinden forelaeligggelse for kommunal-
bestyrelsen
55 Beskyttelse af databeskyttelsesraringdgiveren
Funktionen som databeskyttelsesraringdgiver er beskyttet ved et forbud mod at kunne blive afskedi-
get for udfoslashrelse af opgaverne som databeskyttelsesraringdgiver
Vejledning om databeskyttelsesraringdgivere
29
Usaglig afskedigelse af en databeskyttelsesraringdgiver er sanktioneret med en boslashde
Databeskyttelsesraringdgiveren vil kunne afskediges paring et sagligt grundlag efter almindelige ansaeligt-
telsesretlige regler
56 Opsummering
En databeskyttelsesraringdgiver udpeges paring baggrund af sine faglige kvalifikationer
Databeskyttelsesraringdgiveren kan baringde vaeligre en intern medarbejder en faeliglles da-
tabeskyttelsesraringdgiver for hele eller flere organisationer eller en ekstern databe-
skyttelsesraringdgiver
Databeskyttelsesraringdgiveren har en raeligkke opgaver denne som minimum skal va-
retage Derudover anbefales det at man klart definerer hvilke opgaver der paringhvi-
ler databeskyttelsesraringdgiveren
En organisation skal rettidig og tilstraeligkkelig inddrage databeskyttelsesraringdgiveren
i alle sposlashrgsmaringl vedroslashrende beskyttelse af personoplysninger
Databeskyttelsesraringdgiveren nyder en saeligrlig beskyttelse mod usaglig afskedi-
gelse og kan ikke afskediges eller sanktioneres for at udfoslashre sine opgaver som
Databeskyttelsesraringdgiver
Dato
20 december 2017
Justitsministeriet
Slotsholmsgade 10
1216 Koslashbenhavn K
Telefon
72 26 84 00
jmjmdk
Eksempler paring tilfaeliglde hvor en databeskyttelsesraringd-
giver kan afskediges
Ikke udfoslashrer sine arbejdsopgaver
Misligholder ansaeligttelsesforholdet
Samarbejdsvanskeligheder
Vejledning om databeskyttelsesraringdgivere
30
ISBN
978-88-98564-35-7
Foto
Scanpix
Vejledning om databeskyttelsesraringdgivere
13
ses for flere private paring eacuten gang Dette maring i praksis forudsaeligtte at der feks er adgang til at kom-
munikere med databeskyttelsesraringdgiveren paring et sprog som de beroslashrte medarbejdere kan forstaring
Det maring ligeledes forudsaeligtte at der er afsat saringdanne ressourcer til databeskyttelsesraringdgiveren
at det spejler omfanget af de organisationer der skal daeligkkes Der vil derfor i praksis ikke vaeligre
noget til hinder for at feks en virksomhed udpeger en faeliglles databeskyttelsesraringdgiver paring tvaeligrs
af flere stoslashrre koncernforbundne virksomheder naringr blot de ressourcer der afsaeligttes til databe-
skyttelsesraringdgiveren i form af medarbejdere rejsebudget it-understoslashttelse mv i tilstraeligkkelig om-
fang sikrer at databeskyttelsesraringdgiveren kan moslashde sine forpligtelser
34 Opsummering
Der skal rigtig meget til foslashr en privat virksomhed er forpligtet til at udpege en da-
tabeskyttelsesraringdgiver
Helt konkret skal tre betingelser der knytter sig til en virksomheds behandling af
personoplysninger alle vaeligre opfyldt foslashr der en pligt til at udpege en databeskyt-
telsesraringdgiver
Alle virksomheder boslashr foretage en konkret vurdering af om de tre betingelser er
opfyldt Er alle tre betingelser ikke opfyldt skal der ikke udpeges en databeskyt-
telsesraringdgiver
Vejledning om databeskyttelsesraringdgivere
14
4 Offentlige myndigheders forpligtelse til
at udpege en databeskyttelsesraringdgiver
Offentlige myndigheder og offentlige organer skal altid have en databeskyttelsesraringdgiver uanset
om de er dataansvarlige eller databehandlere
41 Hvornaringr skal offentlige myndigheder udpege en databeskyttelsesraringdgiver
I det omfang behandling foretages af en offentlig myndighed eller et offentligt organ skal myndig-
heden eller organet altid have en databeskyttelsesraringdgiver hvad enten de er dataansvarlige eller
databehandlere
Det betyder at der ogsaring skal udpeges en databeskyttelsesraringdgiver hvis den offentlige myndig-
hed eller organ behandler personoplysninger paring vegne af en privat eller selv outsourcer sin da-
tabehandling til en privat som ikke er forpligtet til at udpege en databeskyttelsesraringdgiver Det kan
feks vaeligre tilfaeligldet naringr offentlige myndigheder eller organer vaeliglger at overlade til en anden at
udfoslashre selve den praktiske behandling af personoplysninger paring den dataansvarliges vegne
Den eneste undtagelse hertil er domstole der ikke er forpligtede til at udpege en databeskyttel-
sesraringdgiver naringr de handler i deres egenskab af domstole
42 Hvornaringr er man en offentlig myndighed
De myndigheder der i dansk ret henregnes til den offentlige forvaltning i medfoslashr af forvaltnings-
lovens sect 1 stk 1-2 skal anses for offentlige myndigheder eller organer og er dermed forpligtede
til at udpege en databeskyttelsesraringdgiver Det fremgaringr heraf at foslashlgende virksomheder omfattes
af loven al virksomhed der udoslashves af den offentlige forvaltning og al virksomhed der udoslashves af
selvejende institutioner foreninger fonde mv der er oprettet ved lov eller i henhold til lov og
selvejende institutioner foreninger fonde mv der er oprettet paring privatretligt grundlag og som
udoslashver offentlig virksomhed af mere omfattende karakter og er undergivet intensiv offentlig regu-
lering intensivt offentlig tilsyn og intensiv offentlig kontrol
I forhold til selvejende institutioner mv oprettet paring privatretligt grundlag vil der saringledes vaeligre
nogle som omfattes af kravet om at have en databeskyttelsesraringdgiver mens andre ikke omfattes
Det vil bero paring en konkret vurdering
Selvejende institutioner mv oprettet paring privatretligt grundlag som udoslashver offentlig virksomhed
af mere omfattende karakter og er undergivet intensiv offentlig regulering intensivt offentlig tilsyn
og intensiv offentlig kontrol vil vaeligre omfattet
Det spiller endvidere ind om det offentlige har instruktionsbefoslashjelser over for institutionen om det
offentlige skal godkende institutionens vedtaeliggter og om det offentlige yder sekretariatsbistand
Vejledning om databeskyttelsesraringdgivere
15
til institutionen Herudover maring man se paring om det offentlige skal godkende institutionens regn-
skaber og om institutionens drift og virksomhed er detaljeret reguleret ved regler og retningslinjer
udstedt af det offentlige Endelig kan man tage hensyn til om det offentlige overtager institutio-
nens rettigheder og forpligtelser hvis den nedlaeliggges
Eksempler paring selvejende institutioner mv der er omfattet
- Universiteter
- Institutioner hvor kommunalbestyrelsen har indgaringet overenskomst til opfyldelse af sine forplig-
telser efter lov om social service
- Gymnasieskoler
Eksempler paring selvejende institutioner og foreninger der ikke er omfattet
- Danske Regioner og KL
- Dansk Flygtningehjaeliglp
For saring vidt angaringr statslige og kommunale institutioner der er organiseret i selskabsform feks
som aktieselskab eller interessentskab vil disse umiddelbart aldrig vaeligre omfattet Dette er ogsaring
tilfaeligldet for koncessionerede selskaber og selskaber hvori staten eller en kommune er aktionaeligr
interessent eller lignende uanset om staten eller kommunen ejer selskabet 100 Det har i den
forbindelse ingen betydning hvilke aktiviteter organet udfoslashrer ligesom det ikke i sig selv kan foslashre
til et andet resultat at selskabet maringtte vaeligre oprettet ved lov eller i henhold til lov
Dog er kommunale faeligllesskaber jf sect 60 i lov om kommunernes styrelse hvortil to eller flere
kommuner overfoslashrer opgaver til selvstaeligndig varetagelse altid offentlige myndigheder Det gaeligl-
der uanset at kommunale faeligllesskaber normalt etableres som interessentskaber Det kommu-
nale faeligllesskab er selvstaeligndigt dataansvarligt og skal udpege en databeskyttelsesraringdgiver
Eksempel paring institution der er organiseret i selskabsform der ikke er omfattet
- Staten og Kommunernes Indkoslashbs Service AS
Saringfremt der ikke er tale om en offentlig myndighed eller organ skal bedoslashmmelsen af hvorvidt
man har pligt til at udpege en databeskyttelsesraringdgiver foretages i henhold til betingelserne be-
skrevet ovenfor under punkt 3 vedroslashrende privates forpligtelse til at udpege en databeskyttel-
sesraringdgiver
43 Faeliglles databeskyttelsesraringdgiver for offentlige myndigheder
Flere myndigheder eller organer vil i mange tilfaeliglde kunne have en faeliglles databeskyttelsesraringd-
giver forudsat at det er i overensstemmelse med deres organisatoriske struktur og stoslashrrelse I
den forbindelse kan det vaeligre relevant at overveje om raringdgiveren skal fungere paring baggrund af
eacuten ansaeligttelseskontrakt for to forskellige myndigheder eller to deltidskontrakter
Herudover vil en databeskyttelsesraringdgiver kunne vaeligre ansat paring en deltidskontrakt hos eacuten myn-
dighed og ansat paring baggrund af en tjenesteydelseskontrakt i en anden myndighed eller organi-
sation
Vejledning om databeskyttelsesraringdgivere
16
Saringfremt flere myndigheder har en faeliglles databeskyttelsesraringdgiver er det dog en forudsaeligtning
at databeskyttelsesraringdgiveren kan efterleve kravene i databeskyttelsesforordningen til en data-
beskyttelsesraringdgiver herunder til dennes stilling opgaver uafhaeligngighed og tilgaeligngelighed mv
naringr denne loslashser opgaven for flere myndigheder paring eacuten gang
For saring vidt angaringr tilgaeligngelighed er der ikke et krav om fysisk tilstedevaeligrelse paring alle lokationer
saringfremt der anvendes en faeliglles databeskyttelsesraringdgiver De enkelte myndigheder har i den for-
bindelse mulighed for at aftale hvordan den fysiske tilgaeligngelighed i praksis kan loslashftes herunder
feks ved hjaeliglp af mail telefon internet mm Det er i relation til kravet om tilgaeligngelighed endvi-
dere vaeligrd at bemaeligrke at flere myndigheder som naeligvnt godt kan have en faeliglles raringdgiver men
at databeskyttelsesraringdgiveren skal kunne (naring at) varetage sin raringdgivningsopgave fyldestgoslashrende
for alle de myndigheder for hvilke den paringgaeligldende varetager opgaven som databeskyttelses-
raringdgiver Her kan det bla vaeligre relevant at se paring maeligngden af personoplysninger der behandles
i en given myndighed
I relation til uafhaeligngighedskriteriet bemaeligrkes at det kan vaeligre betaelignkeligt at lade visse myndig-
heder have en faeliglles databeskyttelsesraringdgiver jf nedenfor under afsnittet rdquoEksempel ndash Ministe-
rier og underordnede myndighederrdquo
Der henvises i oslashvrigt til afsnit 5 i denne vejledning
Det er endvidere et krav at der er eacuten der er personligt ansvarlig for hvervet som databeskyttel-
sesraringdgiver
Som foslashlge af kravet om at udpegningen af en faeliglles databeskyttelsesraringdgiver skal vaeligre i over-
ensstemmelse med myndigheden eller organets organisatoriske struktur og stoslashrrelse stilles der
krav til selve ansaeligttelsen af databeskyttelsesraringdgiveren
Den retlige graelignse for at dele en databeskyttelsesraringdgiver vil i et saringdan tilfaeliglde vaeligre de gaeligl-
dende standarder om offentlige ansattes bierhverv de almindelige habilitetsregler og muligheden
for at efterleve kravene i forordningen herunder tilstraeligkkelige ressourcer i forhold til at udfoslashre
hvervet
Vejledning om databeskyttelsesraringdgivere
17
Kommuner
Det antages ikke at vaeligre i overensstemmelse med en offentlig myndigheds struktur eller stoslashr-
relse hvis en databeskyttelsesraringdgiver fungerer paring baggrund af eacuten ansaeligttelseskontrakt i to for-
skellige kommuner Det antages derimod omvendt at vaeligre i overensstemmelse hermed saring-
fremt raringdgiveren udoslashver sin funktion paring baggrund af to deltidskontrakter i to kommuner paring
samme tid
Eksempel ndash En kommune
En kommune vil typisk vaeligre dataansvarlig for alle de behandlinger af personoplysninger som
foretages inden for den kommunale enhedsforvaltning Derfor er en kommune ikke forpligtet til at
udpege eacuten databeskyttelsesraringdgiver for de enkelte forvaltninger men vil kunne udpege eacuten data-
beskyttelsesraringdgiver for hele kommunen
Eksempel ndash organer med selvstaeligndig kompetence paring det kommunale omraringde
Det bemaeligrkes at der paring det kommunale omraringde kan vaeligre organer som ikke er en del af den
kommunale enhedsforvaltning men har selvstaeligndig kompetence paring det kommunale omraringde
feks huslejenaeligvnet ligesom der kan vaeligre kommunale organer som er en del af enhedsforvalt-
ningen der i visse henseender har en ndash i forhold til kommunalbestyrelsen ndash selvstaeligndig kompe-
tence herunder feks skoleledere
Naringr det i lovgivningen er fastsat eller forudsat at disse organer sekretariatsbetjenes af kommu-
nen og kommunen yder sekretariatsbetjening kan organerne have faeliglles databeskyttelsesraringd-
giver med kommunen og er ikke forpligtet til selvstaeligndigt at udpege en databeskyttelsesraringdgiver
ved siden af kommunens Databeskyttelsesraringdgiverens ydelser vil i den forbindelse vaeligre en del
af sekretariatsbetjeningen
Eksempel ndash Flere kommuner
Flere kommuner vil have mulighed for at dele en databeskyttelsesraringdgiver Som udgangspunkt
vurderes det at feks en gennemsnitskommune paring omkring 45000 indbyggere godt vil kunne
dele en databeskyttelsesraringdgiver med en anden tilsvarende eller en mindre kommune eller at en
lidt stoslashrre kommune vil kunne dele med en mindre kommune hvis databeskyttelsesraringdgiveren
Eksempel - Rigspolitiets databeskyttelsesenhed
Rigspolitiet har udpeget en faeliglles databeskyttelsesraringdgiver for landets 12
politikredse og Rigspolitiet for saring vidt angaringr behandlingen af personoplys-
ninger til brug for retsharingndhaeligvelsesformaringl
Den faeliglles databeskyttelsesraringdgiver understoslashttes i den forbindelse af en cen-
tral datebeskyttelsesenhed i Rigspolitiet hvor de enkelte medarbejdere be-
sidder stort kendskab til persondateretlige og forretningsmaeligssige forhold
med relevans for enhedens opgavevaretagelse Paring denne baggrund kan da-
tabeskyttelsesraringdgiveren samlet set leve op til sine forpligtelser som databe-
skyttelsesraringdgiver i medfoslashr af lov om retsharingndhaeligvende myndigheders be-
handling af personoplysninger som er lig dem der foslashlger af databeskyttel-
sesforordningen
Vejledning om databeskyttelsesraringdgivere
18
samlet set vurderes at kunne varetage opgaverne som databeskyttelsesraringdgiver Der skal saringle-
des foretages en konkret vurdering i det enkelte tilfaeliglde idet det afgoslashrende er om man som
databeskyttelsesraringdgiver kan efterleve sin funktion retmaeligssigt naringr funktionen udoslashves for flere
kommuner paring samme tid
Herudover vil to eller flere kommuner kunne oprette et kommunalt faeligllesskab til hvilket de garingr
sammen om at loslashse opgaven som databeskyttelsesraringdgiver i de deltagende kommuner
Eksempel - Regioner
En region vil typisk ogsaring vaeligre dataansvarlig for alle de behandlinger af personoplysninger der
foretages inden for regionen herunder drift af hospitaler forskning og sociale tilbud mv Hver
region vil som udgangspunkt kunne udpege eacuten databeskyttelsesraringdgiver
Eksempel - Ministerier og underordnede myndigheder
Departementer og underordnede myndigheder kan have en faeliglles databeskyttelsesraringdgiver
Dog kan der vaeligre hindringer som feks myndighedens stoslashrrelse der bevirker at man ikke kan
dele en databeskyttelsesraringdgiver Som eksempel herparing kan naeligvnes Justitsministeriet og politiet
der ikke kan have en faeliglles raringdgiver
Det skyldes at politiet anses for at vaeligre saring stor en enhed at en faeliglles databeskyttelsesraringdgiver
ikke vil kunne efterleve kravene til en databeskyttelsesraringdgiver (om bla tilgaeligngelighed) hvis
denne baringde skulle udfoslashre sin opgave for politiet som helhed og med andre myndigheder under
Justitsministeriets ressort
Dog vil politiet ndash i en ordning svarende til den ovenfor beskrevne paring retsharingndhaeligvelsesomraringdet ndash
kunne have en faeliglles databeskyttelsesraringdgiver under forordningen der udfoslashrer sin funktion for
alle politikredse
Det bemaeligrkes endvidere at forordningens krav om uafhaeligngighed skal vaeligre opfyldt for alle de
myndigheder der deler en databeskyttelsesraringdgiver
I den forbindelse ndash samt i relation til en underordnet myndigheds eventuelt saeligrlige uafhaeligngighed
ift den overordnede myndighed ndash kan der vaeligre visse situationer hvor det kan vaeligre betaelignkeligt
at lade en underordnet myndighed dele databeskyttelsesraringdgiver med et departement
Som eksempel herparing kan naeligvnes Datatilsynet og Justitsministeriets departement Dette er bla
henset til Datatilsynets funktionelle uafhaeligngighed i forhold til Justitsministeriet samt tilsynets spe-
cielle kompetence og rolle i forhold til databeskyttelsesforordningen Som et andet eksempel kan
naeligvnes Ankestyrelsens relation til (paring nuvaeligrende tidspunkt) Oslashkonomi- og Indenrigsministeriets
departement Her kan bla peges paring maeligngden og karakteren af data som behandles i Ankesty-
relsen samt styrelsens faglige uafhaeligngighed af departementet
Organisatoriske aeligndringer kan ogsaring bevirke at det i visse situationer ndash af praktiske aringrsager ndash
kan vaeligre mere oplagt for en underordnet myndighed at have sin egen databeskyttelsesraringdgiver
fremfor at dele med sit departement Hvis en underordnet myndighed saringledes har sin egen data-
beskyttelsesraringdgiver kan denne blot fortsaeligtte under samme kontrakt vilkaringr mv uanset at en
Vejledning om databeskyttelsesraringdgivere
19
myndighed efter eksempelvis et regeringsskifte organisatorisk placeres under et andet ministe-
rium
Eksempel - Selvejende institutioner
I det omfang selvejende institutioner kan anses for en offentlig myndighed eller et organ vil disse
myndigheder ogsaring have mulighed for at udpege en faeliglles databeskyttelsesraringdgiver med en an-
den selvejende institution omfattet af samme lovgivning eller feks den kommune som institutio-
nen har driftsoverenskomst med i det omfang kommunen yder sekretariatsbistand til institutio-
nen
44 Opsummering
Alle offentlige myndigheder og organer skal udpege en databeskyttelsesraringdgiver
fra den 25 maj 2018
Det er i hoslashj grad muligt at udpege en faeliglles databeskyttelsesraringdgiver der funge-
rer paring vegne af flere myndigheder paring eacuten gang
Muligheden for at have en faeliglles databeskyttelsesraringdgiver begraelignses af at
denne skal kunne leve op til sine forpligtelser efter databeskyttelsesforordningen
Databeskyttelsesraringdgiveren kan understoslashttes af en enhed for at kunne udfoslashre sit
hverv i overensstemmelse med forordningens krav Dette gaeliglder uanset om da-
tabeskyttelsesraringdgiveren fungerer for eacuten myndighed eller for flere myndigheder
og organer
Vejledning om databeskyttelsesraringdgivere
20
5 Databeskyttelsesraringdgiveren
51 Krav til faglige kvalifikationer
En databeskyttelsesraringdgiver skal udpeges paring baggrund af sine faglige kvalifikationer Dette
gaeliglder navnlig evnen til at udfoslashre sine opgaver som databeskyttelsesraringdgiver og ekspertise in-
den for databeskyttelsesret- og praksis
Der er ikke krav om at en databeskyttelsesraringdgiver skal have en bestemt uddannelsesmaeligssig
baggrund feks som jurist
Dermed er det op til den enkelte organisation at vurdere hvem der er bedst egnet til at varetage
stillingen som databeskyttelsesraringdgiver
Kravene til stillingen afhaelignger til en vis grad af kompleksiteten af den behandling af personop-
lysninger som den paringgaeligldende organisation foretager Dermed kan der for nogen organisatio-
ner vaeligre behov for at ansaeligtte en databeskyttelsesraringdgiver med stor erfaring inden for feltet og
i andre tilfaeliglde kan en eksisterende medarbejder paring baggrund af diverse kurser varetage funkti-
onen
Hvis der udpeges en databeskyttelsesraringdgiver fra egen organisation kan det med fordel vaeligre
en person som i forvejen har et vist kendskab til eller indsigt i haringndtering af databeskyttelses-
retlige sposlashrgsmaringl i organisationen
52 Hvem kan vaeligre databeskyttelsesraringdgiver
Som udgangspunkt kan alle som organisationen finder kvalificeret til at vaeligre databeskyttelses-
raringdgiver varetage funktionen
Foslashlgende kan derfor vaeligre databeskyttelsesraringdgivere
En intern medarbejder
En faeliglles databeskyttelsesraringdgiver for hele eller flere organisationer
En ekstern databeskyttelsesraringdgiver
Intern medarbejder
En organisation kan vaeliglge at udpege en eksisterende medarbejder som databeskyttelsesraringdgi-
ver
Det er ikke et krav at den medarbejder der varetager funktionen som databeskyttelsesraringdgiver
udoslashver sin funktion paring fuld tid
Vejledning om databeskyttelsesraringdgivere
21
Dermed kan en intern medarbejder der varetager funktionen som databeskyttelsesraringdgiver ud-
foslashre andre opgaver og have andre pligter i organisationen
Saringledes kan en medarbejder der feks arbejder i IT-sektionen i en organisation godt varetage
funktionen som databeskyttelsesraringdgiver paring deltid eller 10 timer om ugen alt efter behovet i
den enkelte organisation
Det afgoslashrende er at den paringgaeligldende medarbejder fyldestgoslashrende kan udoslashve sit erhverv som
databeskyttelsesraringdgiver i organisationen
Den person der udpeges kan med fordel vaeligre en person som i forvejen har et vist kendskab
til eller indsigt i haringndtering af databeskyttelsesretlige sposlashrgsmaringl i organisationen
Selve vurderingen af hvor meget tid en medarbejder skal bruge paring fyldestgoslashrende at kunne ef-
terleve kravene til en databeskyttelsesraringdgiver i organisationen afhaelignger af en konkret vurde-
ring af behovet hos organisationen
Interne ansatte der ikke kan vaeligre databeskyttelsesraringdgiver
En databeskyttelsesraringdgiver skal baringde vaeligre uafhaeligngig og vaeligre i stand til at udoslashve uvildig raringd-
givning til organisationen
Derfor kan en databeskyttelsesraringdgiver ikke vaeligre den oslashverste IT-ansvarlige eller oslashverste HR-
ansvarlige i en organisation
Eksempel ndash virksomhed med faring ansatte
Virksomheder med faring ansatte herunder feks enkeltmandsvirksomheder vil have svaeligrt ved at
opfylde betingelsen om at en databeskyttelsesraringdgiver ikke kan vaeligre oslashverste IT-ansvarlige eller
oslashverste HR-ansvarlige i en organisation (forudsat at virksomheden i oslashvrigt opfylder betingelserne
for hvornaringr private skal udpege en databeskyttelsesraringdgiver jf naeligrmere om privates forpligtelse
under punkt 3) I en saringdan situation kan virksomheden enten benytte sig af muligheden for at
udpege en faeliglles databeskyttelsesraringdgiver eller anvende en konsulent til opgaven
Databeskyttelsesraringdgiverenhed
Der kan ogsaring udpeges eacuten databeskyttelsesraringdgiver for den paringgaeligldende organisation som un-
derstoslashttes af en enhed saring den paringgaeligldende kan leve op til sine forpligtelser efter forordningen jf
den ovenfor beskrevne ordning for politiet
Faeliglles databeskyttelsesraringdgiver
Saringvel private som offentlige myndigheder kan udpege en faeliglles databeskyttelsesraringdgiver af-
haeligngig af deres struktur og stoslashrrelse
Medarbejdere som ikke har det oslashverste ansvar kan vaeligre databe-
skyttelsesraringdgivere Det betyder at ledende IT-medarbejdere
compliance-officerer eller en it-sikkerheds koordinator mv kan
udoslashve funktionen som databeskyttelsesraringdgiver i organisationen
Vejledning om databeskyttelsesraringdgivere
22
Ekstern medarbejder
Man kan ogsaring vaeliglge at udpege en ekstern databeskyttelsesraringdgiver Dette kan enten vaeligre en
raringdgiver (konsulentvirksomhed) saringsom en bestemt advokat eller revisor eller andre kvalifice-
rede eksterne parter Udoslashvelsen af hvervet som databeskyttelsesraringdgiver vil dog i sagens natur
alene kunne udoslashves i det omfang dette er foreneligt med eventuelle regler ndash herunder etiske
krav ndash for den relevante type af raringdgivervirksomhed mv
53 Databeskyttelsesraringdgiverens opgaver
Databeskyttelsesraringdgiveren funktion bestaringr i at raringdgive den dataansvarlige og hjaeliglpe med at
organisationen efterlever de databeskyttelsesretlige regler
En databeskyttelsesraringdgiver skal desuden prioritere sine opgaver og fokusere paring de behandlin-
ger af personoplysninger i den paringgaeligldende organisation som konkret indebaeligrer en hoslashjere ri-
siko for brud paring de databeskyttelsesretlige regler Dog skal oslashvrige databeskyttelsesretlige omraring-
der som indebaeligrer en lavere grad af risiko ikke undlades
Der er en raeligkke opgaver som databeskyttelsesraringdgiveren som minimum skal varetage Der er
dog ikke noget til hinder for at der overlades flere opgaver til databeskyttelsesraringdgiveren Da-
tabeskyttelsesraringdgiverens rolle som central raringdgivningsfigur i organisationen samt dennes op-
gaver kan med fordel beskrives naeligrmere i en (ansaeligttelses)aftale
Nedenfor foslashlger en naeligrmere beskrivelse af de opgaver som databeskyttelsesraringdgiveren som
minimum skal varetage i en organisation
Underrette og raringdgive organisationen og de ansatte om databeskyttelse
Det indebaeligrer
Konkret raringdgivning om beskyttelse af personoplysninger i organisationen samt
overvejelser og beslutninger om hvordan compliance sikres mv feks i forbin-
delse med foslashlgende
Organisationens indkoslashb af nyt IT-system
kravsspecifikationer til leverandoslashrer
udarbejdelse af organisationens data-politikker
ivaeligrksaeligttelse af behandling af personoplysninger
overvejelser om hvorvidt en given behandling af personoplysninger over-
holder de generelle behandlingsregler
Staring til raringdighed for ansatte samt ledelsen i organisationen vedroslashrende sposlashrgsmaringl
om databeskyttelse
Vejledning om databeskyttelsesraringdgivere
23
Raringdgivning i forbindelse med udarbejdelse af organisationens konsekvensanaly-
ser jf afsnit 3 nedenfor
Modtage underretning om og raringdgive organisationen i forbindelse med brud paring
persondatasikkerheden
Overvaringge overholdelsen af de databeskyttelsesretlige regler i organisationen
Det indebaeligrer bla ogsaring at overvaringge
organisationens politikker om databeskyttelse
uddannelse af personale i databeskyttelse
oplysningskampagner
fordeling af ansvar
revisioner
Det skal hertil bemaeligrkes at databeskyttelsesraringdgiverens opgave med at overvaringge overholdel-
sen af de databeskyttelsesretlige regler i organisationen ikke medfoslashrer at raringdgiveren overtager
selve ansvaret for at behandlingen af personoplysninger sker i overensstemmelse med reg-
lerne Dette ansvar ligger fortsat hos den dataansvarlige
Raringdgivning i forbindelse med udarbejdelse af organisationens konsekvensanalyser
I visse tilfaeliglde skal organisationer udarbejde en konsekvensanalyse af en planlagt behandling
af personoplysninger
I de tilfaeliglde hvor en organisation har udpeget en databeskyttelsesraringdgiver skal denne raringdfoslash-
res naringr der foretages en konsekvensanalyse
Herudover skal databeskyttelsesraringdgiveren raringdgive med hensyn til konsekvensanalysen naringr
der anmodes herom
Som led i overvaringgningsopgaven kan databeskyttel-
sesraringdgiveren foretage foslashlgende
indsamle oplysninger til at identificere
behandlingsaktiviteter
informere raringdgive og komme med an-
befalinger til den dataansvarlige og da-
tabehandleren
Vejledning om databeskyttelsesraringdgivere
24
I tilfaeliglde af uenighed mellem organisationen og databeskyttelsesraringdgiveren anbefales det at
det specifikt fremgaringr af selve konsekvensanalysen hvorfor databeskyttelsesraringdgiverens indstil-
ling ikke er blevet fulgt
Samarbejde med Datatilsynet paring vegne af organisationen
En organisation er forpligtet til at hoslashre Datatilsynet inden behandling hvis en konsekvensana-
lyse vedroslashrende databeskyttelse viser at behandlingen af personoplysninger vil foslashre til hoslashj ri-
siko i mangel af foranstaltninger truffet af organisation for at begraelignse risikoen
Det foslashlger af forordningen at databeskyttelsesraringdgiveren skal samarbejde med tilsynsmyndig-
heden og fungere som tilsynsmyndighedens kontaktperson Det kan feks vaeligre databeskyttel-
sesraringdgiveren der paring vegne af den dataansvarlige hoslashrer tilsynsmyndigheden
Vaeligre kontaktpunkt for tilsynsmyndigheden (Datatilsynet) angaringende alle sposlashrgsmaringl om behand-
ling af personoplysninger for de personer der behandles oplysninger om
Databeskyttelsesraringdgiveren skal inddrages af den dataansvarlige i tilfaeliglde af at konkrete kla-
gesager indbringes for Datatilsynet Databeskyttelsesraringdgiveren boslashr ligeledes orienteres naringr
Datatilsynet beslutter at gennemfoslashre et eventuelt tilsyn af den dataansvarlige
Herudover skal databeskyttelsesraringdgiveren ogsaring vaeligre i stand til at vejlede den person der be-
handles personoplysninger om Det betyder at databeskyttelsesraringdgiveren skal vaeligre i stand til
at vejlede om hvilke rettigheder den paringgaeligldende har og hvordan de kan udnyttes
Det indebaeligrer endvidere at den dataansvarlige skal give meddelelse om kontaktoplysninger paring
databeskyttelsesraringdgiveren
Det anbefales i oslashvrigt at organisationen i en funktionsbeskrivelse klart definerer hvilke opgaver
der paringhviler databeskyttelsesraringdgiveren En funktionsbeskrivelse vil goslashre det tydeligt hvornaringr
Raringdgivning i forhold til konsekvensanalyser kan bla indebaeligre raringdgiv-
ning vedroslashrende
om der skal gennemfoslashres en konsekvensanalyse
hvilken fremgangsmaringde der skal anvendes ved gennemfoslash-
relse af konsekvensanalysen
om konsekvensanalysen kan gennemfoslashres internt eller om
gennemfoslashrelsen kraeligver antagelse af ekstern bistand
hvilke sikkerhedsforanstaltninger (tekniske og organisatori-
ske) som skal anvendes for at begraelignse risici i forhold til
de registreredes rettigheder og interesser
om konsekvensanalysen er korrekt gennemfoslashrt og om
dens konklusioner er i overensstemmelse med de databe-
skyttelsesretlige regler
Vejledning om databeskyttelsesraringdgivere
25
den paringgaeligldende virker som databeskyttelsesraringdgiver og i denne egenskab ikke kan instrueres
Det vil samtidig blive tydeligt hvornaringr den paringgaeligldende udfoslashrer andre opgaver i sit ordinaeligre an-
saeligttelsesforhold i organisationen
54 Krav til organisationen ndash rettidig og tilstraeligkkelig inddragelse af databeskyt-
telsesraringdgiveren
En organisation skal sikre at databeskyttelsesraringdgiveren inddrages tilstraeligkkeligt og rettidigt i
alle sposlashrgsmaringl vedroslashrende beskyttelse af personoplysninger En saringdan inddragelse boslashr ogsaring
ske paring oslashverste ledelsesmaeligssige niveau (feks ved deltagelse paring direktions- og ledelsesmoslashder)
Det anbefales at organisationen implementerer procedurer som sikrer dette
I hvilke tilfaeliglde skal databeskyttelsesraringdgiveren inddrages
Databeskyttelsesraringdgiveren skal inddrages i alle de overvejelser og vurderinger som organisa-
tionen goslashr sig for at overholde kravene i databeskyttelsesforordningen databeskyttelsesloven
og oslashvrige regler for behandling af personoplysninger
Eksempel paring sposlashrgsmaringl hvor databeskyttelsesraringdgiveren boslashr inddrages
ved overvejelser og beslutninger om hvordan organisationens compliance med
databeskyttelsesreglerne sikres
ved overvejelser i forbindelse med datasikkerhed herunder databeskyttelse gen-
nem design og standardindstillinger og
ved udarbejdelse af konsekvensanalyser
Saringfremt databeskyttelsesraringdgiveren udpeges foslashr den 25 maj 2018 kan denne inddrages i or-
ganisationens implementering af de krav der foslashlger af forordningen
Eksempel paring sposlashrgsmaringl hvor databeskyttelsesraringdgiveren ikke
skal inddrages
Konkrete vurderinger ift registreredes rettigheder
feks anmodning paring indsigt ret til at blive glemt
mv
Deltagelse i mindre praktiske eller almindelige
driftsopgaver eller driftsmaeligssige sposlashrgsmaringl knyt-
tet til opsaeligtning af it-systemer
Udarbejdelse af konkrete databehandleraftaler
Behandling af personoplysninger der finder sted i
overensstemmelse med interne regler som den da-
taansvarlige har fastsat forudsat at disse regler er
fastsat under inddragelse af databeskyttelsesraringdgi-
veren
Vejledning om databeskyttelsesraringdgivere
26
Hvordan skal databeskyttelsesraringdgiveren inddrages
For at sikre at databeskyttelsesraringdgiveren inddrages tilstraeligkkeligt og rettidigt er organisationen
forpligtet til at holde databeskyttelsesraringdgiveren tilstraeligkkeligt og rettidigt orienteret om alle
sposlashrgsmaringl om beskyttelse af personoplysninger
Som tommelfingerregel skal databeskyttelsesraringdgiveren have mulighed for at vurdere overhol-
delsen af de databeskyttelsesretlige regler og komme med bemaeligrkninger eller lignende inden
en behandling af personoplysninger igangsaeligttes
Hvornaringr er inddragelsen rettidig
Databeskyttelsesraringdgiveren skal inddrages i saring god tid som det er muligt forud for ivaeligrksaeligttel-
sen af behandling af personoplysninger
Det er afgoslashrende at databeskyttelsesraringdgiveren inddrages i tide til at kunne foretage en reel
vurdering af om den paringtaelignkte behandling af personoplysninger er i overensstemmelse med de
databeskyttelsesretlige regler og dermed kan komme med kvalificerede bemaeligrkninger herom
med henblik paring at raringdgive organisationen
Eksempler paring rettidig inddragelse
Inddrages forud for beslutning om noslashdvendige
foranstaltninger i IT-systemer for at efterleve kra-
vene om databeskyttelse gennem design og stan-
dardindstillinger
Inddrages forud for udstedelse af retningslinjer og
procedurer for hvordan de databeskyttelsesret-
lige regler skal overholdes i organisationen
Inddragelse foslashr offentliggoslashrelse af udbudsmateri-
ale i en udbudsproces eller lignende
Eksempler paring ikke-rettidig inddragelse
Inddragelse af databeskyttelsesraringdgiveren efter
et nyt IT-system er faeligrdigudviklet
Inddragelse af databeskyttelsesraringdgiveren efter
indkoslashb af IT-systemer (dermed ikke en del af
overvejelserne vedr kravspecifikation og databe-
skyttelse gennem design og standardindstillin-
ger)
Inddragelse af databeskyttelsesraringdgiveren efter
at en konsekvensanalyse er udarbejdet
Inddragelse af databeskyttelsesraringdgiveren efter
stoslashrre aeligndringer i organisationens procedurer
der vedroslashrer databeskyttelse saringsom haringndtering
af anmodninger fra registrerede personer
Vejledning om databeskyttelsesraringdgivere
27
Behandlingsaktiviteter igangsat foslashr en databeskyttelsesraringdgiver udpeges
Naringr en organisation udpeger en databeskyttelsesraringdgiver vil der selvsagt vaeligre behandlinger af
personoplysninger der allerede er igangsat i organisationen
Databeskyttelsesraringdgiveren boslashr ved udpegelsen primaeligrt have fokus paring de fremadrettede com-
pliance aktiviteter Derudover kan databeskyttelsesraringdgiveren ndash ud fra en risikovurdering i for-
hold til de behandlinger som konkret indebaeligrer hoslashjere risiko ndash inddrages i organisationens
overvejelser om hvorvidt de igangvaeligrende aktiviteter overholder de databeskyttelsesretlige
regler
Hvornaringr er inddragelsen tilstraeligkkelig
Der skal ske en reel inddragelse af databeskyttelsesraringdgiveren i organisationens overvejelser
og beslutninger vedroslashrende databeskyttelse
Det indebaeligrer at organisationen skal inddrage og tage hoslashjde for databeskyttelsesraringdgiverens
bemaeligrkninger og raringdgivning i oslashvrigt samt dennes rapportering til oslashverste ledelsesniveau om
overholdelse af de databeskyttelsesretlige regler
Saringfremt databeskyttelsesraringdgiverens raringdgivning ikke foslashlges anbefales det at organisationen
dokumenterer dette i overensstemmelse med kravet om accountability
Ressourcer og adgang
Ressourcer
For at databeskyttelsesraringdgiveren rent faktisk kan udfoslashre sine opgaver er det noslashdvendigt at
organisationens tilvejebringer de noslashdvendige ressourcer til stoslashtte for databeskyttelsesraringdgive-
ren
Det er endvidere et krav at organisationen tilvejebringer de fornoslashdne ressourcer for at databe-
skyttelsesraringdgiveren kan opretholde sin ekspertise inden for omraringdet
Fastsaeligttelsen af de fornoslashdne ressourcer beror paring en konkret vurdering som afhaelignger af de
organisatoriske forhold i organisationen saringsom stoslashrrelsen antallet af behandlingsaktiviteter
kompleksiteten af behandlingen af personoplysninger samt de forbundne risici
Jo stoslashrre en organisation er des stoslashrre er behovet for ressourcer til stoslashtte for databeskyttelses-
raringdgiveren
Selve behovet for ressourcer beror paring en konkret vurde-
ring som organisationen er ansvarlig for at foretage
Som eksempler paring fornoslashdne ressourcer kan naeligvnes
Faciliteter og arbejdsredskaber
Oslashkonomiske ressourcer
Personaleressourcer og lignende
Vejledning om databeskyttelsesraringdgivere
28
Adgang
Databeskyttelsesraringdgiveren skal ogsaring have adgang til organisationens personoplysninger og
den behandling af disse som organisationen foretager
Der skal vaeligre tale om en vid adgang som kan tilvejebringes efter behov
Uafhaeligngighed
Det er et grundlaeligggende krav at en databeskyttelsesraringdgiver ikke maring blive instrueret af andre
om hvordan raringdgiveren skal udfoslashre sine opgaver Der gaeliglder saringledes foslashlgende for databeskyt-
telsesraringdgiveren
Maring ikke som led i sin funktion som databeskyttelsesraringdgiver modtage instruks om
hvordan denne skal udfoslashre sine opgaver (eller feks om en bestemt vurdering el-
ler fortolkning af forordningen)
Maring ikke afskediges eller sanktioneres for at udfoslashre sine opgaver
Rapporterer direkte til oslashverste ledelsesniveau
Databeskyttelsesraringdgiverens interne reaktionsmuligheder er i praksis taeligt forbundne med at
ovenstaringende krav til uafhaeligngighed efterleves Idet en databeskyttelsesraringdgiver ikke har instruk-
tionsbefoslashjelser over for andre dele af den dataansvarliges organisation er det i praksis mulighe-
den for at kunne rapportere direkte til oslashverste ledelsesniveau der er raringdgiverens interne virke-
middel overfor konstaterede brud paring forordningen
Hvor det oslashverste ledelsesniveau er afhaelignger af organiseringen hos den konkrete dataansvarlige
eller databehandleren
I forhold til det private erhvervsliv fremgaringr det af selskabsloven at det er bestyrelsen der er det
centrale eller oslashverste ledelsesorgan i selskaber der baringde har en bestyrelse og en direktion Naringr
der i databeskyttelsesforordningen henvises til det oslashverste ledelsesniveau maring det i det private
forstarings i relation til den daglige drift og dermed direktionen saringfremt selskabet har baringde en besty-
relse og en direktion Det vil i praksis betyde at direktionen skal orientere bestyrelsen om vaelig-
sentlige forhold som paringpeges af databeskyttelsesraringdgiveren
For statslige myndigheder maring den oslashverste ledelse forstarings som den oslashverste administrative le-
delse
For saring vidt angaringr kommuner og regioner gaeliglder at databeskyttelsesraringdgiveren rapporterer di-
rekte til kommunalbestyrelsen henholdsvis regionsraringdet Denne rapportering forelaeliggges for kom-
munalbestyrelsen henholdsvis regionsraringdet uden den forudgaringende udvalgsbehandling som de
kommunale og regionale sager ellers normalt skal undergives Dette udelukker dog ikke at en
kommune kan indhente en erklaeligring fra oslashkonomiudvalget forinden forelaeligggelse for kommunal-
bestyrelsen
55 Beskyttelse af databeskyttelsesraringdgiveren
Funktionen som databeskyttelsesraringdgiver er beskyttet ved et forbud mod at kunne blive afskedi-
get for udfoslashrelse af opgaverne som databeskyttelsesraringdgiver
Vejledning om databeskyttelsesraringdgivere
29
Usaglig afskedigelse af en databeskyttelsesraringdgiver er sanktioneret med en boslashde
Databeskyttelsesraringdgiveren vil kunne afskediges paring et sagligt grundlag efter almindelige ansaeligt-
telsesretlige regler
56 Opsummering
En databeskyttelsesraringdgiver udpeges paring baggrund af sine faglige kvalifikationer
Databeskyttelsesraringdgiveren kan baringde vaeligre en intern medarbejder en faeliglles da-
tabeskyttelsesraringdgiver for hele eller flere organisationer eller en ekstern databe-
skyttelsesraringdgiver
Databeskyttelsesraringdgiveren har en raeligkke opgaver denne som minimum skal va-
retage Derudover anbefales det at man klart definerer hvilke opgaver der paringhvi-
ler databeskyttelsesraringdgiveren
En organisation skal rettidig og tilstraeligkkelig inddrage databeskyttelsesraringdgiveren
i alle sposlashrgsmaringl vedroslashrende beskyttelse af personoplysninger
Databeskyttelsesraringdgiveren nyder en saeligrlig beskyttelse mod usaglig afskedi-
gelse og kan ikke afskediges eller sanktioneres for at udfoslashre sine opgaver som
Databeskyttelsesraringdgiver
Dato
20 december 2017
Justitsministeriet
Slotsholmsgade 10
1216 Koslashbenhavn K
Telefon
72 26 84 00
jmjmdk
Eksempler paring tilfaeliglde hvor en databeskyttelsesraringd-
giver kan afskediges
Ikke udfoslashrer sine arbejdsopgaver
Misligholder ansaeligttelsesforholdet
Samarbejdsvanskeligheder
Vejledning om databeskyttelsesraringdgivere
30
ISBN
978-88-98564-35-7
Foto
Scanpix
Vejledning om databeskyttelsesraringdgivere
14
4 Offentlige myndigheders forpligtelse til
at udpege en databeskyttelsesraringdgiver
Offentlige myndigheder og offentlige organer skal altid have en databeskyttelsesraringdgiver uanset
om de er dataansvarlige eller databehandlere
41 Hvornaringr skal offentlige myndigheder udpege en databeskyttelsesraringdgiver
I det omfang behandling foretages af en offentlig myndighed eller et offentligt organ skal myndig-
heden eller organet altid have en databeskyttelsesraringdgiver hvad enten de er dataansvarlige eller
databehandlere
Det betyder at der ogsaring skal udpeges en databeskyttelsesraringdgiver hvis den offentlige myndig-
hed eller organ behandler personoplysninger paring vegne af en privat eller selv outsourcer sin da-
tabehandling til en privat som ikke er forpligtet til at udpege en databeskyttelsesraringdgiver Det kan
feks vaeligre tilfaeligldet naringr offentlige myndigheder eller organer vaeliglger at overlade til en anden at
udfoslashre selve den praktiske behandling af personoplysninger paring den dataansvarliges vegne
Den eneste undtagelse hertil er domstole der ikke er forpligtede til at udpege en databeskyttel-
sesraringdgiver naringr de handler i deres egenskab af domstole
42 Hvornaringr er man en offentlig myndighed
De myndigheder der i dansk ret henregnes til den offentlige forvaltning i medfoslashr af forvaltnings-
lovens sect 1 stk 1-2 skal anses for offentlige myndigheder eller organer og er dermed forpligtede
til at udpege en databeskyttelsesraringdgiver Det fremgaringr heraf at foslashlgende virksomheder omfattes
af loven al virksomhed der udoslashves af den offentlige forvaltning og al virksomhed der udoslashves af
selvejende institutioner foreninger fonde mv der er oprettet ved lov eller i henhold til lov og
selvejende institutioner foreninger fonde mv der er oprettet paring privatretligt grundlag og som
udoslashver offentlig virksomhed af mere omfattende karakter og er undergivet intensiv offentlig regu-
lering intensivt offentlig tilsyn og intensiv offentlig kontrol
I forhold til selvejende institutioner mv oprettet paring privatretligt grundlag vil der saringledes vaeligre
nogle som omfattes af kravet om at have en databeskyttelsesraringdgiver mens andre ikke omfattes
Det vil bero paring en konkret vurdering
Selvejende institutioner mv oprettet paring privatretligt grundlag som udoslashver offentlig virksomhed
af mere omfattende karakter og er undergivet intensiv offentlig regulering intensivt offentlig tilsyn
og intensiv offentlig kontrol vil vaeligre omfattet
Det spiller endvidere ind om det offentlige har instruktionsbefoslashjelser over for institutionen om det
offentlige skal godkende institutionens vedtaeliggter og om det offentlige yder sekretariatsbistand
Vejledning om databeskyttelsesraringdgivere
15
til institutionen Herudover maring man se paring om det offentlige skal godkende institutionens regn-
skaber og om institutionens drift og virksomhed er detaljeret reguleret ved regler og retningslinjer
udstedt af det offentlige Endelig kan man tage hensyn til om det offentlige overtager institutio-
nens rettigheder og forpligtelser hvis den nedlaeliggges
Eksempler paring selvejende institutioner mv der er omfattet
- Universiteter
- Institutioner hvor kommunalbestyrelsen har indgaringet overenskomst til opfyldelse af sine forplig-
telser efter lov om social service
- Gymnasieskoler
Eksempler paring selvejende institutioner og foreninger der ikke er omfattet
- Danske Regioner og KL
- Dansk Flygtningehjaeliglp
For saring vidt angaringr statslige og kommunale institutioner der er organiseret i selskabsform feks
som aktieselskab eller interessentskab vil disse umiddelbart aldrig vaeligre omfattet Dette er ogsaring
tilfaeligldet for koncessionerede selskaber og selskaber hvori staten eller en kommune er aktionaeligr
interessent eller lignende uanset om staten eller kommunen ejer selskabet 100 Det har i den
forbindelse ingen betydning hvilke aktiviteter organet udfoslashrer ligesom det ikke i sig selv kan foslashre
til et andet resultat at selskabet maringtte vaeligre oprettet ved lov eller i henhold til lov
Dog er kommunale faeligllesskaber jf sect 60 i lov om kommunernes styrelse hvortil to eller flere
kommuner overfoslashrer opgaver til selvstaeligndig varetagelse altid offentlige myndigheder Det gaeligl-
der uanset at kommunale faeligllesskaber normalt etableres som interessentskaber Det kommu-
nale faeligllesskab er selvstaeligndigt dataansvarligt og skal udpege en databeskyttelsesraringdgiver
Eksempel paring institution der er organiseret i selskabsform der ikke er omfattet
- Staten og Kommunernes Indkoslashbs Service AS
Saringfremt der ikke er tale om en offentlig myndighed eller organ skal bedoslashmmelsen af hvorvidt
man har pligt til at udpege en databeskyttelsesraringdgiver foretages i henhold til betingelserne be-
skrevet ovenfor under punkt 3 vedroslashrende privates forpligtelse til at udpege en databeskyttel-
sesraringdgiver
43 Faeliglles databeskyttelsesraringdgiver for offentlige myndigheder
Flere myndigheder eller organer vil i mange tilfaeliglde kunne have en faeliglles databeskyttelsesraringd-
giver forudsat at det er i overensstemmelse med deres organisatoriske struktur og stoslashrrelse I
den forbindelse kan det vaeligre relevant at overveje om raringdgiveren skal fungere paring baggrund af
eacuten ansaeligttelseskontrakt for to forskellige myndigheder eller to deltidskontrakter
Herudover vil en databeskyttelsesraringdgiver kunne vaeligre ansat paring en deltidskontrakt hos eacuten myn-
dighed og ansat paring baggrund af en tjenesteydelseskontrakt i en anden myndighed eller organi-
sation
Vejledning om databeskyttelsesraringdgivere
16
Saringfremt flere myndigheder har en faeliglles databeskyttelsesraringdgiver er det dog en forudsaeligtning
at databeskyttelsesraringdgiveren kan efterleve kravene i databeskyttelsesforordningen til en data-
beskyttelsesraringdgiver herunder til dennes stilling opgaver uafhaeligngighed og tilgaeligngelighed mv
naringr denne loslashser opgaven for flere myndigheder paring eacuten gang
For saring vidt angaringr tilgaeligngelighed er der ikke et krav om fysisk tilstedevaeligrelse paring alle lokationer
saringfremt der anvendes en faeliglles databeskyttelsesraringdgiver De enkelte myndigheder har i den for-
bindelse mulighed for at aftale hvordan den fysiske tilgaeligngelighed i praksis kan loslashftes herunder
feks ved hjaeliglp af mail telefon internet mm Det er i relation til kravet om tilgaeligngelighed endvi-
dere vaeligrd at bemaeligrke at flere myndigheder som naeligvnt godt kan have en faeliglles raringdgiver men
at databeskyttelsesraringdgiveren skal kunne (naring at) varetage sin raringdgivningsopgave fyldestgoslashrende
for alle de myndigheder for hvilke den paringgaeligldende varetager opgaven som databeskyttelses-
raringdgiver Her kan det bla vaeligre relevant at se paring maeligngden af personoplysninger der behandles
i en given myndighed
I relation til uafhaeligngighedskriteriet bemaeligrkes at det kan vaeligre betaelignkeligt at lade visse myndig-
heder have en faeliglles databeskyttelsesraringdgiver jf nedenfor under afsnittet rdquoEksempel ndash Ministe-
rier og underordnede myndighederrdquo
Der henvises i oslashvrigt til afsnit 5 i denne vejledning
Det er endvidere et krav at der er eacuten der er personligt ansvarlig for hvervet som databeskyttel-
sesraringdgiver
Som foslashlge af kravet om at udpegningen af en faeliglles databeskyttelsesraringdgiver skal vaeligre i over-
ensstemmelse med myndigheden eller organets organisatoriske struktur og stoslashrrelse stilles der
krav til selve ansaeligttelsen af databeskyttelsesraringdgiveren
Den retlige graelignse for at dele en databeskyttelsesraringdgiver vil i et saringdan tilfaeliglde vaeligre de gaeligl-
dende standarder om offentlige ansattes bierhverv de almindelige habilitetsregler og muligheden
for at efterleve kravene i forordningen herunder tilstraeligkkelige ressourcer i forhold til at udfoslashre
hvervet
Vejledning om databeskyttelsesraringdgivere
17
Kommuner
Det antages ikke at vaeligre i overensstemmelse med en offentlig myndigheds struktur eller stoslashr-
relse hvis en databeskyttelsesraringdgiver fungerer paring baggrund af eacuten ansaeligttelseskontrakt i to for-
skellige kommuner Det antages derimod omvendt at vaeligre i overensstemmelse hermed saring-
fremt raringdgiveren udoslashver sin funktion paring baggrund af to deltidskontrakter i to kommuner paring
samme tid
Eksempel ndash En kommune
En kommune vil typisk vaeligre dataansvarlig for alle de behandlinger af personoplysninger som
foretages inden for den kommunale enhedsforvaltning Derfor er en kommune ikke forpligtet til at
udpege eacuten databeskyttelsesraringdgiver for de enkelte forvaltninger men vil kunne udpege eacuten data-
beskyttelsesraringdgiver for hele kommunen
Eksempel ndash organer med selvstaeligndig kompetence paring det kommunale omraringde
Det bemaeligrkes at der paring det kommunale omraringde kan vaeligre organer som ikke er en del af den
kommunale enhedsforvaltning men har selvstaeligndig kompetence paring det kommunale omraringde
feks huslejenaeligvnet ligesom der kan vaeligre kommunale organer som er en del af enhedsforvalt-
ningen der i visse henseender har en ndash i forhold til kommunalbestyrelsen ndash selvstaeligndig kompe-
tence herunder feks skoleledere
Naringr det i lovgivningen er fastsat eller forudsat at disse organer sekretariatsbetjenes af kommu-
nen og kommunen yder sekretariatsbetjening kan organerne have faeliglles databeskyttelsesraringd-
giver med kommunen og er ikke forpligtet til selvstaeligndigt at udpege en databeskyttelsesraringdgiver
ved siden af kommunens Databeskyttelsesraringdgiverens ydelser vil i den forbindelse vaeligre en del
af sekretariatsbetjeningen
Eksempel ndash Flere kommuner
Flere kommuner vil have mulighed for at dele en databeskyttelsesraringdgiver Som udgangspunkt
vurderes det at feks en gennemsnitskommune paring omkring 45000 indbyggere godt vil kunne
dele en databeskyttelsesraringdgiver med en anden tilsvarende eller en mindre kommune eller at en
lidt stoslashrre kommune vil kunne dele med en mindre kommune hvis databeskyttelsesraringdgiveren
Eksempel - Rigspolitiets databeskyttelsesenhed
Rigspolitiet har udpeget en faeliglles databeskyttelsesraringdgiver for landets 12
politikredse og Rigspolitiet for saring vidt angaringr behandlingen af personoplys-
ninger til brug for retsharingndhaeligvelsesformaringl
Den faeliglles databeskyttelsesraringdgiver understoslashttes i den forbindelse af en cen-
tral datebeskyttelsesenhed i Rigspolitiet hvor de enkelte medarbejdere be-
sidder stort kendskab til persondateretlige og forretningsmaeligssige forhold
med relevans for enhedens opgavevaretagelse Paring denne baggrund kan da-
tabeskyttelsesraringdgiveren samlet set leve op til sine forpligtelser som databe-
skyttelsesraringdgiver i medfoslashr af lov om retsharingndhaeligvende myndigheders be-
handling af personoplysninger som er lig dem der foslashlger af databeskyttel-
sesforordningen
Vejledning om databeskyttelsesraringdgivere
18
samlet set vurderes at kunne varetage opgaverne som databeskyttelsesraringdgiver Der skal saringle-
des foretages en konkret vurdering i det enkelte tilfaeliglde idet det afgoslashrende er om man som
databeskyttelsesraringdgiver kan efterleve sin funktion retmaeligssigt naringr funktionen udoslashves for flere
kommuner paring samme tid
Herudover vil to eller flere kommuner kunne oprette et kommunalt faeligllesskab til hvilket de garingr
sammen om at loslashse opgaven som databeskyttelsesraringdgiver i de deltagende kommuner
Eksempel - Regioner
En region vil typisk ogsaring vaeligre dataansvarlig for alle de behandlinger af personoplysninger der
foretages inden for regionen herunder drift af hospitaler forskning og sociale tilbud mv Hver
region vil som udgangspunkt kunne udpege eacuten databeskyttelsesraringdgiver
Eksempel - Ministerier og underordnede myndigheder
Departementer og underordnede myndigheder kan have en faeliglles databeskyttelsesraringdgiver
Dog kan der vaeligre hindringer som feks myndighedens stoslashrrelse der bevirker at man ikke kan
dele en databeskyttelsesraringdgiver Som eksempel herparing kan naeligvnes Justitsministeriet og politiet
der ikke kan have en faeliglles raringdgiver
Det skyldes at politiet anses for at vaeligre saring stor en enhed at en faeliglles databeskyttelsesraringdgiver
ikke vil kunne efterleve kravene til en databeskyttelsesraringdgiver (om bla tilgaeligngelighed) hvis
denne baringde skulle udfoslashre sin opgave for politiet som helhed og med andre myndigheder under
Justitsministeriets ressort
Dog vil politiet ndash i en ordning svarende til den ovenfor beskrevne paring retsharingndhaeligvelsesomraringdet ndash
kunne have en faeliglles databeskyttelsesraringdgiver under forordningen der udfoslashrer sin funktion for
alle politikredse
Det bemaeligrkes endvidere at forordningens krav om uafhaeligngighed skal vaeligre opfyldt for alle de
myndigheder der deler en databeskyttelsesraringdgiver
I den forbindelse ndash samt i relation til en underordnet myndigheds eventuelt saeligrlige uafhaeligngighed
ift den overordnede myndighed ndash kan der vaeligre visse situationer hvor det kan vaeligre betaelignkeligt
at lade en underordnet myndighed dele databeskyttelsesraringdgiver med et departement
Som eksempel herparing kan naeligvnes Datatilsynet og Justitsministeriets departement Dette er bla
henset til Datatilsynets funktionelle uafhaeligngighed i forhold til Justitsministeriet samt tilsynets spe-
cielle kompetence og rolle i forhold til databeskyttelsesforordningen Som et andet eksempel kan
naeligvnes Ankestyrelsens relation til (paring nuvaeligrende tidspunkt) Oslashkonomi- og Indenrigsministeriets
departement Her kan bla peges paring maeligngden og karakteren af data som behandles i Ankesty-
relsen samt styrelsens faglige uafhaeligngighed af departementet
Organisatoriske aeligndringer kan ogsaring bevirke at det i visse situationer ndash af praktiske aringrsager ndash
kan vaeligre mere oplagt for en underordnet myndighed at have sin egen databeskyttelsesraringdgiver
fremfor at dele med sit departement Hvis en underordnet myndighed saringledes har sin egen data-
beskyttelsesraringdgiver kan denne blot fortsaeligtte under samme kontrakt vilkaringr mv uanset at en
Vejledning om databeskyttelsesraringdgivere
19
myndighed efter eksempelvis et regeringsskifte organisatorisk placeres under et andet ministe-
rium
Eksempel - Selvejende institutioner
I det omfang selvejende institutioner kan anses for en offentlig myndighed eller et organ vil disse
myndigheder ogsaring have mulighed for at udpege en faeliglles databeskyttelsesraringdgiver med en an-
den selvejende institution omfattet af samme lovgivning eller feks den kommune som institutio-
nen har driftsoverenskomst med i det omfang kommunen yder sekretariatsbistand til institutio-
nen
44 Opsummering
Alle offentlige myndigheder og organer skal udpege en databeskyttelsesraringdgiver
fra den 25 maj 2018
Det er i hoslashj grad muligt at udpege en faeliglles databeskyttelsesraringdgiver der funge-
rer paring vegne af flere myndigheder paring eacuten gang
Muligheden for at have en faeliglles databeskyttelsesraringdgiver begraelignses af at
denne skal kunne leve op til sine forpligtelser efter databeskyttelsesforordningen
Databeskyttelsesraringdgiveren kan understoslashttes af en enhed for at kunne udfoslashre sit
hverv i overensstemmelse med forordningens krav Dette gaeliglder uanset om da-
tabeskyttelsesraringdgiveren fungerer for eacuten myndighed eller for flere myndigheder
og organer
Vejledning om databeskyttelsesraringdgivere
20
5 Databeskyttelsesraringdgiveren
51 Krav til faglige kvalifikationer
En databeskyttelsesraringdgiver skal udpeges paring baggrund af sine faglige kvalifikationer Dette
gaeliglder navnlig evnen til at udfoslashre sine opgaver som databeskyttelsesraringdgiver og ekspertise in-
den for databeskyttelsesret- og praksis
Der er ikke krav om at en databeskyttelsesraringdgiver skal have en bestemt uddannelsesmaeligssig
baggrund feks som jurist
Dermed er det op til den enkelte organisation at vurdere hvem der er bedst egnet til at varetage
stillingen som databeskyttelsesraringdgiver
Kravene til stillingen afhaelignger til en vis grad af kompleksiteten af den behandling af personop-
lysninger som den paringgaeligldende organisation foretager Dermed kan der for nogen organisatio-
ner vaeligre behov for at ansaeligtte en databeskyttelsesraringdgiver med stor erfaring inden for feltet og
i andre tilfaeliglde kan en eksisterende medarbejder paring baggrund af diverse kurser varetage funkti-
onen
Hvis der udpeges en databeskyttelsesraringdgiver fra egen organisation kan det med fordel vaeligre
en person som i forvejen har et vist kendskab til eller indsigt i haringndtering af databeskyttelses-
retlige sposlashrgsmaringl i organisationen
52 Hvem kan vaeligre databeskyttelsesraringdgiver
Som udgangspunkt kan alle som organisationen finder kvalificeret til at vaeligre databeskyttelses-
raringdgiver varetage funktionen
Foslashlgende kan derfor vaeligre databeskyttelsesraringdgivere
En intern medarbejder
En faeliglles databeskyttelsesraringdgiver for hele eller flere organisationer
En ekstern databeskyttelsesraringdgiver
Intern medarbejder
En organisation kan vaeliglge at udpege en eksisterende medarbejder som databeskyttelsesraringdgi-
ver
Det er ikke et krav at den medarbejder der varetager funktionen som databeskyttelsesraringdgiver
udoslashver sin funktion paring fuld tid
Vejledning om databeskyttelsesraringdgivere
21
Dermed kan en intern medarbejder der varetager funktionen som databeskyttelsesraringdgiver ud-
foslashre andre opgaver og have andre pligter i organisationen
Saringledes kan en medarbejder der feks arbejder i IT-sektionen i en organisation godt varetage
funktionen som databeskyttelsesraringdgiver paring deltid eller 10 timer om ugen alt efter behovet i
den enkelte organisation
Det afgoslashrende er at den paringgaeligldende medarbejder fyldestgoslashrende kan udoslashve sit erhverv som
databeskyttelsesraringdgiver i organisationen
Den person der udpeges kan med fordel vaeligre en person som i forvejen har et vist kendskab
til eller indsigt i haringndtering af databeskyttelsesretlige sposlashrgsmaringl i organisationen
Selve vurderingen af hvor meget tid en medarbejder skal bruge paring fyldestgoslashrende at kunne ef-
terleve kravene til en databeskyttelsesraringdgiver i organisationen afhaelignger af en konkret vurde-
ring af behovet hos organisationen
Interne ansatte der ikke kan vaeligre databeskyttelsesraringdgiver
En databeskyttelsesraringdgiver skal baringde vaeligre uafhaeligngig og vaeligre i stand til at udoslashve uvildig raringd-
givning til organisationen
Derfor kan en databeskyttelsesraringdgiver ikke vaeligre den oslashverste IT-ansvarlige eller oslashverste HR-
ansvarlige i en organisation
Eksempel ndash virksomhed med faring ansatte
Virksomheder med faring ansatte herunder feks enkeltmandsvirksomheder vil have svaeligrt ved at
opfylde betingelsen om at en databeskyttelsesraringdgiver ikke kan vaeligre oslashverste IT-ansvarlige eller
oslashverste HR-ansvarlige i en organisation (forudsat at virksomheden i oslashvrigt opfylder betingelserne
for hvornaringr private skal udpege en databeskyttelsesraringdgiver jf naeligrmere om privates forpligtelse
under punkt 3) I en saringdan situation kan virksomheden enten benytte sig af muligheden for at
udpege en faeliglles databeskyttelsesraringdgiver eller anvende en konsulent til opgaven
Databeskyttelsesraringdgiverenhed
Der kan ogsaring udpeges eacuten databeskyttelsesraringdgiver for den paringgaeligldende organisation som un-
derstoslashttes af en enhed saring den paringgaeligldende kan leve op til sine forpligtelser efter forordningen jf
den ovenfor beskrevne ordning for politiet
Faeliglles databeskyttelsesraringdgiver
Saringvel private som offentlige myndigheder kan udpege en faeliglles databeskyttelsesraringdgiver af-
haeligngig af deres struktur og stoslashrrelse
Medarbejdere som ikke har det oslashverste ansvar kan vaeligre databe-
skyttelsesraringdgivere Det betyder at ledende IT-medarbejdere
compliance-officerer eller en it-sikkerheds koordinator mv kan
udoslashve funktionen som databeskyttelsesraringdgiver i organisationen
Vejledning om databeskyttelsesraringdgivere
22
Ekstern medarbejder
Man kan ogsaring vaeliglge at udpege en ekstern databeskyttelsesraringdgiver Dette kan enten vaeligre en
raringdgiver (konsulentvirksomhed) saringsom en bestemt advokat eller revisor eller andre kvalifice-
rede eksterne parter Udoslashvelsen af hvervet som databeskyttelsesraringdgiver vil dog i sagens natur
alene kunne udoslashves i det omfang dette er foreneligt med eventuelle regler ndash herunder etiske
krav ndash for den relevante type af raringdgivervirksomhed mv
53 Databeskyttelsesraringdgiverens opgaver
Databeskyttelsesraringdgiveren funktion bestaringr i at raringdgive den dataansvarlige og hjaeliglpe med at
organisationen efterlever de databeskyttelsesretlige regler
En databeskyttelsesraringdgiver skal desuden prioritere sine opgaver og fokusere paring de behandlin-
ger af personoplysninger i den paringgaeligldende organisation som konkret indebaeligrer en hoslashjere ri-
siko for brud paring de databeskyttelsesretlige regler Dog skal oslashvrige databeskyttelsesretlige omraring-
der som indebaeligrer en lavere grad af risiko ikke undlades
Der er en raeligkke opgaver som databeskyttelsesraringdgiveren som minimum skal varetage Der er
dog ikke noget til hinder for at der overlades flere opgaver til databeskyttelsesraringdgiveren Da-
tabeskyttelsesraringdgiverens rolle som central raringdgivningsfigur i organisationen samt dennes op-
gaver kan med fordel beskrives naeligrmere i en (ansaeligttelses)aftale
Nedenfor foslashlger en naeligrmere beskrivelse af de opgaver som databeskyttelsesraringdgiveren som
minimum skal varetage i en organisation
Underrette og raringdgive organisationen og de ansatte om databeskyttelse
Det indebaeligrer
Konkret raringdgivning om beskyttelse af personoplysninger i organisationen samt
overvejelser og beslutninger om hvordan compliance sikres mv feks i forbin-
delse med foslashlgende
Organisationens indkoslashb af nyt IT-system
kravsspecifikationer til leverandoslashrer
udarbejdelse af organisationens data-politikker
ivaeligrksaeligttelse af behandling af personoplysninger
overvejelser om hvorvidt en given behandling af personoplysninger over-
holder de generelle behandlingsregler
Staring til raringdighed for ansatte samt ledelsen i organisationen vedroslashrende sposlashrgsmaringl
om databeskyttelse
Vejledning om databeskyttelsesraringdgivere
23
Raringdgivning i forbindelse med udarbejdelse af organisationens konsekvensanaly-
ser jf afsnit 3 nedenfor
Modtage underretning om og raringdgive organisationen i forbindelse med brud paring
persondatasikkerheden
Overvaringge overholdelsen af de databeskyttelsesretlige regler i organisationen
Det indebaeligrer bla ogsaring at overvaringge
organisationens politikker om databeskyttelse
uddannelse af personale i databeskyttelse
oplysningskampagner
fordeling af ansvar
revisioner
Det skal hertil bemaeligrkes at databeskyttelsesraringdgiverens opgave med at overvaringge overholdel-
sen af de databeskyttelsesretlige regler i organisationen ikke medfoslashrer at raringdgiveren overtager
selve ansvaret for at behandlingen af personoplysninger sker i overensstemmelse med reg-
lerne Dette ansvar ligger fortsat hos den dataansvarlige
Raringdgivning i forbindelse med udarbejdelse af organisationens konsekvensanalyser
I visse tilfaeliglde skal organisationer udarbejde en konsekvensanalyse af en planlagt behandling
af personoplysninger
I de tilfaeliglde hvor en organisation har udpeget en databeskyttelsesraringdgiver skal denne raringdfoslash-
res naringr der foretages en konsekvensanalyse
Herudover skal databeskyttelsesraringdgiveren raringdgive med hensyn til konsekvensanalysen naringr
der anmodes herom
Som led i overvaringgningsopgaven kan databeskyttel-
sesraringdgiveren foretage foslashlgende
indsamle oplysninger til at identificere
behandlingsaktiviteter
informere raringdgive og komme med an-
befalinger til den dataansvarlige og da-
tabehandleren
Vejledning om databeskyttelsesraringdgivere
24
I tilfaeliglde af uenighed mellem organisationen og databeskyttelsesraringdgiveren anbefales det at
det specifikt fremgaringr af selve konsekvensanalysen hvorfor databeskyttelsesraringdgiverens indstil-
ling ikke er blevet fulgt
Samarbejde med Datatilsynet paring vegne af organisationen
En organisation er forpligtet til at hoslashre Datatilsynet inden behandling hvis en konsekvensana-
lyse vedroslashrende databeskyttelse viser at behandlingen af personoplysninger vil foslashre til hoslashj ri-
siko i mangel af foranstaltninger truffet af organisation for at begraelignse risikoen
Det foslashlger af forordningen at databeskyttelsesraringdgiveren skal samarbejde med tilsynsmyndig-
heden og fungere som tilsynsmyndighedens kontaktperson Det kan feks vaeligre databeskyttel-
sesraringdgiveren der paring vegne af den dataansvarlige hoslashrer tilsynsmyndigheden
Vaeligre kontaktpunkt for tilsynsmyndigheden (Datatilsynet) angaringende alle sposlashrgsmaringl om behand-
ling af personoplysninger for de personer der behandles oplysninger om
Databeskyttelsesraringdgiveren skal inddrages af den dataansvarlige i tilfaeliglde af at konkrete kla-
gesager indbringes for Datatilsynet Databeskyttelsesraringdgiveren boslashr ligeledes orienteres naringr
Datatilsynet beslutter at gennemfoslashre et eventuelt tilsyn af den dataansvarlige
Herudover skal databeskyttelsesraringdgiveren ogsaring vaeligre i stand til at vejlede den person der be-
handles personoplysninger om Det betyder at databeskyttelsesraringdgiveren skal vaeligre i stand til
at vejlede om hvilke rettigheder den paringgaeligldende har og hvordan de kan udnyttes
Det indebaeligrer endvidere at den dataansvarlige skal give meddelelse om kontaktoplysninger paring
databeskyttelsesraringdgiveren
Det anbefales i oslashvrigt at organisationen i en funktionsbeskrivelse klart definerer hvilke opgaver
der paringhviler databeskyttelsesraringdgiveren En funktionsbeskrivelse vil goslashre det tydeligt hvornaringr
Raringdgivning i forhold til konsekvensanalyser kan bla indebaeligre raringdgiv-
ning vedroslashrende
om der skal gennemfoslashres en konsekvensanalyse
hvilken fremgangsmaringde der skal anvendes ved gennemfoslash-
relse af konsekvensanalysen
om konsekvensanalysen kan gennemfoslashres internt eller om
gennemfoslashrelsen kraeligver antagelse af ekstern bistand
hvilke sikkerhedsforanstaltninger (tekniske og organisatori-
ske) som skal anvendes for at begraelignse risici i forhold til
de registreredes rettigheder og interesser
om konsekvensanalysen er korrekt gennemfoslashrt og om
dens konklusioner er i overensstemmelse med de databe-
skyttelsesretlige regler
Vejledning om databeskyttelsesraringdgivere
25
den paringgaeligldende virker som databeskyttelsesraringdgiver og i denne egenskab ikke kan instrueres
Det vil samtidig blive tydeligt hvornaringr den paringgaeligldende udfoslashrer andre opgaver i sit ordinaeligre an-
saeligttelsesforhold i organisationen
54 Krav til organisationen ndash rettidig og tilstraeligkkelig inddragelse af databeskyt-
telsesraringdgiveren
En organisation skal sikre at databeskyttelsesraringdgiveren inddrages tilstraeligkkeligt og rettidigt i
alle sposlashrgsmaringl vedroslashrende beskyttelse af personoplysninger En saringdan inddragelse boslashr ogsaring
ske paring oslashverste ledelsesmaeligssige niveau (feks ved deltagelse paring direktions- og ledelsesmoslashder)
Det anbefales at organisationen implementerer procedurer som sikrer dette
I hvilke tilfaeliglde skal databeskyttelsesraringdgiveren inddrages
Databeskyttelsesraringdgiveren skal inddrages i alle de overvejelser og vurderinger som organisa-
tionen goslashr sig for at overholde kravene i databeskyttelsesforordningen databeskyttelsesloven
og oslashvrige regler for behandling af personoplysninger
Eksempel paring sposlashrgsmaringl hvor databeskyttelsesraringdgiveren boslashr inddrages
ved overvejelser og beslutninger om hvordan organisationens compliance med
databeskyttelsesreglerne sikres
ved overvejelser i forbindelse med datasikkerhed herunder databeskyttelse gen-
nem design og standardindstillinger og
ved udarbejdelse af konsekvensanalyser
Saringfremt databeskyttelsesraringdgiveren udpeges foslashr den 25 maj 2018 kan denne inddrages i or-
ganisationens implementering af de krav der foslashlger af forordningen
Eksempel paring sposlashrgsmaringl hvor databeskyttelsesraringdgiveren ikke
skal inddrages
Konkrete vurderinger ift registreredes rettigheder
feks anmodning paring indsigt ret til at blive glemt
mv
Deltagelse i mindre praktiske eller almindelige
driftsopgaver eller driftsmaeligssige sposlashrgsmaringl knyt-
tet til opsaeligtning af it-systemer
Udarbejdelse af konkrete databehandleraftaler
Behandling af personoplysninger der finder sted i
overensstemmelse med interne regler som den da-
taansvarlige har fastsat forudsat at disse regler er
fastsat under inddragelse af databeskyttelsesraringdgi-
veren
Vejledning om databeskyttelsesraringdgivere
26
Hvordan skal databeskyttelsesraringdgiveren inddrages
For at sikre at databeskyttelsesraringdgiveren inddrages tilstraeligkkeligt og rettidigt er organisationen
forpligtet til at holde databeskyttelsesraringdgiveren tilstraeligkkeligt og rettidigt orienteret om alle
sposlashrgsmaringl om beskyttelse af personoplysninger
Som tommelfingerregel skal databeskyttelsesraringdgiveren have mulighed for at vurdere overhol-
delsen af de databeskyttelsesretlige regler og komme med bemaeligrkninger eller lignende inden
en behandling af personoplysninger igangsaeligttes
Hvornaringr er inddragelsen rettidig
Databeskyttelsesraringdgiveren skal inddrages i saring god tid som det er muligt forud for ivaeligrksaeligttel-
sen af behandling af personoplysninger
Det er afgoslashrende at databeskyttelsesraringdgiveren inddrages i tide til at kunne foretage en reel
vurdering af om den paringtaelignkte behandling af personoplysninger er i overensstemmelse med de
databeskyttelsesretlige regler og dermed kan komme med kvalificerede bemaeligrkninger herom
med henblik paring at raringdgive organisationen
Eksempler paring rettidig inddragelse
Inddrages forud for beslutning om noslashdvendige
foranstaltninger i IT-systemer for at efterleve kra-
vene om databeskyttelse gennem design og stan-
dardindstillinger
Inddrages forud for udstedelse af retningslinjer og
procedurer for hvordan de databeskyttelsesret-
lige regler skal overholdes i organisationen
Inddragelse foslashr offentliggoslashrelse af udbudsmateri-
ale i en udbudsproces eller lignende
Eksempler paring ikke-rettidig inddragelse
Inddragelse af databeskyttelsesraringdgiveren efter
et nyt IT-system er faeligrdigudviklet
Inddragelse af databeskyttelsesraringdgiveren efter
indkoslashb af IT-systemer (dermed ikke en del af
overvejelserne vedr kravspecifikation og databe-
skyttelse gennem design og standardindstillin-
ger)
Inddragelse af databeskyttelsesraringdgiveren efter
at en konsekvensanalyse er udarbejdet
Inddragelse af databeskyttelsesraringdgiveren efter
stoslashrre aeligndringer i organisationens procedurer
der vedroslashrer databeskyttelse saringsom haringndtering
af anmodninger fra registrerede personer
Vejledning om databeskyttelsesraringdgivere
27
Behandlingsaktiviteter igangsat foslashr en databeskyttelsesraringdgiver udpeges
Naringr en organisation udpeger en databeskyttelsesraringdgiver vil der selvsagt vaeligre behandlinger af
personoplysninger der allerede er igangsat i organisationen
Databeskyttelsesraringdgiveren boslashr ved udpegelsen primaeligrt have fokus paring de fremadrettede com-
pliance aktiviteter Derudover kan databeskyttelsesraringdgiveren ndash ud fra en risikovurdering i for-
hold til de behandlinger som konkret indebaeligrer hoslashjere risiko ndash inddrages i organisationens
overvejelser om hvorvidt de igangvaeligrende aktiviteter overholder de databeskyttelsesretlige
regler
Hvornaringr er inddragelsen tilstraeligkkelig
Der skal ske en reel inddragelse af databeskyttelsesraringdgiveren i organisationens overvejelser
og beslutninger vedroslashrende databeskyttelse
Det indebaeligrer at organisationen skal inddrage og tage hoslashjde for databeskyttelsesraringdgiverens
bemaeligrkninger og raringdgivning i oslashvrigt samt dennes rapportering til oslashverste ledelsesniveau om
overholdelse af de databeskyttelsesretlige regler
Saringfremt databeskyttelsesraringdgiverens raringdgivning ikke foslashlges anbefales det at organisationen
dokumenterer dette i overensstemmelse med kravet om accountability
Ressourcer og adgang
Ressourcer
For at databeskyttelsesraringdgiveren rent faktisk kan udfoslashre sine opgaver er det noslashdvendigt at
organisationens tilvejebringer de noslashdvendige ressourcer til stoslashtte for databeskyttelsesraringdgive-
ren
Det er endvidere et krav at organisationen tilvejebringer de fornoslashdne ressourcer for at databe-
skyttelsesraringdgiveren kan opretholde sin ekspertise inden for omraringdet
Fastsaeligttelsen af de fornoslashdne ressourcer beror paring en konkret vurdering som afhaelignger af de
organisatoriske forhold i organisationen saringsom stoslashrrelsen antallet af behandlingsaktiviteter
kompleksiteten af behandlingen af personoplysninger samt de forbundne risici
Jo stoslashrre en organisation er des stoslashrre er behovet for ressourcer til stoslashtte for databeskyttelses-
raringdgiveren
Selve behovet for ressourcer beror paring en konkret vurde-
ring som organisationen er ansvarlig for at foretage
Som eksempler paring fornoslashdne ressourcer kan naeligvnes
Faciliteter og arbejdsredskaber
Oslashkonomiske ressourcer
Personaleressourcer og lignende
Vejledning om databeskyttelsesraringdgivere
28
Adgang
Databeskyttelsesraringdgiveren skal ogsaring have adgang til organisationens personoplysninger og
den behandling af disse som organisationen foretager
Der skal vaeligre tale om en vid adgang som kan tilvejebringes efter behov
Uafhaeligngighed
Det er et grundlaeligggende krav at en databeskyttelsesraringdgiver ikke maring blive instrueret af andre
om hvordan raringdgiveren skal udfoslashre sine opgaver Der gaeliglder saringledes foslashlgende for databeskyt-
telsesraringdgiveren
Maring ikke som led i sin funktion som databeskyttelsesraringdgiver modtage instruks om
hvordan denne skal udfoslashre sine opgaver (eller feks om en bestemt vurdering el-
ler fortolkning af forordningen)
Maring ikke afskediges eller sanktioneres for at udfoslashre sine opgaver
Rapporterer direkte til oslashverste ledelsesniveau
Databeskyttelsesraringdgiverens interne reaktionsmuligheder er i praksis taeligt forbundne med at
ovenstaringende krav til uafhaeligngighed efterleves Idet en databeskyttelsesraringdgiver ikke har instruk-
tionsbefoslashjelser over for andre dele af den dataansvarliges organisation er det i praksis mulighe-
den for at kunne rapportere direkte til oslashverste ledelsesniveau der er raringdgiverens interne virke-
middel overfor konstaterede brud paring forordningen
Hvor det oslashverste ledelsesniveau er afhaelignger af organiseringen hos den konkrete dataansvarlige
eller databehandleren
I forhold til det private erhvervsliv fremgaringr det af selskabsloven at det er bestyrelsen der er det
centrale eller oslashverste ledelsesorgan i selskaber der baringde har en bestyrelse og en direktion Naringr
der i databeskyttelsesforordningen henvises til det oslashverste ledelsesniveau maring det i det private
forstarings i relation til den daglige drift og dermed direktionen saringfremt selskabet har baringde en besty-
relse og en direktion Det vil i praksis betyde at direktionen skal orientere bestyrelsen om vaelig-
sentlige forhold som paringpeges af databeskyttelsesraringdgiveren
For statslige myndigheder maring den oslashverste ledelse forstarings som den oslashverste administrative le-
delse
For saring vidt angaringr kommuner og regioner gaeliglder at databeskyttelsesraringdgiveren rapporterer di-
rekte til kommunalbestyrelsen henholdsvis regionsraringdet Denne rapportering forelaeliggges for kom-
munalbestyrelsen henholdsvis regionsraringdet uden den forudgaringende udvalgsbehandling som de
kommunale og regionale sager ellers normalt skal undergives Dette udelukker dog ikke at en
kommune kan indhente en erklaeligring fra oslashkonomiudvalget forinden forelaeligggelse for kommunal-
bestyrelsen
55 Beskyttelse af databeskyttelsesraringdgiveren
Funktionen som databeskyttelsesraringdgiver er beskyttet ved et forbud mod at kunne blive afskedi-
get for udfoslashrelse af opgaverne som databeskyttelsesraringdgiver
Vejledning om databeskyttelsesraringdgivere
29
Usaglig afskedigelse af en databeskyttelsesraringdgiver er sanktioneret med en boslashde
Databeskyttelsesraringdgiveren vil kunne afskediges paring et sagligt grundlag efter almindelige ansaeligt-
telsesretlige regler
56 Opsummering
En databeskyttelsesraringdgiver udpeges paring baggrund af sine faglige kvalifikationer
Databeskyttelsesraringdgiveren kan baringde vaeligre en intern medarbejder en faeliglles da-
tabeskyttelsesraringdgiver for hele eller flere organisationer eller en ekstern databe-
skyttelsesraringdgiver
Databeskyttelsesraringdgiveren har en raeligkke opgaver denne som minimum skal va-
retage Derudover anbefales det at man klart definerer hvilke opgaver der paringhvi-
ler databeskyttelsesraringdgiveren
En organisation skal rettidig og tilstraeligkkelig inddrage databeskyttelsesraringdgiveren
i alle sposlashrgsmaringl vedroslashrende beskyttelse af personoplysninger
Databeskyttelsesraringdgiveren nyder en saeligrlig beskyttelse mod usaglig afskedi-
gelse og kan ikke afskediges eller sanktioneres for at udfoslashre sine opgaver som
Databeskyttelsesraringdgiver
Dato
20 december 2017
Justitsministeriet
Slotsholmsgade 10
1216 Koslashbenhavn K
Telefon
72 26 84 00
jmjmdk
Eksempler paring tilfaeliglde hvor en databeskyttelsesraringd-
giver kan afskediges
Ikke udfoslashrer sine arbejdsopgaver
Misligholder ansaeligttelsesforholdet
Samarbejdsvanskeligheder
Vejledning om databeskyttelsesraringdgivere
30
ISBN
978-88-98564-35-7
Foto
Scanpix
Vejledning om databeskyttelsesraringdgivere
15
til institutionen Herudover maring man se paring om det offentlige skal godkende institutionens regn-
skaber og om institutionens drift og virksomhed er detaljeret reguleret ved regler og retningslinjer
udstedt af det offentlige Endelig kan man tage hensyn til om det offentlige overtager institutio-
nens rettigheder og forpligtelser hvis den nedlaeliggges
Eksempler paring selvejende institutioner mv der er omfattet
- Universiteter
- Institutioner hvor kommunalbestyrelsen har indgaringet overenskomst til opfyldelse af sine forplig-
telser efter lov om social service
- Gymnasieskoler
Eksempler paring selvejende institutioner og foreninger der ikke er omfattet
- Danske Regioner og KL
- Dansk Flygtningehjaeliglp
For saring vidt angaringr statslige og kommunale institutioner der er organiseret i selskabsform feks
som aktieselskab eller interessentskab vil disse umiddelbart aldrig vaeligre omfattet Dette er ogsaring
tilfaeligldet for koncessionerede selskaber og selskaber hvori staten eller en kommune er aktionaeligr
interessent eller lignende uanset om staten eller kommunen ejer selskabet 100 Det har i den
forbindelse ingen betydning hvilke aktiviteter organet udfoslashrer ligesom det ikke i sig selv kan foslashre
til et andet resultat at selskabet maringtte vaeligre oprettet ved lov eller i henhold til lov
Dog er kommunale faeligllesskaber jf sect 60 i lov om kommunernes styrelse hvortil to eller flere
kommuner overfoslashrer opgaver til selvstaeligndig varetagelse altid offentlige myndigheder Det gaeligl-
der uanset at kommunale faeligllesskaber normalt etableres som interessentskaber Det kommu-
nale faeligllesskab er selvstaeligndigt dataansvarligt og skal udpege en databeskyttelsesraringdgiver
Eksempel paring institution der er organiseret i selskabsform der ikke er omfattet
- Staten og Kommunernes Indkoslashbs Service AS
Saringfremt der ikke er tale om en offentlig myndighed eller organ skal bedoslashmmelsen af hvorvidt
man har pligt til at udpege en databeskyttelsesraringdgiver foretages i henhold til betingelserne be-
skrevet ovenfor under punkt 3 vedroslashrende privates forpligtelse til at udpege en databeskyttel-
sesraringdgiver
43 Faeliglles databeskyttelsesraringdgiver for offentlige myndigheder
Flere myndigheder eller organer vil i mange tilfaeliglde kunne have en faeliglles databeskyttelsesraringd-
giver forudsat at det er i overensstemmelse med deres organisatoriske struktur og stoslashrrelse I
den forbindelse kan det vaeligre relevant at overveje om raringdgiveren skal fungere paring baggrund af
eacuten ansaeligttelseskontrakt for to forskellige myndigheder eller to deltidskontrakter
Herudover vil en databeskyttelsesraringdgiver kunne vaeligre ansat paring en deltidskontrakt hos eacuten myn-
dighed og ansat paring baggrund af en tjenesteydelseskontrakt i en anden myndighed eller organi-
sation
Vejledning om databeskyttelsesraringdgivere
16
Saringfremt flere myndigheder har en faeliglles databeskyttelsesraringdgiver er det dog en forudsaeligtning
at databeskyttelsesraringdgiveren kan efterleve kravene i databeskyttelsesforordningen til en data-
beskyttelsesraringdgiver herunder til dennes stilling opgaver uafhaeligngighed og tilgaeligngelighed mv
naringr denne loslashser opgaven for flere myndigheder paring eacuten gang
For saring vidt angaringr tilgaeligngelighed er der ikke et krav om fysisk tilstedevaeligrelse paring alle lokationer
saringfremt der anvendes en faeliglles databeskyttelsesraringdgiver De enkelte myndigheder har i den for-
bindelse mulighed for at aftale hvordan den fysiske tilgaeligngelighed i praksis kan loslashftes herunder
feks ved hjaeliglp af mail telefon internet mm Det er i relation til kravet om tilgaeligngelighed endvi-
dere vaeligrd at bemaeligrke at flere myndigheder som naeligvnt godt kan have en faeliglles raringdgiver men
at databeskyttelsesraringdgiveren skal kunne (naring at) varetage sin raringdgivningsopgave fyldestgoslashrende
for alle de myndigheder for hvilke den paringgaeligldende varetager opgaven som databeskyttelses-
raringdgiver Her kan det bla vaeligre relevant at se paring maeligngden af personoplysninger der behandles
i en given myndighed
I relation til uafhaeligngighedskriteriet bemaeligrkes at det kan vaeligre betaelignkeligt at lade visse myndig-
heder have en faeliglles databeskyttelsesraringdgiver jf nedenfor under afsnittet rdquoEksempel ndash Ministe-
rier og underordnede myndighederrdquo
Der henvises i oslashvrigt til afsnit 5 i denne vejledning
Det er endvidere et krav at der er eacuten der er personligt ansvarlig for hvervet som databeskyttel-
sesraringdgiver
Som foslashlge af kravet om at udpegningen af en faeliglles databeskyttelsesraringdgiver skal vaeligre i over-
ensstemmelse med myndigheden eller organets organisatoriske struktur og stoslashrrelse stilles der
krav til selve ansaeligttelsen af databeskyttelsesraringdgiveren
Den retlige graelignse for at dele en databeskyttelsesraringdgiver vil i et saringdan tilfaeliglde vaeligre de gaeligl-
dende standarder om offentlige ansattes bierhverv de almindelige habilitetsregler og muligheden
for at efterleve kravene i forordningen herunder tilstraeligkkelige ressourcer i forhold til at udfoslashre
hvervet
Vejledning om databeskyttelsesraringdgivere
17
Kommuner
Det antages ikke at vaeligre i overensstemmelse med en offentlig myndigheds struktur eller stoslashr-
relse hvis en databeskyttelsesraringdgiver fungerer paring baggrund af eacuten ansaeligttelseskontrakt i to for-
skellige kommuner Det antages derimod omvendt at vaeligre i overensstemmelse hermed saring-
fremt raringdgiveren udoslashver sin funktion paring baggrund af to deltidskontrakter i to kommuner paring
samme tid
Eksempel ndash En kommune
En kommune vil typisk vaeligre dataansvarlig for alle de behandlinger af personoplysninger som
foretages inden for den kommunale enhedsforvaltning Derfor er en kommune ikke forpligtet til at
udpege eacuten databeskyttelsesraringdgiver for de enkelte forvaltninger men vil kunne udpege eacuten data-
beskyttelsesraringdgiver for hele kommunen
Eksempel ndash organer med selvstaeligndig kompetence paring det kommunale omraringde
Det bemaeligrkes at der paring det kommunale omraringde kan vaeligre organer som ikke er en del af den
kommunale enhedsforvaltning men har selvstaeligndig kompetence paring det kommunale omraringde
feks huslejenaeligvnet ligesom der kan vaeligre kommunale organer som er en del af enhedsforvalt-
ningen der i visse henseender har en ndash i forhold til kommunalbestyrelsen ndash selvstaeligndig kompe-
tence herunder feks skoleledere
Naringr det i lovgivningen er fastsat eller forudsat at disse organer sekretariatsbetjenes af kommu-
nen og kommunen yder sekretariatsbetjening kan organerne have faeliglles databeskyttelsesraringd-
giver med kommunen og er ikke forpligtet til selvstaeligndigt at udpege en databeskyttelsesraringdgiver
ved siden af kommunens Databeskyttelsesraringdgiverens ydelser vil i den forbindelse vaeligre en del
af sekretariatsbetjeningen
Eksempel ndash Flere kommuner
Flere kommuner vil have mulighed for at dele en databeskyttelsesraringdgiver Som udgangspunkt
vurderes det at feks en gennemsnitskommune paring omkring 45000 indbyggere godt vil kunne
dele en databeskyttelsesraringdgiver med en anden tilsvarende eller en mindre kommune eller at en
lidt stoslashrre kommune vil kunne dele med en mindre kommune hvis databeskyttelsesraringdgiveren
Eksempel - Rigspolitiets databeskyttelsesenhed
Rigspolitiet har udpeget en faeliglles databeskyttelsesraringdgiver for landets 12
politikredse og Rigspolitiet for saring vidt angaringr behandlingen af personoplys-
ninger til brug for retsharingndhaeligvelsesformaringl
Den faeliglles databeskyttelsesraringdgiver understoslashttes i den forbindelse af en cen-
tral datebeskyttelsesenhed i Rigspolitiet hvor de enkelte medarbejdere be-
sidder stort kendskab til persondateretlige og forretningsmaeligssige forhold
med relevans for enhedens opgavevaretagelse Paring denne baggrund kan da-
tabeskyttelsesraringdgiveren samlet set leve op til sine forpligtelser som databe-
skyttelsesraringdgiver i medfoslashr af lov om retsharingndhaeligvende myndigheders be-
handling af personoplysninger som er lig dem der foslashlger af databeskyttel-
sesforordningen
Vejledning om databeskyttelsesraringdgivere
18
samlet set vurderes at kunne varetage opgaverne som databeskyttelsesraringdgiver Der skal saringle-
des foretages en konkret vurdering i det enkelte tilfaeliglde idet det afgoslashrende er om man som
databeskyttelsesraringdgiver kan efterleve sin funktion retmaeligssigt naringr funktionen udoslashves for flere
kommuner paring samme tid
Herudover vil to eller flere kommuner kunne oprette et kommunalt faeligllesskab til hvilket de garingr
sammen om at loslashse opgaven som databeskyttelsesraringdgiver i de deltagende kommuner
Eksempel - Regioner
En region vil typisk ogsaring vaeligre dataansvarlig for alle de behandlinger af personoplysninger der
foretages inden for regionen herunder drift af hospitaler forskning og sociale tilbud mv Hver
region vil som udgangspunkt kunne udpege eacuten databeskyttelsesraringdgiver
Eksempel - Ministerier og underordnede myndigheder
Departementer og underordnede myndigheder kan have en faeliglles databeskyttelsesraringdgiver
Dog kan der vaeligre hindringer som feks myndighedens stoslashrrelse der bevirker at man ikke kan
dele en databeskyttelsesraringdgiver Som eksempel herparing kan naeligvnes Justitsministeriet og politiet
der ikke kan have en faeliglles raringdgiver
Det skyldes at politiet anses for at vaeligre saring stor en enhed at en faeliglles databeskyttelsesraringdgiver
ikke vil kunne efterleve kravene til en databeskyttelsesraringdgiver (om bla tilgaeligngelighed) hvis
denne baringde skulle udfoslashre sin opgave for politiet som helhed og med andre myndigheder under
Justitsministeriets ressort
Dog vil politiet ndash i en ordning svarende til den ovenfor beskrevne paring retsharingndhaeligvelsesomraringdet ndash
kunne have en faeliglles databeskyttelsesraringdgiver under forordningen der udfoslashrer sin funktion for
alle politikredse
Det bemaeligrkes endvidere at forordningens krav om uafhaeligngighed skal vaeligre opfyldt for alle de
myndigheder der deler en databeskyttelsesraringdgiver
I den forbindelse ndash samt i relation til en underordnet myndigheds eventuelt saeligrlige uafhaeligngighed
ift den overordnede myndighed ndash kan der vaeligre visse situationer hvor det kan vaeligre betaelignkeligt
at lade en underordnet myndighed dele databeskyttelsesraringdgiver med et departement
Som eksempel herparing kan naeligvnes Datatilsynet og Justitsministeriets departement Dette er bla
henset til Datatilsynets funktionelle uafhaeligngighed i forhold til Justitsministeriet samt tilsynets spe-
cielle kompetence og rolle i forhold til databeskyttelsesforordningen Som et andet eksempel kan
naeligvnes Ankestyrelsens relation til (paring nuvaeligrende tidspunkt) Oslashkonomi- og Indenrigsministeriets
departement Her kan bla peges paring maeligngden og karakteren af data som behandles i Ankesty-
relsen samt styrelsens faglige uafhaeligngighed af departementet
Organisatoriske aeligndringer kan ogsaring bevirke at det i visse situationer ndash af praktiske aringrsager ndash
kan vaeligre mere oplagt for en underordnet myndighed at have sin egen databeskyttelsesraringdgiver
fremfor at dele med sit departement Hvis en underordnet myndighed saringledes har sin egen data-
beskyttelsesraringdgiver kan denne blot fortsaeligtte under samme kontrakt vilkaringr mv uanset at en
Vejledning om databeskyttelsesraringdgivere
19
myndighed efter eksempelvis et regeringsskifte organisatorisk placeres under et andet ministe-
rium
Eksempel - Selvejende institutioner
I det omfang selvejende institutioner kan anses for en offentlig myndighed eller et organ vil disse
myndigheder ogsaring have mulighed for at udpege en faeliglles databeskyttelsesraringdgiver med en an-
den selvejende institution omfattet af samme lovgivning eller feks den kommune som institutio-
nen har driftsoverenskomst med i det omfang kommunen yder sekretariatsbistand til institutio-
nen
44 Opsummering
Alle offentlige myndigheder og organer skal udpege en databeskyttelsesraringdgiver
fra den 25 maj 2018
Det er i hoslashj grad muligt at udpege en faeliglles databeskyttelsesraringdgiver der funge-
rer paring vegne af flere myndigheder paring eacuten gang
Muligheden for at have en faeliglles databeskyttelsesraringdgiver begraelignses af at
denne skal kunne leve op til sine forpligtelser efter databeskyttelsesforordningen
Databeskyttelsesraringdgiveren kan understoslashttes af en enhed for at kunne udfoslashre sit
hverv i overensstemmelse med forordningens krav Dette gaeliglder uanset om da-
tabeskyttelsesraringdgiveren fungerer for eacuten myndighed eller for flere myndigheder
og organer
Vejledning om databeskyttelsesraringdgivere
20
5 Databeskyttelsesraringdgiveren
51 Krav til faglige kvalifikationer
En databeskyttelsesraringdgiver skal udpeges paring baggrund af sine faglige kvalifikationer Dette
gaeliglder navnlig evnen til at udfoslashre sine opgaver som databeskyttelsesraringdgiver og ekspertise in-
den for databeskyttelsesret- og praksis
Der er ikke krav om at en databeskyttelsesraringdgiver skal have en bestemt uddannelsesmaeligssig
baggrund feks som jurist
Dermed er det op til den enkelte organisation at vurdere hvem der er bedst egnet til at varetage
stillingen som databeskyttelsesraringdgiver
Kravene til stillingen afhaelignger til en vis grad af kompleksiteten af den behandling af personop-
lysninger som den paringgaeligldende organisation foretager Dermed kan der for nogen organisatio-
ner vaeligre behov for at ansaeligtte en databeskyttelsesraringdgiver med stor erfaring inden for feltet og
i andre tilfaeliglde kan en eksisterende medarbejder paring baggrund af diverse kurser varetage funkti-
onen
Hvis der udpeges en databeskyttelsesraringdgiver fra egen organisation kan det med fordel vaeligre
en person som i forvejen har et vist kendskab til eller indsigt i haringndtering af databeskyttelses-
retlige sposlashrgsmaringl i organisationen
52 Hvem kan vaeligre databeskyttelsesraringdgiver
Som udgangspunkt kan alle som organisationen finder kvalificeret til at vaeligre databeskyttelses-
raringdgiver varetage funktionen
Foslashlgende kan derfor vaeligre databeskyttelsesraringdgivere
En intern medarbejder
En faeliglles databeskyttelsesraringdgiver for hele eller flere organisationer
En ekstern databeskyttelsesraringdgiver
Intern medarbejder
En organisation kan vaeliglge at udpege en eksisterende medarbejder som databeskyttelsesraringdgi-
ver
Det er ikke et krav at den medarbejder der varetager funktionen som databeskyttelsesraringdgiver
udoslashver sin funktion paring fuld tid
Vejledning om databeskyttelsesraringdgivere
21
Dermed kan en intern medarbejder der varetager funktionen som databeskyttelsesraringdgiver ud-
foslashre andre opgaver og have andre pligter i organisationen
Saringledes kan en medarbejder der feks arbejder i IT-sektionen i en organisation godt varetage
funktionen som databeskyttelsesraringdgiver paring deltid eller 10 timer om ugen alt efter behovet i
den enkelte organisation
Det afgoslashrende er at den paringgaeligldende medarbejder fyldestgoslashrende kan udoslashve sit erhverv som
databeskyttelsesraringdgiver i organisationen
Den person der udpeges kan med fordel vaeligre en person som i forvejen har et vist kendskab
til eller indsigt i haringndtering af databeskyttelsesretlige sposlashrgsmaringl i organisationen
Selve vurderingen af hvor meget tid en medarbejder skal bruge paring fyldestgoslashrende at kunne ef-
terleve kravene til en databeskyttelsesraringdgiver i organisationen afhaelignger af en konkret vurde-
ring af behovet hos organisationen
Interne ansatte der ikke kan vaeligre databeskyttelsesraringdgiver
En databeskyttelsesraringdgiver skal baringde vaeligre uafhaeligngig og vaeligre i stand til at udoslashve uvildig raringd-
givning til organisationen
Derfor kan en databeskyttelsesraringdgiver ikke vaeligre den oslashverste IT-ansvarlige eller oslashverste HR-
ansvarlige i en organisation
Eksempel ndash virksomhed med faring ansatte
Virksomheder med faring ansatte herunder feks enkeltmandsvirksomheder vil have svaeligrt ved at
opfylde betingelsen om at en databeskyttelsesraringdgiver ikke kan vaeligre oslashverste IT-ansvarlige eller
oslashverste HR-ansvarlige i en organisation (forudsat at virksomheden i oslashvrigt opfylder betingelserne
for hvornaringr private skal udpege en databeskyttelsesraringdgiver jf naeligrmere om privates forpligtelse
under punkt 3) I en saringdan situation kan virksomheden enten benytte sig af muligheden for at
udpege en faeliglles databeskyttelsesraringdgiver eller anvende en konsulent til opgaven
Databeskyttelsesraringdgiverenhed
Der kan ogsaring udpeges eacuten databeskyttelsesraringdgiver for den paringgaeligldende organisation som un-
derstoslashttes af en enhed saring den paringgaeligldende kan leve op til sine forpligtelser efter forordningen jf
den ovenfor beskrevne ordning for politiet
Faeliglles databeskyttelsesraringdgiver
Saringvel private som offentlige myndigheder kan udpege en faeliglles databeskyttelsesraringdgiver af-
haeligngig af deres struktur og stoslashrrelse
Medarbejdere som ikke har det oslashverste ansvar kan vaeligre databe-
skyttelsesraringdgivere Det betyder at ledende IT-medarbejdere
compliance-officerer eller en it-sikkerheds koordinator mv kan
udoslashve funktionen som databeskyttelsesraringdgiver i organisationen
Vejledning om databeskyttelsesraringdgivere
22
Ekstern medarbejder
Man kan ogsaring vaeliglge at udpege en ekstern databeskyttelsesraringdgiver Dette kan enten vaeligre en
raringdgiver (konsulentvirksomhed) saringsom en bestemt advokat eller revisor eller andre kvalifice-
rede eksterne parter Udoslashvelsen af hvervet som databeskyttelsesraringdgiver vil dog i sagens natur
alene kunne udoslashves i det omfang dette er foreneligt med eventuelle regler ndash herunder etiske
krav ndash for den relevante type af raringdgivervirksomhed mv
53 Databeskyttelsesraringdgiverens opgaver
Databeskyttelsesraringdgiveren funktion bestaringr i at raringdgive den dataansvarlige og hjaeliglpe med at
organisationen efterlever de databeskyttelsesretlige regler
En databeskyttelsesraringdgiver skal desuden prioritere sine opgaver og fokusere paring de behandlin-
ger af personoplysninger i den paringgaeligldende organisation som konkret indebaeligrer en hoslashjere ri-
siko for brud paring de databeskyttelsesretlige regler Dog skal oslashvrige databeskyttelsesretlige omraring-
der som indebaeligrer en lavere grad af risiko ikke undlades
Der er en raeligkke opgaver som databeskyttelsesraringdgiveren som minimum skal varetage Der er
dog ikke noget til hinder for at der overlades flere opgaver til databeskyttelsesraringdgiveren Da-
tabeskyttelsesraringdgiverens rolle som central raringdgivningsfigur i organisationen samt dennes op-
gaver kan med fordel beskrives naeligrmere i en (ansaeligttelses)aftale
Nedenfor foslashlger en naeligrmere beskrivelse af de opgaver som databeskyttelsesraringdgiveren som
minimum skal varetage i en organisation
Underrette og raringdgive organisationen og de ansatte om databeskyttelse
Det indebaeligrer
Konkret raringdgivning om beskyttelse af personoplysninger i organisationen samt
overvejelser og beslutninger om hvordan compliance sikres mv feks i forbin-
delse med foslashlgende
Organisationens indkoslashb af nyt IT-system
kravsspecifikationer til leverandoslashrer
udarbejdelse af organisationens data-politikker
ivaeligrksaeligttelse af behandling af personoplysninger
overvejelser om hvorvidt en given behandling af personoplysninger over-
holder de generelle behandlingsregler
Staring til raringdighed for ansatte samt ledelsen i organisationen vedroslashrende sposlashrgsmaringl
om databeskyttelse
Vejledning om databeskyttelsesraringdgivere
23
Raringdgivning i forbindelse med udarbejdelse af organisationens konsekvensanaly-
ser jf afsnit 3 nedenfor
Modtage underretning om og raringdgive organisationen i forbindelse med brud paring
persondatasikkerheden
Overvaringge overholdelsen af de databeskyttelsesretlige regler i organisationen
Det indebaeligrer bla ogsaring at overvaringge
organisationens politikker om databeskyttelse
uddannelse af personale i databeskyttelse
oplysningskampagner
fordeling af ansvar
revisioner
Det skal hertil bemaeligrkes at databeskyttelsesraringdgiverens opgave med at overvaringge overholdel-
sen af de databeskyttelsesretlige regler i organisationen ikke medfoslashrer at raringdgiveren overtager
selve ansvaret for at behandlingen af personoplysninger sker i overensstemmelse med reg-
lerne Dette ansvar ligger fortsat hos den dataansvarlige
Raringdgivning i forbindelse med udarbejdelse af organisationens konsekvensanalyser
I visse tilfaeliglde skal organisationer udarbejde en konsekvensanalyse af en planlagt behandling
af personoplysninger
I de tilfaeliglde hvor en organisation har udpeget en databeskyttelsesraringdgiver skal denne raringdfoslash-
res naringr der foretages en konsekvensanalyse
Herudover skal databeskyttelsesraringdgiveren raringdgive med hensyn til konsekvensanalysen naringr
der anmodes herom
Som led i overvaringgningsopgaven kan databeskyttel-
sesraringdgiveren foretage foslashlgende
indsamle oplysninger til at identificere
behandlingsaktiviteter
informere raringdgive og komme med an-
befalinger til den dataansvarlige og da-
tabehandleren
Vejledning om databeskyttelsesraringdgivere
24
I tilfaeliglde af uenighed mellem organisationen og databeskyttelsesraringdgiveren anbefales det at
det specifikt fremgaringr af selve konsekvensanalysen hvorfor databeskyttelsesraringdgiverens indstil-
ling ikke er blevet fulgt
Samarbejde med Datatilsynet paring vegne af organisationen
En organisation er forpligtet til at hoslashre Datatilsynet inden behandling hvis en konsekvensana-
lyse vedroslashrende databeskyttelse viser at behandlingen af personoplysninger vil foslashre til hoslashj ri-
siko i mangel af foranstaltninger truffet af organisation for at begraelignse risikoen
Det foslashlger af forordningen at databeskyttelsesraringdgiveren skal samarbejde med tilsynsmyndig-
heden og fungere som tilsynsmyndighedens kontaktperson Det kan feks vaeligre databeskyttel-
sesraringdgiveren der paring vegne af den dataansvarlige hoslashrer tilsynsmyndigheden
Vaeligre kontaktpunkt for tilsynsmyndigheden (Datatilsynet) angaringende alle sposlashrgsmaringl om behand-
ling af personoplysninger for de personer der behandles oplysninger om
Databeskyttelsesraringdgiveren skal inddrages af den dataansvarlige i tilfaeliglde af at konkrete kla-
gesager indbringes for Datatilsynet Databeskyttelsesraringdgiveren boslashr ligeledes orienteres naringr
Datatilsynet beslutter at gennemfoslashre et eventuelt tilsyn af den dataansvarlige
Herudover skal databeskyttelsesraringdgiveren ogsaring vaeligre i stand til at vejlede den person der be-
handles personoplysninger om Det betyder at databeskyttelsesraringdgiveren skal vaeligre i stand til
at vejlede om hvilke rettigheder den paringgaeligldende har og hvordan de kan udnyttes
Det indebaeligrer endvidere at den dataansvarlige skal give meddelelse om kontaktoplysninger paring
databeskyttelsesraringdgiveren
Det anbefales i oslashvrigt at organisationen i en funktionsbeskrivelse klart definerer hvilke opgaver
der paringhviler databeskyttelsesraringdgiveren En funktionsbeskrivelse vil goslashre det tydeligt hvornaringr
Raringdgivning i forhold til konsekvensanalyser kan bla indebaeligre raringdgiv-
ning vedroslashrende
om der skal gennemfoslashres en konsekvensanalyse
hvilken fremgangsmaringde der skal anvendes ved gennemfoslash-
relse af konsekvensanalysen
om konsekvensanalysen kan gennemfoslashres internt eller om
gennemfoslashrelsen kraeligver antagelse af ekstern bistand
hvilke sikkerhedsforanstaltninger (tekniske og organisatori-
ske) som skal anvendes for at begraelignse risici i forhold til
de registreredes rettigheder og interesser
om konsekvensanalysen er korrekt gennemfoslashrt og om
dens konklusioner er i overensstemmelse med de databe-
skyttelsesretlige regler
Vejledning om databeskyttelsesraringdgivere
25
den paringgaeligldende virker som databeskyttelsesraringdgiver og i denne egenskab ikke kan instrueres
Det vil samtidig blive tydeligt hvornaringr den paringgaeligldende udfoslashrer andre opgaver i sit ordinaeligre an-
saeligttelsesforhold i organisationen
54 Krav til organisationen ndash rettidig og tilstraeligkkelig inddragelse af databeskyt-
telsesraringdgiveren
En organisation skal sikre at databeskyttelsesraringdgiveren inddrages tilstraeligkkeligt og rettidigt i
alle sposlashrgsmaringl vedroslashrende beskyttelse af personoplysninger En saringdan inddragelse boslashr ogsaring
ske paring oslashverste ledelsesmaeligssige niveau (feks ved deltagelse paring direktions- og ledelsesmoslashder)
Det anbefales at organisationen implementerer procedurer som sikrer dette
I hvilke tilfaeliglde skal databeskyttelsesraringdgiveren inddrages
Databeskyttelsesraringdgiveren skal inddrages i alle de overvejelser og vurderinger som organisa-
tionen goslashr sig for at overholde kravene i databeskyttelsesforordningen databeskyttelsesloven
og oslashvrige regler for behandling af personoplysninger
Eksempel paring sposlashrgsmaringl hvor databeskyttelsesraringdgiveren boslashr inddrages
ved overvejelser og beslutninger om hvordan organisationens compliance med
databeskyttelsesreglerne sikres
ved overvejelser i forbindelse med datasikkerhed herunder databeskyttelse gen-
nem design og standardindstillinger og
ved udarbejdelse af konsekvensanalyser
Saringfremt databeskyttelsesraringdgiveren udpeges foslashr den 25 maj 2018 kan denne inddrages i or-
ganisationens implementering af de krav der foslashlger af forordningen
Eksempel paring sposlashrgsmaringl hvor databeskyttelsesraringdgiveren ikke
skal inddrages
Konkrete vurderinger ift registreredes rettigheder
feks anmodning paring indsigt ret til at blive glemt
mv
Deltagelse i mindre praktiske eller almindelige
driftsopgaver eller driftsmaeligssige sposlashrgsmaringl knyt-
tet til opsaeligtning af it-systemer
Udarbejdelse af konkrete databehandleraftaler
Behandling af personoplysninger der finder sted i
overensstemmelse med interne regler som den da-
taansvarlige har fastsat forudsat at disse regler er
fastsat under inddragelse af databeskyttelsesraringdgi-
veren
Vejledning om databeskyttelsesraringdgivere
26
Hvordan skal databeskyttelsesraringdgiveren inddrages
For at sikre at databeskyttelsesraringdgiveren inddrages tilstraeligkkeligt og rettidigt er organisationen
forpligtet til at holde databeskyttelsesraringdgiveren tilstraeligkkeligt og rettidigt orienteret om alle
sposlashrgsmaringl om beskyttelse af personoplysninger
Som tommelfingerregel skal databeskyttelsesraringdgiveren have mulighed for at vurdere overhol-
delsen af de databeskyttelsesretlige regler og komme med bemaeligrkninger eller lignende inden
en behandling af personoplysninger igangsaeligttes
Hvornaringr er inddragelsen rettidig
Databeskyttelsesraringdgiveren skal inddrages i saring god tid som det er muligt forud for ivaeligrksaeligttel-
sen af behandling af personoplysninger
Det er afgoslashrende at databeskyttelsesraringdgiveren inddrages i tide til at kunne foretage en reel
vurdering af om den paringtaelignkte behandling af personoplysninger er i overensstemmelse med de
databeskyttelsesretlige regler og dermed kan komme med kvalificerede bemaeligrkninger herom
med henblik paring at raringdgive organisationen
Eksempler paring rettidig inddragelse
Inddrages forud for beslutning om noslashdvendige
foranstaltninger i IT-systemer for at efterleve kra-
vene om databeskyttelse gennem design og stan-
dardindstillinger
Inddrages forud for udstedelse af retningslinjer og
procedurer for hvordan de databeskyttelsesret-
lige regler skal overholdes i organisationen
Inddragelse foslashr offentliggoslashrelse af udbudsmateri-
ale i en udbudsproces eller lignende
Eksempler paring ikke-rettidig inddragelse
Inddragelse af databeskyttelsesraringdgiveren efter
et nyt IT-system er faeligrdigudviklet
Inddragelse af databeskyttelsesraringdgiveren efter
indkoslashb af IT-systemer (dermed ikke en del af
overvejelserne vedr kravspecifikation og databe-
skyttelse gennem design og standardindstillin-
ger)
Inddragelse af databeskyttelsesraringdgiveren efter
at en konsekvensanalyse er udarbejdet
Inddragelse af databeskyttelsesraringdgiveren efter
stoslashrre aeligndringer i organisationens procedurer
der vedroslashrer databeskyttelse saringsom haringndtering
af anmodninger fra registrerede personer
Vejledning om databeskyttelsesraringdgivere
27
Behandlingsaktiviteter igangsat foslashr en databeskyttelsesraringdgiver udpeges
Naringr en organisation udpeger en databeskyttelsesraringdgiver vil der selvsagt vaeligre behandlinger af
personoplysninger der allerede er igangsat i organisationen
Databeskyttelsesraringdgiveren boslashr ved udpegelsen primaeligrt have fokus paring de fremadrettede com-
pliance aktiviteter Derudover kan databeskyttelsesraringdgiveren ndash ud fra en risikovurdering i for-
hold til de behandlinger som konkret indebaeligrer hoslashjere risiko ndash inddrages i organisationens
overvejelser om hvorvidt de igangvaeligrende aktiviteter overholder de databeskyttelsesretlige
regler
Hvornaringr er inddragelsen tilstraeligkkelig
Der skal ske en reel inddragelse af databeskyttelsesraringdgiveren i organisationens overvejelser
og beslutninger vedroslashrende databeskyttelse
Det indebaeligrer at organisationen skal inddrage og tage hoslashjde for databeskyttelsesraringdgiverens
bemaeligrkninger og raringdgivning i oslashvrigt samt dennes rapportering til oslashverste ledelsesniveau om
overholdelse af de databeskyttelsesretlige regler
Saringfremt databeskyttelsesraringdgiverens raringdgivning ikke foslashlges anbefales det at organisationen
dokumenterer dette i overensstemmelse med kravet om accountability
Ressourcer og adgang
Ressourcer
For at databeskyttelsesraringdgiveren rent faktisk kan udfoslashre sine opgaver er det noslashdvendigt at
organisationens tilvejebringer de noslashdvendige ressourcer til stoslashtte for databeskyttelsesraringdgive-
ren
Det er endvidere et krav at organisationen tilvejebringer de fornoslashdne ressourcer for at databe-
skyttelsesraringdgiveren kan opretholde sin ekspertise inden for omraringdet
Fastsaeligttelsen af de fornoslashdne ressourcer beror paring en konkret vurdering som afhaelignger af de
organisatoriske forhold i organisationen saringsom stoslashrrelsen antallet af behandlingsaktiviteter
kompleksiteten af behandlingen af personoplysninger samt de forbundne risici
Jo stoslashrre en organisation er des stoslashrre er behovet for ressourcer til stoslashtte for databeskyttelses-
raringdgiveren
Selve behovet for ressourcer beror paring en konkret vurde-
ring som organisationen er ansvarlig for at foretage
Som eksempler paring fornoslashdne ressourcer kan naeligvnes
Faciliteter og arbejdsredskaber
Oslashkonomiske ressourcer
Personaleressourcer og lignende
Vejledning om databeskyttelsesraringdgivere
28
Adgang
Databeskyttelsesraringdgiveren skal ogsaring have adgang til organisationens personoplysninger og
den behandling af disse som organisationen foretager
Der skal vaeligre tale om en vid adgang som kan tilvejebringes efter behov
Uafhaeligngighed
Det er et grundlaeligggende krav at en databeskyttelsesraringdgiver ikke maring blive instrueret af andre
om hvordan raringdgiveren skal udfoslashre sine opgaver Der gaeliglder saringledes foslashlgende for databeskyt-
telsesraringdgiveren
Maring ikke som led i sin funktion som databeskyttelsesraringdgiver modtage instruks om
hvordan denne skal udfoslashre sine opgaver (eller feks om en bestemt vurdering el-
ler fortolkning af forordningen)
Maring ikke afskediges eller sanktioneres for at udfoslashre sine opgaver
Rapporterer direkte til oslashverste ledelsesniveau
Databeskyttelsesraringdgiverens interne reaktionsmuligheder er i praksis taeligt forbundne med at
ovenstaringende krav til uafhaeligngighed efterleves Idet en databeskyttelsesraringdgiver ikke har instruk-
tionsbefoslashjelser over for andre dele af den dataansvarliges organisation er det i praksis mulighe-
den for at kunne rapportere direkte til oslashverste ledelsesniveau der er raringdgiverens interne virke-
middel overfor konstaterede brud paring forordningen
Hvor det oslashverste ledelsesniveau er afhaelignger af organiseringen hos den konkrete dataansvarlige
eller databehandleren
I forhold til det private erhvervsliv fremgaringr det af selskabsloven at det er bestyrelsen der er det
centrale eller oslashverste ledelsesorgan i selskaber der baringde har en bestyrelse og en direktion Naringr
der i databeskyttelsesforordningen henvises til det oslashverste ledelsesniveau maring det i det private
forstarings i relation til den daglige drift og dermed direktionen saringfremt selskabet har baringde en besty-
relse og en direktion Det vil i praksis betyde at direktionen skal orientere bestyrelsen om vaelig-
sentlige forhold som paringpeges af databeskyttelsesraringdgiveren
For statslige myndigheder maring den oslashverste ledelse forstarings som den oslashverste administrative le-
delse
For saring vidt angaringr kommuner og regioner gaeliglder at databeskyttelsesraringdgiveren rapporterer di-
rekte til kommunalbestyrelsen henholdsvis regionsraringdet Denne rapportering forelaeliggges for kom-
munalbestyrelsen henholdsvis regionsraringdet uden den forudgaringende udvalgsbehandling som de
kommunale og regionale sager ellers normalt skal undergives Dette udelukker dog ikke at en
kommune kan indhente en erklaeligring fra oslashkonomiudvalget forinden forelaeligggelse for kommunal-
bestyrelsen
55 Beskyttelse af databeskyttelsesraringdgiveren
Funktionen som databeskyttelsesraringdgiver er beskyttet ved et forbud mod at kunne blive afskedi-
get for udfoslashrelse af opgaverne som databeskyttelsesraringdgiver
Vejledning om databeskyttelsesraringdgivere
29
Usaglig afskedigelse af en databeskyttelsesraringdgiver er sanktioneret med en boslashde
Databeskyttelsesraringdgiveren vil kunne afskediges paring et sagligt grundlag efter almindelige ansaeligt-
telsesretlige regler
56 Opsummering
En databeskyttelsesraringdgiver udpeges paring baggrund af sine faglige kvalifikationer
Databeskyttelsesraringdgiveren kan baringde vaeligre en intern medarbejder en faeliglles da-
tabeskyttelsesraringdgiver for hele eller flere organisationer eller en ekstern databe-
skyttelsesraringdgiver
Databeskyttelsesraringdgiveren har en raeligkke opgaver denne som minimum skal va-
retage Derudover anbefales det at man klart definerer hvilke opgaver der paringhvi-
ler databeskyttelsesraringdgiveren
En organisation skal rettidig og tilstraeligkkelig inddrage databeskyttelsesraringdgiveren
i alle sposlashrgsmaringl vedroslashrende beskyttelse af personoplysninger
Databeskyttelsesraringdgiveren nyder en saeligrlig beskyttelse mod usaglig afskedi-
gelse og kan ikke afskediges eller sanktioneres for at udfoslashre sine opgaver som
Databeskyttelsesraringdgiver
Dato
20 december 2017
Justitsministeriet
Slotsholmsgade 10
1216 Koslashbenhavn K
Telefon
72 26 84 00
jmjmdk
Eksempler paring tilfaeliglde hvor en databeskyttelsesraringd-
giver kan afskediges
Ikke udfoslashrer sine arbejdsopgaver
Misligholder ansaeligttelsesforholdet
Samarbejdsvanskeligheder
Vejledning om databeskyttelsesraringdgivere
30
ISBN
978-88-98564-35-7
Foto
Scanpix
Vejledning om databeskyttelsesraringdgivere
16
Saringfremt flere myndigheder har en faeliglles databeskyttelsesraringdgiver er det dog en forudsaeligtning
at databeskyttelsesraringdgiveren kan efterleve kravene i databeskyttelsesforordningen til en data-
beskyttelsesraringdgiver herunder til dennes stilling opgaver uafhaeligngighed og tilgaeligngelighed mv
naringr denne loslashser opgaven for flere myndigheder paring eacuten gang
For saring vidt angaringr tilgaeligngelighed er der ikke et krav om fysisk tilstedevaeligrelse paring alle lokationer
saringfremt der anvendes en faeliglles databeskyttelsesraringdgiver De enkelte myndigheder har i den for-
bindelse mulighed for at aftale hvordan den fysiske tilgaeligngelighed i praksis kan loslashftes herunder
feks ved hjaeliglp af mail telefon internet mm Det er i relation til kravet om tilgaeligngelighed endvi-
dere vaeligrd at bemaeligrke at flere myndigheder som naeligvnt godt kan have en faeliglles raringdgiver men
at databeskyttelsesraringdgiveren skal kunne (naring at) varetage sin raringdgivningsopgave fyldestgoslashrende
for alle de myndigheder for hvilke den paringgaeligldende varetager opgaven som databeskyttelses-
raringdgiver Her kan det bla vaeligre relevant at se paring maeligngden af personoplysninger der behandles
i en given myndighed
I relation til uafhaeligngighedskriteriet bemaeligrkes at det kan vaeligre betaelignkeligt at lade visse myndig-
heder have en faeliglles databeskyttelsesraringdgiver jf nedenfor under afsnittet rdquoEksempel ndash Ministe-
rier og underordnede myndighederrdquo
Der henvises i oslashvrigt til afsnit 5 i denne vejledning
Det er endvidere et krav at der er eacuten der er personligt ansvarlig for hvervet som databeskyttel-
sesraringdgiver
Som foslashlge af kravet om at udpegningen af en faeliglles databeskyttelsesraringdgiver skal vaeligre i over-
ensstemmelse med myndigheden eller organets organisatoriske struktur og stoslashrrelse stilles der
krav til selve ansaeligttelsen af databeskyttelsesraringdgiveren
Den retlige graelignse for at dele en databeskyttelsesraringdgiver vil i et saringdan tilfaeliglde vaeligre de gaeligl-
dende standarder om offentlige ansattes bierhverv de almindelige habilitetsregler og muligheden
for at efterleve kravene i forordningen herunder tilstraeligkkelige ressourcer i forhold til at udfoslashre
hvervet
Vejledning om databeskyttelsesraringdgivere
17
Kommuner
Det antages ikke at vaeligre i overensstemmelse med en offentlig myndigheds struktur eller stoslashr-
relse hvis en databeskyttelsesraringdgiver fungerer paring baggrund af eacuten ansaeligttelseskontrakt i to for-
skellige kommuner Det antages derimod omvendt at vaeligre i overensstemmelse hermed saring-
fremt raringdgiveren udoslashver sin funktion paring baggrund af to deltidskontrakter i to kommuner paring
samme tid
Eksempel ndash En kommune
En kommune vil typisk vaeligre dataansvarlig for alle de behandlinger af personoplysninger som
foretages inden for den kommunale enhedsforvaltning Derfor er en kommune ikke forpligtet til at
udpege eacuten databeskyttelsesraringdgiver for de enkelte forvaltninger men vil kunne udpege eacuten data-
beskyttelsesraringdgiver for hele kommunen
Eksempel ndash organer med selvstaeligndig kompetence paring det kommunale omraringde
Det bemaeligrkes at der paring det kommunale omraringde kan vaeligre organer som ikke er en del af den
kommunale enhedsforvaltning men har selvstaeligndig kompetence paring det kommunale omraringde
feks huslejenaeligvnet ligesom der kan vaeligre kommunale organer som er en del af enhedsforvalt-
ningen der i visse henseender har en ndash i forhold til kommunalbestyrelsen ndash selvstaeligndig kompe-
tence herunder feks skoleledere
Naringr det i lovgivningen er fastsat eller forudsat at disse organer sekretariatsbetjenes af kommu-
nen og kommunen yder sekretariatsbetjening kan organerne have faeliglles databeskyttelsesraringd-
giver med kommunen og er ikke forpligtet til selvstaeligndigt at udpege en databeskyttelsesraringdgiver
ved siden af kommunens Databeskyttelsesraringdgiverens ydelser vil i den forbindelse vaeligre en del
af sekretariatsbetjeningen
Eksempel ndash Flere kommuner
Flere kommuner vil have mulighed for at dele en databeskyttelsesraringdgiver Som udgangspunkt
vurderes det at feks en gennemsnitskommune paring omkring 45000 indbyggere godt vil kunne
dele en databeskyttelsesraringdgiver med en anden tilsvarende eller en mindre kommune eller at en
lidt stoslashrre kommune vil kunne dele med en mindre kommune hvis databeskyttelsesraringdgiveren
Eksempel - Rigspolitiets databeskyttelsesenhed
Rigspolitiet har udpeget en faeliglles databeskyttelsesraringdgiver for landets 12
politikredse og Rigspolitiet for saring vidt angaringr behandlingen af personoplys-
ninger til brug for retsharingndhaeligvelsesformaringl
Den faeliglles databeskyttelsesraringdgiver understoslashttes i den forbindelse af en cen-
tral datebeskyttelsesenhed i Rigspolitiet hvor de enkelte medarbejdere be-
sidder stort kendskab til persondateretlige og forretningsmaeligssige forhold
med relevans for enhedens opgavevaretagelse Paring denne baggrund kan da-
tabeskyttelsesraringdgiveren samlet set leve op til sine forpligtelser som databe-
skyttelsesraringdgiver i medfoslashr af lov om retsharingndhaeligvende myndigheders be-
handling af personoplysninger som er lig dem der foslashlger af databeskyttel-
sesforordningen
Vejledning om databeskyttelsesraringdgivere
18
samlet set vurderes at kunne varetage opgaverne som databeskyttelsesraringdgiver Der skal saringle-
des foretages en konkret vurdering i det enkelte tilfaeliglde idet det afgoslashrende er om man som
databeskyttelsesraringdgiver kan efterleve sin funktion retmaeligssigt naringr funktionen udoslashves for flere
kommuner paring samme tid
Herudover vil to eller flere kommuner kunne oprette et kommunalt faeligllesskab til hvilket de garingr
sammen om at loslashse opgaven som databeskyttelsesraringdgiver i de deltagende kommuner
Eksempel - Regioner
En region vil typisk ogsaring vaeligre dataansvarlig for alle de behandlinger af personoplysninger der
foretages inden for regionen herunder drift af hospitaler forskning og sociale tilbud mv Hver
region vil som udgangspunkt kunne udpege eacuten databeskyttelsesraringdgiver
Eksempel - Ministerier og underordnede myndigheder
Departementer og underordnede myndigheder kan have en faeliglles databeskyttelsesraringdgiver
Dog kan der vaeligre hindringer som feks myndighedens stoslashrrelse der bevirker at man ikke kan
dele en databeskyttelsesraringdgiver Som eksempel herparing kan naeligvnes Justitsministeriet og politiet
der ikke kan have en faeliglles raringdgiver
Det skyldes at politiet anses for at vaeligre saring stor en enhed at en faeliglles databeskyttelsesraringdgiver
ikke vil kunne efterleve kravene til en databeskyttelsesraringdgiver (om bla tilgaeligngelighed) hvis
denne baringde skulle udfoslashre sin opgave for politiet som helhed og med andre myndigheder under
Justitsministeriets ressort
Dog vil politiet ndash i en ordning svarende til den ovenfor beskrevne paring retsharingndhaeligvelsesomraringdet ndash
kunne have en faeliglles databeskyttelsesraringdgiver under forordningen der udfoslashrer sin funktion for
alle politikredse
Det bemaeligrkes endvidere at forordningens krav om uafhaeligngighed skal vaeligre opfyldt for alle de
myndigheder der deler en databeskyttelsesraringdgiver
I den forbindelse ndash samt i relation til en underordnet myndigheds eventuelt saeligrlige uafhaeligngighed
ift den overordnede myndighed ndash kan der vaeligre visse situationer hvor det kan vaeligre betaelignkeligt
at lade en underordnet myndighed dele databeskyttelsesraringdgiver med et departement
Som eksempel herparing kan naeligvnes Datatilsynet og Justitsministeriets departement Dette er bla
henset til Datatilsynets funktionelle uafhaeligngighed i forhold til Justitsministeriet samt tilsynets spe-
cielle kompetence og rolle i forhold til databeskyttelsesforordningen Som et andet eksempel kan
naeligvnes Ankestyrelsens relation til (paring nuvaeligrende tidspunkt) Oslashkonomi- og Indenrigsministeriets
departement Her kan bla peges paring maeligngden og karakteren af data som behandles i Ankesty-
relsen samt styrelsens faglige uafhaeligngighed af departementet
Organisatoriske aeligndringer kan ogsaring bevirke at det i visse situationer ndash af praktiske aringrsager ndash
kan vaeligre mere oplagt for en underordnet myndighed at have sin egen databeskyttelsesraringdgiver
fremfor at dele med sit departement Hvis en underordnet myndighed saringledes har sin egen data-
beskyttelsesraringdgiver kan denne blot fortsaeligtte under samme kontrakt vilkaringr mv uanset at en
Vejledning om databeskyttelsesraringdgivere
19
myndighed efter eksempelvis et regeringsskifte organisatorisk placeres under et andet ministe-
rium
Eksempel - Selvejende institutioner
I det omfang selvejende institutioner kan anses for en offentlig myndighed eller et organ vil disse
myndigheder ogsaring have mulighed for at udpege en faeliglles databeskyttelsesraringdgiver med en an-
den selvejende institution omfattet af samme lovgivning eller feks den kommune som institutio-
nen har driftsoverenskomst med i det omfang kommunen yder sekretariatsbistand til institutio-
nen
44 Opsummering
Alle offentlige myndigheder og organer skal udpege en databeskyttelsesraringdgiver
fra den 25 maj 2018
Det er i hoslashj grad muligt at udpege en faeliglles databeskyttelsesraringdgiver der funge-
rer paring vegne af flere myndigheder paring eacuten gang
Muligheden for at have en faeliglles databeskyttelsesraringdgiver begraelignses af at
denne skal kunne leve op til sine forpligtelser efter databeskyttelsesforordningen
Databeskyttelsesraringdgiveren kan understoslashttes af en enhed for at kunne udfoslashre sit
hverv i overensstemmelse med forordningens krav Dette gaeliglder uanset om da-
tabeskyttelsesraringdgiveren fungerer for eacuten myndighed eller for flere myndigheder
og organer
Vejledning om databeskyttelsesraringdgivere
20
5 Databeskyttelsesraringdgiveren
51 Krav til faglige kvalifikationer
En databeskyttelsesraringdgiver skal udpeges paring baggrund af sine faglige kvalifikationer Dette
gaeliglder navnlig evnen til at udfoslashre sine opgaver som databeskyttelsesraringdgiver og ekspertise in-
den for databeskyttelsesret- og praksis
Der er ikke krav om at en databeskyttelsesraringdgiver skal have en bestemt uddannelsesmaeligssig
baggrund feks som jurist
Dermed er det op til den enkelte organisation at vurdere hvem der er bedst egnet til at varetage
stillingen som databeskyttelsesraringdgiver
Kravene til stillingen afhaelignger til en vis grad af kompleksiteten af den behandling af personop-
lysninger som den paringgaeligldende organisation foretager Dermed kan der for nogen organisatio-
ner vaeligre behov for at ansaeligtte en databeskyttelsesraringdgiver med stor erfaring inden for feltet og
i andre tilfaeliglde kan en eksisterende medarbejder paring baggrund af diverse kurser varetage funkti-
onen
Hvis der udpeges en databeskyttelsesraringdgiver fra egen organisation kan det med fordel vaeligre
en person som i forvejen har et vist kendskab til eller indsigt i haringndtering af databeskyttelses-
retlige sposlashrgsmaringl i organisationen
52 Hvem kan vaeligre databeskyttelsesraringdgiver
Som udgangspunkt kan alle som organisationen finder kvalificeret til at vaeligre databeskyttelses-
raringdgiver varetage funktionen
Foslashlgende kan derfor vaeligre databeskyttelsesraringdgivere
En intern medarbejder
En faeliglles databeskyttelsesraringdgiver for hele eller flere organisationer
En ekstern databeskyttelsesraringdgiver
Intern medarbejder
En organisation kan vaeliglge at udpege en eksisterende medarbejder som databeskyttelsesraringdgi-
ver
Det er ikke et krav at den medarbejder der varetager funktionen som databeskyttelsesraringdgiver
udoslashver sin funktion paring fuld tid
Vejledning om databeskyttelsesraringdgivere
21
Dermed kan en intern medarbejder der varetager funktionen som databeskyttelsesraringdgiver ud-
foslashre andre opgaver og have andre pligter i organisationen
Saringledes kan en medarbejder der feks arbejder i IT-sektionen i en organisation godt varetage
funktionen som databeskyttelsesraringdgiver paring deltid eller 10 timer om ugen alt efter behovet i
den enkelte organisation
Det afgoslashrende er at den paringgaeligldende medarbejder fyldestgoslashrende kan udoslashve sit erhverv som
databeskyttelsesraringdgiver i organisationen
Den person der udpeges kan med fordel vaeligre en person som i forvejen har et vist kendskab
til eller indsigt i haringndtering af databeskyttelsesretlige sposlashrgsmaringl i organisationen
Selve vurderingen af hvor meget tid en medarbejder skal bruge paring fyldestgoslashrende at kunne ef-
terleve kravene til en databeskyttelsesraringdgiver i organisationen afhaelignger af en konkret vurde-
ring af behovet hos organisationen
Interne ansatte der ikke kan vaeligre databeskyttelsesraringdgiver
En databeskyttelsesraringdgiver skal baringde vaeligre uafhaeligngig og vaeligre i stand til at udoslashve uvildig raringd-
givning til organisationen
Derfor kan en databeskyttelsesraringdgiver ikke vaeligre den oslashverste IT-ansvarlige eller oslashverste HR-
ansvarlige i en organisation
Eksempel ndash virksomhed med faring ansatte
Virksomheder med faring ansatte herunder feks enkeltmandsvirksomheder vil have svaeligrt ved at
opfylde betingelsen om at en databeskyttelsesraringdgiver ikke kan vaeligre oslashverste IT-ansvarlige eller
oslashverste HR-ansvarlige i en organisation (forudsat at virksomheden i oslashvrigt opfylder betingelserne
for hvornaringr private skal udpege en databeskyttelsesraringdgiver jf naeligrmere om privates forpligtelse
under punkt 3) I en saringdan situation kan virksomheden enten benytte sig af muligheden for at
udpege en faeliglles databeskyttelsesraringdgiver eller anvende en konsulent til opgaven
Databeskyttelsesraringdgiverenhed
Der kan ogsaring udpeges eacuten databeskyttelsesraringdgiver for den paringgaeligldende organisation som un-
derstoslashttes af en enhed saring den paringgaeligldende kan leve op til sine forpligtelser efter forordningen jf
den ovenfor beskrevne ordning for politiet
Faeliglles databeskyttelsesraringdgiver
Saringvel private som offentlige myndigheder kan udpege en faeliglles databeskyttelsesraringdgiver af-
haeligngig af deres struktur og stoslashrrelse
Medarbejdere som ikke har det oslashverste ansvar kan vaeligre databe-
skyttelsesraringdgivere Det betyder at ledende IT-medarbejdere
compliance-officerer eller en it-sikkerheds koordinator mv kan
udoslashve funktionen som databeskyttelsesraringdgiver i organisationen
Vejledning om databeskyttelsesraringdgivere
22
Ekstern medarbejder
Man kan ogsaring vaeliglge at udpege en ekstern databeskyttelsesraringdgiver Dette kan enten vaeligre en
raringdgiver (konsulentvirksomhed) saringsom en bestemt advokat eller revisor eller andre kvalifice-
rede eksterne parter Udoslashvelsen af hvervet som databeskyttelsesraringdgiver vil dog i sagens natur
alene kunne udoslashves i det omfang dette er foreneligt med eventuelle regler ndash herunder etiske
krav ndash for den relevante type af raringdgivervirksomhed mv
53 Databeskyttelsesraringdgiverens opgaver
Databeskyttelsesraringdgiveren funktion bestaringr i at raringdgive den dataansvarlige og hjaeliglpe med at
organisationen efterlever de databeskyttelsesretlige regler
En databeskyttelsesraringdgiver skal desuden prioritere sine opgaver og fokusere paring de behandlin-
ger af personoplysninger i den paringgaeligldende organisation som konkret indebaeligrer en hoslashjere ri-
siko for brud paring de databeskyttelsesretlige regler Dog skal oslashvrige databeskyttelsesretlige omraring-
der som indebaeligrer en lavere grad af risiko ikke undlades
Der er en raeligkke opgaver som databeskyttelsesraringdgiveren som minimum skal varetage Der er
dog ikke noget til hinder for at der overlades flere opgaver til databeskyttelsesraringdgiveren Da-
tabeskyttelsesraringdgiverens rolle som central raringdgivningsfigur i organisationen samt dennes op-
gaver kan med fordel beskrives naeligrmere i en (ansaeligttelses)aftale
Nedenfor foslashlger en naeligrmere beskrivelse af de opgaver som databeskyttelsesraringdgiveren som
minimum skal varetage i en organisation
Underrette og raringdgive organisationen og de ansatte om databeskyttelse
Det indebaeligrer
Konkret raringdgivning om beskyttelse af personoplysninger i organisationen samt
overvejelser og beslutninger om hvordan compliance sikres mv feks i forbin-
delse med foslashlgende
Organisationens indkoslashb af nyt IT-system
kravsspecifikationer til leverandoslashrer
udarbejdelse af organisationens data-politikker
ivaeligrksaeligttelse af behandling af personoplysninger
overvejelser om hvorvidt en given behandling af personoplysninger over-
holder de generelle behandlingsregler
Staring til raringdighed for ansatte samt ledelsen i organisationen vedroslashrende sposlashrgsmaringl
om databeskyttelse
Vejledning om databeskyttelsesraringdgivere
23
Raringdgivning i forbindelse med udarbejdelse af organisationens konsekvensanaly-
ser jf afsnit 3 nedenfor
Modtage underretning om og raringdgive organisationen i forbindelse med brud paring
persondatasikkerheden
Overvaringge overholdelsen af de databeskyttelsesretlige regler i organisationen
Det indebaeligrer bla ogsaring at overvaringge
organisationens politikker om databeskyttelse
uddannelse af personale i databeskyttelse
oplysningskampagner
fordeling af ansvar
revisioner
Det skal hertil bemaeligrkes at databeskyttelsesraringdgiverens opgave med at overvaringge overholdel-
sen af de databeskyttelsesretlige regler i organisationen ikke medfoslashrer at raringdgiveren overtager
selve ansvaret for at behandlingen af personoplysninger sker i overensstemmelse med reg-
lerne Dette ansvar ligger fortsat hos den dataansvarlige
Raringdgivning i forbindelse med udarbejdelse af organisationens konsekvensanalyser
I visse tilfaeliglde skal organisationer udarbejde en konsekvensanalyse af en planlagt behandling
af personoplysninger
I de tilfaeliglde hvor en organisation har udpeget en databeskyttelsesraringdgiver skal denne raringdfoslash-
res naringr der foretages en konsekvensanalyse
Herudover skal databeskyttelsesraringdgiveren raringdgive med hensyn til konsekvensanalysen naringr
der anmodes herom
Som led i overvaringgningsopgaven kan databeskyttel-
sesraringdgiveren foretage foslashlgende
indsamle oplysninger til at identificere
behandlingsaktiviteter
informere raringdgive og komme med an-
befalinger til den dataansvarlige og da-
tabehandleren
Vejledning om databeskyttelsesraringdgivere
24
I tilfaeliglde af uenighed mellem organisationen og databeskyttelsesraringdgiveren anbefales det at
det specifikt fremgaringr af selve konsekvensanalysen hvorfor databeskyttelsesraringdgiverens indstil-
ling ikke er blevet fulgt
Samarbejde med Datatilsynet paring vegne af organisationen
En organisation er forpligtet til at hoslashre Datatilsynet inden behandling hvis en konsekvensana-
lyse vedroslashrende databeskyttelse viser at behandlingen af personoplysninger vil foslashre til hoslashj ri-
siko i mangel af foranstaltninger truffet af organisation for at begraelignse risikoen
Det foslashlger af forordningen at databeskyttelsesraringdgiveren skal samarbejde med tilsynsmyndig-
heden og fungere som tilsynsmyndighedens kontaktperson Det kan feks vaeligre databeskyttel-
sesraringdgiveren der paring vegne af den dataansvarlige hoslashrer tilsynsmyndigheden
Vaeligre kontaktpunkt for tilsynsmyndigheden (Datatilsynet) angaringende alle sposlashrgsmaringl om behand-
ling af personoplysninger for de personer der behandles oplysninger om
Databeskyttelsesraringdgiveren skal inddrages af den dataansvarlige i tilfaeliglde af at konkrete kla-
gesager indbringes for Datatilsynet Databeskyttelsesraringdgiveren boslashr ligeledes orienteres naringr
Datatilsynet beslutter at gennemfoslashre et eventuelt tilsyn af den dataansvarlige
Herudover skal databeskyttelsesraringdgiveren ogsaring vaeligre i stand til at vejlede den person der be-
handles personoplysninger om Det betyder at databeskyttelsesraringdgiveren skal vaeligre i stand til
at vejlede om hvilke rettigheder den paringgaeligldende har og hvordan de kan udnyttes
Det indebaeligrer endvidere at den dataansvarlige skal give meddelelse om kontaktoplysninger paring
databeskyttelsesraringdgiveren
Det anbefales i oslashvrigt at organisationen i en funktionsbeskrivelse klart definerer hvilke opgaver
der paringhviler databeskyttelsesraringdgiveren En funktionsbeskrivelse vil goslashre det tydeligt hvornaringr
Raringdgivning i forhold til konsekvensanalyser kan bla indebaeligre raringdgiv-
ning vedroslashrende
om der skal gennemfoslashres en konsekvensanalyse
hvilken fremgangsmaringde der skal anvendes ved gennemfoslash-
relse af konsekvensanalysen
om konsekvensanalysen kan gennemfoslashres internt eller om
gennemfoslashrelsen kraeligver antagelse af ekstern bistand
hvilke sikkerhedsforanstaltninger (tekniske og organisatori-
ske) som skal anvendes for at begraelignse risici i forhold til
de registreredes rettigheder og interesser
om konsekvensanalysen er korrekt gennemfoslashrt og om
dens konklusioner er i overensstemmelse med de databe-
skyttelsesretlige regler
Vejledning om databeskyttelsesraringdgivere
25
den paringgaeligldende virker som databeskyttelsesraringdgiver og i denne egenskab ikke kan instrueres
Det vil samtidig blive tydeligt hvornaringr den paringgaeligldende udfoslashrer andre opgaver i sit ordinaeligre an-
saeligttelsesforhold i organisationen
54 Krav til organisationen ndash rettidig og tilstraeligkkelig inddragelse af databeskyt-
telsesraringdgiveren
En organisation skal sikre at databeskyttelsesraringdgiveren inddrages tilstraeligkkeligt og rettidigt i
alle sposlashrgsmaringl vedroslashrende beskyttelse af personoplysninger En saringdan inddragelse boslashr ogsaring
ske paring oslashverste ledelsesmaeligssige niveau (feks ved deltagelse paring direktions- og ledelsesmoslashder)
Det anbefales at organisationen implementerer procedurer som sikrer dette
I hvilke tilfaeliglde skal databeskyttelsesraringdgiveren inddrages
Databeskyttelsesraringdgiveren skal inddrages i alle de overvejelser og vurderinger som organisa-
tionen goslashr sig for at overholde kravene i databeskyttelsesforordningen databeskyttelsesloven
og oslashvrige regler for behandling af personoplysninger
Eksempel paring sposlashrgsmaringl hvor databeskyttelsesraringdgiveren boslashr inddrages
ved overvejelser og beslutninger om hvordan organisationens compliance med
databeskyttelsesreglerne sikres
ved overvejelser i forbindelse med datasikkerhed herunder databeskyttelse gen-
nem design og standardindstillinger og
ved udarbejdelse af konsekvensanalyser
Saringfremt databeskyttelsesraringdgiveren udpeges foslashr den 25 maj 2018 kan denne inddrages i or-
ganisationens implementering af de krav der foslashlger af forordningen
Eksempel paring sposlashrgsmaringl hvor databeskyttelsesraringdgiveren ikke
skal inddrages
Konkrete vurderinger ift registreredes rettigheder
feks anmodning paring indsigt ret til at blive glemt
mv
Deltagelse i mindre praktiske eller almindelige
driftsopgaver eller driftsmaeligssige sposlashrgsmaringl knyt-
tet til opsaeligtning af it-systemer
Udarbejdelse af konkrete databehandleraftaler
Behandling af personoplysninger der finder sted i
overensstemmelse med interne regler som den da-
taansvarlige har fastsat forudsat at disse regler er
fastsat under inddragelse af databeskyttelsesraringdgi-
veren
Vejledning om databeskyttelsesraringdgivere
26
Hvordan skal databeskyttelsesraringdgiveren inddrages
For at sikre at databeskyttelsesraringdgiveren inddrages tilstraeligkkeligt og rettidigt er organisationen
forpligtet til at holde databeskyttelsesraringdgiveren tilstraeligkkeligt og rettidigt orienteret om alle
sposlashrgsmaringl om beskyttelse af personoplysninger
Som tommelfingerregel skal databeskyttelsesraringdgiveren have mulighed for at vurdere overhol-
delsen af de databeskyttelsesretlige regler og komme med bemaeligrkninger eller lignende inden
en behandling af personoplysninger igangsaeligttes
Hvornaringr er inddragelsen rettidig
Databeskyttelsesraringdgiveren skal inddrages i saring god tid som det er muligt forud for ivaeligrksaeligttel-
sen af behandling af personoplysninger
Det er afgoslashrende at databeskyttelsesraringdgiveren inddrages i tide til at kunne foretage en reel
vurdering af om den paringtaelignkte behandling af personoplysninger er i overensstemmelse med de
databeskyttelsesretlige regler og dermed kan komme med kvalificerede bemaeligrkninger herom
med henblik paring at raringdgive organisationen
Eksempler paring rettidig inddragelse
Inddrages forud for beslutning om noslashdvendige
foranstaltninger i IT-systemer for at efterleve kra-
vene om databeskyttelse gennem design og stan-
dardindstillinger
Inddrages forud for udstedelse af retningslinjer og
procedurer for hvordan de databeskyttelsesret-
lige regler skal overholdes i organisationen
Inddragelse foslashr offentliggoslashrelse af udbudsmateri-
ale i en udbudsproces eller lignende
Eksempler paring ikke-rettidig inddragelse
Inddragelse af databeskyttelsesraringdgiveren efter
et nyt IT-system er faeligrdigudviklet
Inddragelse af databeskyttelsesraringdgiveren efter
indkoslashb af IT-systemer (dermed ikke en del af
overvejelserne vedr kravspecifikation og databe-
skyttelse gennem design og standardindstillin-
ger)
Inddragelse af databeskyttelsesraringdgiveren efter
at en konsekvensanalyse er udarbejdet
Inddragelse af databeskyttelsesraringdgiveren efter
stoslashrre aeligndringer i organisationens procedurer
der vedroslashrer databeskyttelse saringsom haringndtering
af anmodninger fra registrerede personer
Vejledning om databeskyttelsesraringdgivere
27
Behandlingsaktiviteter igangsat foslashr en databeskyttelsesraringdgiver udpeges
Naringr en organisation udpeger en databeskyttelsesraringdgiver vil der selvsagt vaeligre behandlinger af
personoplysninger der allerede er igangsat i organisationen
Databeskyttelsesraringdgiveren boslashr ved udpegelsen primaeligrt have fokus paring de fremadrettede com-
pliance aktiviteter Derudover kan databeskyttelsesraringdgiveren ndash ud fra en risikovurdering i for-
hold til de behandlinger som konkret indebaeligrer hoslashjere risiko ndash inddrages i organisationens
overvejelser om hvorvidt de igangvaeligrende aktiviteter overholder de databeskyttelsesretlige
regler
Hvornaringr er inddragelsen tilstraeligkkelig
Der skal ske en reel inddragelse af databeskyttelsesraringdgiveren i organisationens overvejelser
og beslutninger vedroslashrende databeskyttelse
Det indebaeligrer at organisationen skal inddrage og tage hoslashjde for databeskyttelsesraringdgiverens
bemaeligrkninger og raringdgivning i oslashvrigt samt dennes rapportering til oslashverste ledelsesniveau om
overholdelse af de databeskyttelsesretlige regler
Saringfremt databeskyttelsesraringdgiverens raringdgivning ikke foslashlges anbefales det at organisationen
dokumenterer dette i overensstemmelse med kravet om accountability
Ressourcer og adgang
Ressourcer
For at databeskyttelsesraringdgiveren rent faktisk kan udfoslashre sine opgaver er det noslashdvendigt at
organisationens tilvejebringer de noslashdvendige ressourcer til stoslashtte for databeskyttelsesraringdgive-
ren
Det er endvidere et krav at organisationen tilvejebringer de fornoslashdne ressourcer for at databe-
skyttelsesraringdgiveren kan opretholde sin ekspertise inden for omraringdet
Fastsaeligttelsen af de fornoslashdne ressourcer beror paring en konkret vurdering som afhaelignger af de
organisatoriske forhold i organisationen saringsom stoslashrrelsen antallet af behandlingsaktiviteter
kompleksiteten af behandlingen af personoplysninger samt de forbundne risici
Jo stoslashrre en organisation er des stoslashrre er behovet for ressourcer til stoslashtte for databeskyttelses-
raringdgiveren
Selve behovet for ressourcer beror paring en konkret vurde-
ring som organisationen er ansvarlig for at foretage
Som eksempler paring fornoslashdne ressourcer kan naeligvnes
Faciliteter og arbejdsredskaber
Oslashkonomiske ressourcer
Personaleressourcer og lignende
Vejledning om databeskyttelsesraringdgivere
28
Adgang
Databeskyttelsesraringdgiveren skal ogsaring have adgang til organisationens personoplysninger og
den behandling af disse som organisationen foretager
Der skal vaeligre tale om en vid adgang som kan tilvejebringes efter behov
Uafhaeligngighed
Det er et grundlaeligggende krav at en databeskyttelsesraringdgiver ikke maring blive instrueret af andre
om hvordan raringdgiveren skal udfoslashre sine opgaver Der gaeliglder saringledes foslashlgende for databeskyt-
telsesraringdgiveren
Maring ikke som led i sin funktion som databeskyttelsesraringdgiver modtage instruks om
hvordan denne skal udfoslashre sine opgaver (eller feks om en bestemt vurdering el-
ler fortolkning af forordningen)
Maring ikke afskediges eller sanktioneres for at udfoslashre sine opgaver
Rapporterer direkte til oslashverste ledelsesniveau
Databeskyttelsesraringdgiverens interne reaktionsmuligheder er i praksis taeligt forbundne med at
ovenstaringende krav til uafhaeligngighed efterleves Idet en databeskyttelsesraringdgiver ikke har instruk-
tionsbefoslashjelser over for andre dele af den dataansvarliges organisation er det i praksis mulighe-
den for at kunne rapportere direkte til oslashverste ledelsesniveau der er raringdgiverens interne virke-
middel overfor konstaterede brud paring forordningen
Hvor det oslashverste ledelsesniveau er afhaelignger af organiseringen hos den konkrete dataansvarlige
eller databehandleren
I forhold til det private erhvervsliv fremgaringr det af selskabsloven at det er bestyrelsen der er det
centrale eller oslashverste ledelsesorgan i selskaber der baringde har en bestyrelse og en direktion Naringr
der i databeskyttelsesforordningen henvises til det oslashverste ledelsesniveau maring det i det private
forstarings i relation til den daglige drift og dermed direktionen saringfremt selskabet har baringde en besty-
relse og en direktion Det vil i praksis betyde at direktionen skal orientere bestyrelsen om vaelig-
sentlige forhold som paringpeges af databeskyttelsesraringdgiveren
For statslige myndigheder maring den oslashverste ledelse forstarings som den oslashverste administrative le-
delse
For saring vidt angaringr kommuner og regioner gaeliglder at databeskyttelsesraringdgiveren rapporterer di-
rekte til kommunalbestyrelsen henholdsvis regionsraringdet Denne rapportering forelaeliggges for kom-
munalbestyrelsen henholdsvis regionsraringdet uden den forudgaringende udvalgsbehandling som de
kommunale og regionale sager ellers normalt skal undergives Dette udelukker dog ikke at en
kommune kan indhente en erklaeligring fra oslashkonomiudvalget forinden forelaeligggelse for kommunal-
bestyrelsen
55 Beskyttelse af databeskyttelsesraringdgiveren
Funktionen som databeskyttelsesraringdgiver er beskyttet ved et forbud mod at kunne blive afskedi-
get for udfoslashrelse af opgaverne som databeskyttelsesraringdgiver
Vejledning om databeskyttelsesraringdgivere
29
Usaglig afskedigelse af en databeskyttelsesraringdgiver er sanktioneret med en boslashde
Databeskyttelsesraringdgiveren vil kunne afskediges paring et sagligt grundlag efter almindelige ansaeligt-
telsesretlige regler
56 Opsummering
En databeskyttelsesraringdgiver udpeges paring baggrund af sine faglige kvalifikationer
Databeskyttelsesraringdgiveren kan baringde vaeligre en intern medarbejder en faeliglles da-
tabeskyttelsesraringdgiver for hele eller flere organisationer eller en ekstern databe-
skyttelsesraringdgiver
Databeskyttelsesraringdgiveren har en raeligkke opgaver denne som minimum skal va-
retage Derudover anbefales det at man klart definerer hvilke opgaver der paringhvi-
ler databeskyttelsesraringdgiveren
En organisation skal rettidig og tilstraeligkkelig inddrage databeskyttelsesraringdgiveren
i alle sposlashrgsmaringl vedroslashrende beskyttelse af personoplysninger
Databeskyttelsesraringdgiveren nyder en saeligrlig beskyttelse mod usaglig afskedi-
gelse og kan ikke afskediges eller sanktioneres for at udfoslashre sine opgaver som
Databeskyttelsesraringdgiver
Dato
20 december 2017
Justitsministeriet
Slotsholmsgade 10
1216 Koslashbenhavn K
Telefon
72 26 84 00
jmjmdk
Eksempler paring tilfaeliglde hvor en databeskyttelsesraringd-
giver kan afskediges
Ikke udfoslashrer sine arbejdsopgaver
Misligholder ansaeligttelsesforholdet
Samarbejdsvanskeligheder
Vejledning om databeskyttelsesraringdgivere
30
ISBN
978-88-98564-35-7
Foto
Scanpix
Vejledning om databeskyttelsesraringdgivere
17
Kommuner
Det antages ikke at vaeligre i overensstemmelse med en offentlig myndigheds struktur eller stoslashr-
relse hvis en databeskyttelsesraringdgiver fungerer paring baggrund af eacuten ansaeligttelseskontrakt i to for-
skellige kommuner Det antages derimod omvendt at vaeligre i overensstemmelse hermed saring-
fremt raringdgiveren udoslashver sin funktion paring baggrund af to deltidskontrakter i to kommuner paring
samme tid
Eksempel ndash En kommune
En kommune vil typisk vaeligre dataansvarlig for alle de behandlinger af personoplysninger som
foretages inden for den kommunale enhedsforvaltning Derfor er en kommune ikke forpligtet til at
udpege eacuten databeskyttelsesraringdgiver for de enkelte forvaltninger men vil kunne udpege eacuten data-
beskyttelsesraringdgiver for hele kommunen
Eksempel ndash organer med selvstaeligndig kompetence paring det kommunale omraringde
Det bemaeligrkes at der paring det kommunale omraringde kan vaeligre organer som ikke er en del af den
kommunale enhedsforvaltning men har selvstaeligndig kompetence paring det kommunale omraringde
feks huslejenaeligvnet ligesom der kan vaeligre kommunale organer som er en del af enhedsforvalt-
ningen der i visse henseender har en ndash i forhold til kommunalbestyrelsen ndash selvstaeligndig kompe-
tence herunder feks skoleledere
Naringr det i lovgivningen er fastsat eller forudsat at disse organer sekretariatsbetjenes af kommu-
nen og kommunen yder sekretariatsbetjening kan organerne have faeliglles databeskyttelsesraringd-
giver med kommunen og er ikke forpligtet til selvstaeligndigt at udpege en databeskyttelsesraringdgiver
ved siden af kommunens Databeskyttelsesraringdgiverens ydelser vil i den forbindelse vaeligre en del
af sekretariatsbetjeningen
Eksempel ndash Flere kommuner
Flere kommuner vil have mulighed for at dele en databeskyttelsesraringdgiver Som udgangspunkt
vurderes det at feks en gennemsnitskommune paring omkring 45000 indbyggere godt vil kunne
dele en databeskyttelsesraringdgiver med en anden tilsvarende eller en mindre kommune eller at en
lidt stoslashrre kommune vil kunne dele med en mindre kommune hvis databeskyttelsesraringdgiveren
Eksempel - Rigspolitiets databeskyttelsesenhed
Rigspolitiet har udpeget en faeliglles databeskyttelsesraringdgiver for landets 12
politikredse og Rigspolitiet for saring vidt angaringr behandlingen af personoplys-
ninger til brug for retsharingndhaeligvelsesformaringl
Den faeliglles databeskyttelsesraringdgiver understoslashttes i den forbindelse af en cen-
tral datebeskyttelsesenhed i Rigspolitiet hvor de enkelte medarbejdere be-
sidder stort kendskab til persondateretlige og forretningsmaeligssige forhold
med relevans for enhedens opgavevaretagelse Paring denne baggrund kan da-
tabeskyttelsesraringdgiveren samlet set leve op til sine forpligtelser som databe-
skyttelsesraringdgiver i medfoslashr af lov om retsharingndhaeligvende myndigheders be-
handling af personoplysninger som er lig dem der foslashlger af databeskyttel-
sesforordningen
Vejledning om databeskyttelsesraringdgivere
18
samlet set vurderes at kunne varetage opgaverne som databeskyttelsesraringdgiver Der skal saringle-
des foretages en konkret vurdering i det enkelte tilfaeliglde idet det afgoslashrende er om man som
databeskyttelsesraringdgiver kan efterleve sin funktion retmaeligssigt naringr funktionen udoslashves for flere
kommuner paring samme tid
Herudover vil to eller flere kommuner kunne oprette et kommunalt faeligllesskab til hvilket de garingr
sammen om at loslashse opgaven som databeskyttelsesraringdgiver i de deltagende kommuner
Eksempel - Regioner
En region vil typisk ogsaring vaeligre dataansvarlig for alle de behandlinger af personoplysninger der
foretages inden for regionen herunder drift af hospitaler forskning og sociale tilbud mv Hver
region vil som udgangspunkt kunne udpege eacuten databeskyttelsesraringdgiver
Eksempel - Ministerier og underordnede myndigheder
Departementer og underordnede myndigheder kan have en faeliglles databeskyttelsesraringdgiver
Dog kan der vaeligre hindringer som feks myndighedens stoslashrrelse der bevirker at man ikke kan
dele en databeskyttelsesraringdgiver Som eksempel herparing kan naeligvnes Justitsministeriet og politiet
der ikke kan have en faeliglles raringdgiver
Det skyldes at politiet anses for at vaeligre saring stor en enhed at en faeliglles databeskyttelsesraringdgiver
ikke vil kunne efterleve kravene til en databeskyttelsesraringdgiver (om bla tilgaeligngelighed) hvis
denne baringde skulle udfoslashre sin opgave for politiet som helhed og med andre myndigheder under
Justitsministeriets ressort
Dog vil politiet ndash i en ordning svarende til den ovenfor beskrevne paring retsharingndhaeligvelsesomraringdet ndash
kunne have en faeliglles databeskyttelsesraringdgiver under forordningen der udfoslashrer sin funktion for
alle politikredse
Det bemaeligrkes endvidere at forordningens krav om uafhaeligngighed skal vaeligre opfyldt for alle de
myndigheder der deler en databeskyttelsesraringdgiver
I den forbindelse ndash samt i relation til en underordnet myndigheds eventuelt saeligrlige uafhaeligngighed
ift den overordnede myndighed ndash kan der vaeligre visse situationer hvor det kan vaeligre betaelignkeligt
at lade en underordnet myndighed dele databeskyttelsesraringdgiver med et departement
Som eksempel herparing kan naeligvnes Datatilsynet og Justitsministeriets departement Dette er bla
henset til Datatilsynets funktionelle uafhaeligngighed i forhold til Justitsministeriet samt tilsynets spe-
cielle kompetence og rolle i forhold til databeskyttelsesforordningen Som et andet eksempel kan
naeligvnes Ankestyrelsens relation til (paring nuvaeligrende tidspunkt) Oslashkonomi- og Indenrigsministeriets
departement Her kan bla peges paring maeligngden og karakteren af data som behandles i Ankesty-
relsen samt styrelsens faglige uafhaeligngighed af departementet
Organisatoriske aeligndringer kan ogsaring bevirke at det i visse situationer ndash af praktiske aringrsager ndash
kan vaeligre mere oplagt for en underordnet myndighed at have sin egen databeskyttelsesraringdgiver
fremfor at dele med sit departement Hvis en underordnet myndighed saringledes har sin egen data-
beskyttelsesraringdgiver kan denne blot fortsaeligtte under samme kontrakt vilkaringr mv uanset at en
Vejledning om databeskyttelsesraringdgivere
19
myndighed efter eksempelvis et regeringsskifte organisatorisk placeres under et andet ministe-
rium
Eksempel - Selvejende institutioner
I det omfang selvejende institutioner kan anses for en offentlig myndighed eller et organ vil disse
myndigheder ogsaring have mulighed for at udpege en faeliglles databeskyttelsesraringdgiver med en an-
den selvejende institution omfattet af samme lovgivning eller feks den kommune som institutio-
nen har driftsoverenskomst med i det omfang kommunen yder sekretariatsbistand til institutio-
nen
44 Opsummering
Alle offentlige myndigheder og organer skal udpege en databeskyttelsesraringdgiver
fra den 25 maj 2018
Det er i hoslashj grad muligt at udpege en faeliglles databeskyttelsesraringdgiver der funge-
rer paring vegne af flere myndigheder paring eacuten gang
Muligheden for at have en faeliglles databeskyttelsesraringdgiver begraelignses af at
denne skal kunne leve op til sine forpligtelser efter databeskyttelsesforordningen
Databeskyttelsesraringdgiveren kan understoslashttes af en enhed for at kunne udfoslashre sit
hverv i overensstemmelse med forordningens krav Dette gaeliglder uanset om da-
tabeskyttelsesraringdgiveren fungerer for eacuten myndighed eller for flere myndigheder
og organer
Vejledning om databeskyttelsesraringdgivere
20
5 Databeskyttelsesraringdgiveren
51 Krav til faglige kvalifikationer
En databeskyttelsesraringdgiver skal udpeges paring baggrund af sine faglige kvalifikationer Dette
gaeliglder navnlig evnen til at udfoslashre sine opgaver som databeskyttelsesraringdgiver og ekspertise in-
den for databeskyttelsesret- og praksis
Der er ikke krav om at en databeskyttelsesraringdgiver skal have en bestemt uddannelsesmaeligssig
baggrund feks som jurist
Dermed er det op til den enkelte organisation at vurdere hvem der er bedst egnet til at varetage
stillingen som databeskyttelsesraringdgiver
Kravene til stillingen afhaelignger til en vis grad af kompleksiteten af den behandling af personop-
lysninger som den paringgaeligldende organisation foretager Dermed kan der for nogen organisatio-
ner vaeligre behov for at ansaeligtte en databeskyttelsesraringdgiver med stor erfaring inden for feltet og
i andre tilfaeliglde kan en eksisterende medarbejder paring baggrund af diverse kurser varetage funkti-
onen
Hvis der udpeges en databeskyttelsesraringdgiver fra egen organisation kan det med fordel vaeligre
en person som i forvejen har et vist kendskab til eller indsigt i haringndtering af databeskyttelses-
retlige sposlashrgsmaringl i organisationen
52 Hvem kan vaeligre databeskyttelsesraringdgiver
Som udgangspunkt kan alle som organisationen finder kvalificeret til at vaeligre databeskyttelses-
raringdgiver varetage funktionen
Foslashlgende kan derfor vaeligre databeskyttelsesraringdgivere
En intern medarbejder
En faeliglles databeskyttelsesraringdgiver for hele eller flere organisationer
En ekstern databeskyttelsesraringdgiver
Intern medarbejder
En organisation kan vaeliglge at udpege en eksisterende medarbejder som databeskyttelsesraringdgi-
ver
Det er ikke et krav at den medarbejder der varetager funktionen som databeskyttelsesraringdgiver
udoslashver sin funktion paring fuld tid
Vejledning om databeskyttelsesraringdgivere
21
Dermed kan en intern medarbejder der varetager funktionen som databeskyttelsesraringdgiver ud-
foslashre andre opgaver og have andre pligter i organisationen
Saringledes kan en medarbejder der feks arbejder i IT-sektionen i en organisation godt varetage
funktionen som databeskyttelsesraringdgiver paring deltid eller 10 timer om ugen alt efter behovet i
den enkelte organisation
Det afgoslashrende er at den paringgaeligldende medarbejder fyldestgoslashrende kan udoslashve sit erhverv som
databeskyttelsesraringdgiver i organisationen
Den person der udpeges kan med fordel vaeligre en person som i forvejen har et vist kendskab
til eller indsigt i haringndtering af databeskyttelsesretlige sposlashrgsmaringl i organisationen
Selve vurderingen af hvor meget tid en medarbejder skal bruge paring fyldestgoslashrende at kunne ef-
terleve kravene til en databeskyttelsesraringdgiver i organisationen afhaelignger af en konkret vurde-
ring af behovet hos organisationen
Interne ansatte der ikke kan vaeligre databeskyttelsesraringdgiver
En databeskyttelsesraringdgiver skal baringde vaeligre uafhaeligngig og vaeligre i stand til at udoslashve uvildig raringd-
givning til organisationen
Derfor kan en databeskyttelsesraringdgiver ikke vaeligre den oslashverste IT-ansvarlige eller oslashverste HR-
ansvarlige i en organisation
Eksempel ndash virksomhed med faring ansatte
Virksomheder med faring ansatte herunder feks enkeltmandsvirksomheder vil have svaeligrt ved at
opfylde betingelsen om at en databeskyttelsesraringdgiver ikke kan vaeligre oslashverste IT-ansvarlige eller
oslashverste HR-ansvarlige i en organisation (forudsat at virksomheden i oslashvrigt opfylder betingelserne
for hvornaringr private skal udpege en databeskyttelsesraringdgiver jf naeligrmere om privates forpligtelse
under punkt 3) I en saringdan situation kan virksomheden enten benytte sig af muligheden for at
udpege en faeliglles databeskyttelsesraringdgiver eller anvende en konsulent til opgaven
Databeskyttelsesraringdgiverenhed
Der kan ogsaring udpeges eacuten databeskyttelsesraringdgiver for den paringgaeligldende organisation som un-
derstoslashttes af en enhed saring den paringgaeligldende kan leve op til sine forpligtelser efter forordningen jf
den ovenfor beskrevne ordning for politiet
Faeliglles databeskyttelsesraringdgiver
Saringvel private som offentlige myndigheder kan udpege en faeliglles databeskyttelsesraringdgiver af-
haeligngig af deres struktur og stoslashrrelse
Medarbejdere som ikke har det oslashverste ansvar kan vaeligre databe-
skyttelsesraringdgivere Det betyder at ledende IT-medarbejdere
compliance-officerer eller en it-sikkerheds koordinator mv kan
udoslashve funktionen som databeskyttelsesraringdgiver i organisationen
Vejledning om databeskyttelsesraringdgivere
22
Ekstern medarbejder
Man kan ogsaring vaeliglge at udpege en ekstern databeskyttelsesraringdgiver Dette kan enten vaeligre en
raringdgiver (konsulentvirksomhed) saringsom en bestemt advokat eller revisor eller andre kvalifice-
rede eksterne parter Udoslashvelsen af hvervet som databeskyttelsesraringdgiver vil dog i sagens natur
alene kunne udoslashves i det omfang dette er foreneligt med eventuelle regler ndash herunder etiske
krav ndash for den relevante type af raringdgivervirksomhed mv
53 Databeskyttelsesraringdgiverens opgaver
Databeskyttelsesraringdgiveren funktion bestaringr i at raringdgive den dataansvarlige og hjaeliglpe med at
organisationen efterlever de databeskyttelsesretlige regler
En databeskyttelsesraringdgiver skal desuden prioritere sine opgaver og fokusere paring de behandlin-
ger af personoplysninger i den paringgaeligldende organisation som konkret indebaeligrer en hoslashjere ri-
siko for brud paring de databeskyttelsesretlige regler Dog skal oslashvrige databeskyttelsesretlige omraring-
der som indebaeligrer en lavere grad af risiko ikke undlades
Der er en raeligkke opgaver som databeskyttelsesraringdgiveren som minimum skal varetage Der er
dog ikke noget til hinder for at der overlades flere opgaver til databeskyttelsesraringdgiveren Da-
tabeskyttelsesraringdgiverens rolle som central raringdgivningsfigur i organisationen samt dennes op-
gaver kan med fordel beskrives naeligrmere i en (ansaeligttelses)aftale
Nedenfor foslashlger en naeligrmere beskrivelse af de opgaver som databeskyttelsesraringdgiveren som
minimum skal varetage i en organisation
Underrette og raringdgive organisationen og de ansatte om databeskyttelse
Det indebaeligrer
Konkret raringdgivning om beskyttelse af personoplysninger i organisationen samt
overvejelser og beslutninger om hvordan compliance sikres mv feks i forbin-
delse med foslashlgende
Organisationens indkoslashb af nyt IT-system
kravsspecifikationer til leverandoslashrer
udarbejdelse af organisationens data-politikker
ivaeligrksaeligttelse af behandling af personoplysninger
overvejelser om hvorvidt en given behandling af personoplysninger over-
holder de generelle behandlingsregler
Staring til raringdighed for ansatte samt ledelsen i organisationen vedroslashrende sposlashrgsmaringl
om databeskyttelse
Vejledning om databeskyttelsesraringdgivere
23
Raringdgivning i forbindelse med udarbejdelse af organisationens konsekvensanaly-
ser jf afsnit 3 nedenfor
Modtage underretning om og raringdgive organisationen i forbindelse med brud paring
persondatasikkerheden
Overvaringge overholdelsen af de databeskyttelsesretlige regler i organisationen
Det indebaeligrer bla ogsaring at overvaringge
organisationens politikker om databeskyttelse
uddannelse af personale i databeskyttelse
oplysningskampagner
fordeling af ansvar
revisioner
Det skal hertil bemaeligrkes at databeskyttelsesraringdgiverens opgave med at overvaringge overholdel-
sen af de databeskyttelsesretlige regler i organisationen ikke medfoslashrer at raringdgiveren overtager
selve ansvaret for at behandlingen af personoplysninger sker i overensstemmelse med reg-
lerne Dette ansvar ligger fortsat hos den dataansvarlige
Raringdgivning i forbindelse med udarbejdelse af organisationens konsekvensanalyser
I visse tilfaeliglde skal organisationer udarbejde en konsekvensanalyse af en planlagt behandling
af personoplysninger
I de tilfaeliglde hvor en organisation har udpeget en databeskyttelsesraringdgiver skal denne raringdfoslash-
res naringr der foretages en konsekvensanalyse
Herudover skal databeskyttelsesraringdgiveren raringdgive med hensyn til konsekvensanalysen naringr
der anmodes herom
Som led i overvaringgningsopgaven kan databeskyttel-
sesraringdgiveren foretage foslashlgende
indsamle oplysninger til at identificere
behandlingsaktiviteter
informere raringdgive og komme med an-
befalinger til den dataansvarlige og da-
tabehandleren
Vejledning om databeskyttelsesraringdgivere
24
I tilfaeliglde af uenighed mellem organisationen og databeskyttelsesraringdgiveren anbefales det at
det specifikt fremgaringr af selve konsekvensanalysen hvorfor databeskyttelsesraringdgiverens indstil-
ling ikke er blevet fulgt
Samarbejde med Datatilsynet paring vegne af organisationen
En organisation er forpligtet til at hoslashre Datatilsynet inden behandling hvis en konsekvensana-
lyse vedroslashrende databeskyttelse viser at behandlingen af personoplysninger vil foslashre til hoslashj ri-
siko i mangel af foranstaltninger truffet af organisation for at begraelignse risikoen
Det foslashlger af forordningen at databeskyttelsesraringdgiveren skal samarbejde med tilsynsmyndig-
heden og fungere som tilsynsmyndighedens kontaktperson Det kan feks vaeligre databeskyttel-
sesraringdgiveren der paring vegne af den dataansvarlige hoslashrer tilsynsmyndigheden
Vaeligre kontaktpunkt for tilsynsmyndigheden (Datatilsynet) angaringende alle sposlashrgsmaringl om behand-
ling af personoplysninger for de personer der behandles oplysninger om
Databeskyttelsesraringdgiveren skal inddrages af den dataansvarlige i tilfaeliglde af at konkrete kla-
gesager indbringes for Datatilsynet Databeskyttelsesraringdgiveren boslashr ligeledes orienteres naringr
Datatilsynet beslutter at gennemfoslashre et eventuelt tilsyn af den dataansvarlige
Herudover skal databeskyttelsesraringdgiveren ogsaring vaeligre i stand til at vejlede den person der be-
handles personoplysninger om Det betyder at databeskyttelsesraringdgiveren skal vaeligre i stand til
at vejlede om hvilke rettigheder den paringgaeligldende har og hvordan de kan udnyttes
Det indebaeligrer endvidere at den dataansvarlige skal give meddelelse om kontaktoplysninger paring
databeskyttelsesraringdgiveren
Det anbefales i oslashvrigt at organisationen i en funktionsbeskrivelse klart definerer hvilke opgaver
der paringhviler databeskyttelsesraringdgiveren En funktionsbeskrivelse vil goslashre det tydeligt hvornaringr
Raringdgivning i forhold til konsekvensanalyser kan bla indebaeligre raringdgiv-
ning vedroslashrende
om der skal gennemfoslashres en konsekvensanalyse
hvilken fremgangsmaringde der skal anvendes ved gennemfoslash-
relse af konsekvensanalysen
om konsekvensanalysen kan gennemfoslashres internt eller om
gennemfoslashrelsen kraeligver antagelse af ekstern bistand
hvilke sikkerhedsforanstaltninger (tekniske og organisatori-
ske) som skal anvendes for at begraelignse risici i forhold til
de registreredes rettigheder og interesser
om konsekvensanalysen er korrekt gennemfoslashrt og om
dens konklusioner er i overensstemmelse med de databe-
skyttelsesretlige regler
Vejledning om databeskyttelsesraringdgivere
25
den paringgaeligldende virker som databeskyttelsesraringdgiver og i denne egenskab ikke kan instrueres
Det vil samtidig blive tydeligt hvornaringr den paringgaeligldende udfoslashrer andre opgaver i sit ordinaeligre an-
saeligttelsesforhold i organisationen
54 Krav til organisationen ndash rettidig og tilstraeligkkelig inddragelse af databeskyt-
telsesraringdgiveren
En organisation skal sikre at databeskyttelsesraringdgiveren inddrages tilstraeligkkeligt og rettidigt i
alle sposlashrgsmaringl vedroslashrende beskyttelse af personoplysninger En saringdan inddragelse boslashr ogsaring
ske paring oslashverste ledelsesmaeligssige niveau (feks ved deltagelse paring direktions- og ledelsesmoslashder)
Det anbefales at organisationen implementerer procedurer som sikrer dette
I hvilke tilfaeliglde skal databeskyttelsesraringdgiveren inddrages
Databeskyttelsesraringdgiveren skal inddrages i alle de overvejelser og vurderinger som organisa-
tionen goslashr sig for at overholde kravene i databeskyttelsesforordningen databeskyttelsesloven
og oslashvrige regler for behandling af personoplysninger
Eksempel paring sposlashrgsmaringl hvor databeskyttelsesraringdgiveren boslashr inddrages
ved overvejelser og beslutninger om hvordan organisationens compliance med
databeskyttelsesreglerne sikres
ved overvejelser i forbindelse med datasikkerhed herunder databeskyttelse gen-
nem design og standardindstillinger og
ved udarbejdelse af konsekvensanalyser
Saringfremt databeskyttelsesraringdgiveren udpeges foslashr den 25 maj 2018 kan denne inddrages i or-
ganisationens implementering af de krav der foslashlger af forordningen
Eksempel paring sposlashrgsmaringl hvor databeskyttelsesraringdgiveren ikke
skal inddrages
Konkrete vurderinger ift registreredes rettigheder
feks anmodning paring indsigt ret til at blive glemt
mv
Deltagelse i mindre praktiske eller almindelige
driftsopgaver eller driftsmaeligssige sposlashrgsmaringl knyt-
tet til opsaeligtning af it-systemer
Udarbejdelse af konkrete databehandleraftaler
Behandling af personoplysninger der finder sted i
overensstemmelse med interne regler som den da-
taansvarlige har fastsat forudsat at disse regler er
fastsat under inddragelse af databeskyttelsesraringdgi-
veren
Vejledning om databeskyttelsesraringdgivere
26
Hvordan skal databeskyttelsesraringdgiveren inddrages
For at sikre at databeskyttelsesraringdgiveren inddrages tilstraeligkkeligt og rettidigt er organisationen
forpligtet til at holde databeskyttelsesraringdgiveren tilstraeligkkeligt og rettidigt orienteret om alle
sposlashrgsmaringl om beskyttelse af personoplysninger
Som tommelfingerregel skal databeskyttelsesraringdgiveren have mulighed for at vurdere overhol-
delsen af de databeskyttelsesretlige regler og komme med bemaeligrkninger eller lignende inden
en behandling af personoplysninger igangsaeligttes
Hvornaringr er inddragelsen rettidig
Databeskyttelsesraringdgiveren skal inddrages i saring god tid som det er muligt forud for ivaeligrksaeligttel-
sen af behandling af personoplysninger
Det er afgoslashrende at databeskyttelsesraringdgiveren inddrages i tide til at kunne foretage en reel
vurdering af om den paringtaelignkte behandling af personoplysninger er i overensstemmelse med de
databeskyttelsesretlige regler og dermed kan komme med kvalificerede bemaeligrkninger herom
med henblik paring at raringdgive organisationen
Eksempler paring rettidig inddragelse
Inddrages forud for beslutning om noslashdvendige
foranstaltninger i IT-systemer for at efterleve kra-
vene om databeskyttelse gennem design og stan-
dardindstillinger
Inddrages forud for udstedelse af retningslinjer og
procedurer for hvordan de databeskyttelsesret-
lige regler skal overholdes i organisationen
Inddragelse foslashr offentliggoslashrelse af udbudsmateri-
ale i en udbudsproces eller lignende
Eksempler paring ikke-rettidig inddragelse
Inddragelse af databeskyttelsesraringdgiveren efter
et nyt IT-system er faeligrdigudviklet
Inddragelse af databeskyttelsesraringdgiveren efter
indkoslashb af IT-systemer (dermed ikke en del af
overvejelserne vedr kravspecifikation og databe-
skyttelse gennem design og standardindstillin-
ger)
Inddragelse af databeskyttelsesraringdgiveren efter
at en konsekvensanalyse er udarbejdet
Inddragelse af databeskyttelsesraringdgiveren efter
stoslashrre aeligndringer i organisationens procedurer
der vedroslashrer databeskyttelse saringsom haringndtering
af anmodninger fra registrerede personer
Vejledning om databeskyttelsesraringdgivere
27
Behandlingsaktiviteter igangsat foslashr en databeskyttelsesraringdgiver udpeges
Naringr en organisation udpeger en databeskyttelsesraringdgiver vil der selvsagt vaeligre behandlinger af
personoplysninger der allerede er igangsat i organisationen
Databeskyttelsesraringdgiveren boslashr ved udpegelsen primaeligrt have fokus paring de fremadrettede com-
pliance aktiviteter Derudover kan databeskyttelsesraringdgiveren ndash ud fra en risikovurdering i for-
hold til de behandlinger som konkret indebaeligrer hoslashjere risiko ndash inddrages i organisationens
overvejelser om hvorvidt de igangvaeligrende aktiviteter overholder de databeskyttelsesretlige
regler
Hvornaringr er inddragelsen tilstraeligkkelig
Der skal ske en reel inddragelse af databeskyttelsesraringdgiveren i organisationens overvejelser
og beslutninger vedroslashrende databeskyttelse
Det indebaeligrer at organisationen skal inddrage og tage hoslashjde for databeskyttelsesraringdgiverens
bemaeligrkninger og raringdgivning i oslashvrigt samt dennes rapportering til oslashverste ledelsesniveau om
overholdelse af de databeskyttelsesretlige regler
Saringfremt databeskyttelsesraringdgiverens raringdgivning ikke foslashlges anbefales det at organisationen
dokumenterer dette i overensstemmelse med kravet om accountability
Ressourcer og adgang
Ressourcer
For at databeskyttelsesraringdgiveren rent faktisk kan udfoslashre sine opgaver er det noslashdvendigt at
organisationens tilvejebringer de noslashdvendige ressourcer til stoslashtte for databeskyttelsesraringdgive-
ren
Det er endvidere et krav at organisationen tilvejebringer de fornoslashdne ressourcer for at databe-
skyttelsesraringdgiveren kan opretholde sin ekspertise inden for omraringdet
Fastsaeligttelsen af de fornoslashdne ressourcer beror paring en konkret vurdering som afhaelignger af de
organisatoriske forhold i organisationen saringsom stoslashrrelsen antallet af behandlingsaktiviteter
kompleksiteten af behandlingen af personoplysninger samt de forbundne risici
Jo stoslashrre en organisation er des stoslashrre er behovet for ressourcer til stoslashtte for databeskyttelses-
raringdgiveren
Selve behovet for ressourcer beror paring en konkret vurde-
ring som organisationen er ansvarlig for at foretage
Som eksempler paring fornoslashdne ressourcer kan naeligvnes
Faciliteter og arbejdsredskaber
Oslashkonomiske ressourcer
Personaleressourcer og lignende
Vejledning om databeskyttelsesraringdgivere
28
Adgang
Databeskyttelsesraringdgiveren skal ogsaring have adgang til organisationens personoplysninger og
den behandling af disse som organisationen foretager
Der skal vaeligre tale om en vid adgang som kan tilvejebringes efter behov
Uafhaeligngighed
Det er et grundlaeligggende krav at en databeskyttelsesraringdgiver ikke maring blive instrueret af andre
om hvordan raringdgiveren skal udfoslashre sine opgaver Der gaeliglder saringledes foslashlgende for databeskyt-
telsesraringdgiveren
Maring ikke som led i sin funktion som databeskyttelsesraringdgiver modtage instruks om
hvordan denne skal udfoslashre sine opgaver (eller feks om en bestemt vurdering el-
ler fortolkning af forordningen)
Maring ikke afskediges eller sanktioneres for at udfoslashre sine opgaver
Rapporterer direkte til oslashverste ledelsesniveau
Databeskyttelsesraringdgiverens interne reaktionsmuligheder er i praksis taeligt forbundne med at
ovenstaringende krav til uafhaeligngighed efterleves Idet en databeskyttelsesraringdgiver ikke har instruk-
tionsbefoslashjelser over for andre dele af den dataansvarliges organisation er det i praksis mulighe-
den for at kunne rapportere direkte til oslashverste ledelsesniveau der er raringdgiverens interne virke-
middel overfor konstaterede brud paring forordningen
Hvor det oslashverste ledelsesniveau er afhaelignger af organiseringen hos den konkrete dataansvarlige
eller databehandleren
I forhold til det private erhvervsliv fremgaringr det af selskabsloven at det er bestyrelsen der er det
centrale eller oslashverste ledelsesorgan i selskaber der baringde har en bestyrelse og en direktion Naringr
der i databeskyttelsesforordningen henvises til det oslashverste ledelsesniveau maring det i det private
forstarings i relation til den daglige drift og dermed direktionen saringfremt selskabet har baringde en besty-
relse og en direktion Det vil i praksis betyde at direktionen skal orientere bestyrelsen om vaelig-
sentlige forhold som paringpeges af databeskyttelsesraringdgiveren
For statslige myndigheder maring den oslashverste ledelse forstarings som den oslashverste administrative le-
delse
For saring vidt angaringr kommuner og regioner gaeliglder at databeskyttelsesraringdgiveren rapporterer di-
rekte til kommunalbestyrelsen henholdsvis regionsraringdet Denne rapportering forelaeliggges for kom-
munalbestyrelsen henholdsvis regionsraringdet uden den forudgaringende udvalgsbehandling som de
kommunale og regionale sager ellers normalt skal undergives Dette udelukker dog ikke at en
kommune kan indhente en erklaeligring fra oslashkonomiudvalget forinden forelaeligggelse for kommunal-
bestyrelsen
55 Beskyttelse af databeskyttelsesraringdgiveren
Funktionen som databeskyttelsesraringdgiver er beskyttet ved et forbud mod at kunne blive afskedi-
get for udfoslashrelse af opgaverne som databeskyttelsesraringdgiver
Vejledning om databeskyttelsesraringdgivere
29
Usaglig afskedigelse af en databeskyttelsesraringdgiver er sanktioneret med en boslashde
Databeskyttelsesraringdgiveren vil kunne afskediges paring et sagligt grundlag efter almindelige ansaeligt-
telsesretlige regler
56 Opsummering
En databeskyttelsesraringdgiver udpeges paring baggrund af sine faglige kvalifikationer
Databeskyttelsesraringdgiveren kan baringde vaeligre en intern medarbejder en faeliglles da-
tabeskyttelsesraringdgiver for hele eller flere organisationer eller en ekstern databe-
skyttelsesraringdgiver
Databeskyttelsesraringdgiveren har en raeligkke opgaver denne som minimum skal va-
retage Derudover anbefales det at man klart definerer hvilke opgaver der paringhvi-
ler databeskyttelsesraringdgiveren
En organisation skal rettidig og tilstraeligkkelig inddrage databeskyttelsesraringdgiveren
i alle sposlashrgsmaringl vedroslashrende beskyttelse af personoplysninger
Databeskyttelsesraringdgiveren nyder en saeligrlig beskyttelse mod usaglig afskedi-
gelse og kan ikke afskediges eller sanktioneres for at udfoslashre sine opgaver som
Databeskyttelsesraringdgiver
Dato
20 december 2017
Justitsministeriet
Slotsholmsgade 10
1216 Koslashbenhavn K
Telefon
72 26 84 00
jmjmdk
Eksempler paring tilfaeliglde hvor en databeskyttelsesraringd-
giver kan afskediges
Ikke udfoslashrer sine arbejdsopgaver
Misligholder ansaeligttelsesforholdet
Samarbejdsvanskeligheder
Vejledning om databeskyttelsesraringdgivere
30
ISBN
978-88-98564-35-7
Foto
Scanpix
Vejledning om databeskyttelsesraringdgivere
18
samlet set vurderes at kunne varetage opgaverne som databeskyttelsesraringdgiver Der skal saringle-
des foretages en konkret vurdering i det enkelte tilfaeliglde idet det afgoslashrende er om man som
databeskyttelsesraringdgiver kan efterleve sin funktion retmaeligssigt naringr funktionen udoslashves for flere
kommuner paring samme tid
Herudover vil to eller flere kommuner kunne oprette et kommunalt faeligllesskab til hvilket de garingr
sammen om at loslashse opgaven som databeskyttelsesraringdgiver i de deltagende kommuner
Eksempel - Regioner
En region vil typisk ogsaring vaeligre dataansvarlig for alle de behandlinger af personoplysninger der
foretages inden for regionen herunder drift af hospitaler forskning og sociale tilbud mv Hver
region vil som udgangspunkt kunne udpege eacuten databeskyttelsesraringdgiver
Eksempel - Ministerier og underordnede myndigheder
Departementer og underordnede myndigheder kan have en faeliglles databeskyttelsesraringdgiver
Dog kan der vaeligre hindringer som feks myndighedens stoslashrrelse der bevirker at man ikke kan
dele en databeskyttelsesraringdgiver Som eksempel herparing kan naeligvnes Justitsministeriet og politiet
der ikke kan have en faeliglles raringdgiver
Det skyldes at politiet anses for at vaeligre saring stor en enhed at en faeliglles databeskyttelsesraringdgiver
ikke vil kunne efterleve kravene til en databeskyttelsesraringdgiver (om bla tilgaeligngelighed) hvis
denne baringde skulle udfoslashre sin opgave for politiet som helhed og med andre myndigheder under
Justitsministeriets ressort
Dog vil politiet ndash i en ordning svarende til den ovenfor beskrevne paring retsharingndhaeligvelsesomraringdet ndash
kunne have en faeliglles databeskyttelsesraringdgiver under forordningen der udfoslashrer sin funktion for
alle politikredse
Det bemaeligrkes endvidere at forordningens krav om uafhaeligngighed skal vaeligre opfyldt for alle de
myndigheder der deler en databeskyttelsesraringdgiver
I den forbindelse ndash samt i relation til en underordnet myndigheds eventuelt saeligrlige uafhaeligngighed
ift den overordnede myndighed ndash kan der vaeligre visse situationer hvor det kan vaeligre betaelignkeligt
at lade en underordnet myndighed dele databeskyttelsesraringdgiver med et departement
Som eksempel herparing kan naeligvnes Datatilsynet og Justitsministeriets departement Dette er bla
henset til Datatilsynets funktionelle uafhaeligngighed i forhold til Justitsministeriet samt tilsynets spe-
cielle kompetence og rolle i forhold til databeskyttelsesforordningen Som et andet eksempel kan
naeligvnes Ankestyrelsens relation til (paring nuvaeligrende tidspunkt) Oslashkonomi- og Indenrigsministeriets
departement Her kan bla peges paring maeligngden og karakteren af data som behandles i Ankesty-
relsen samt styrelsens faglige uafhaeligngighed af departementet
Organisatoriske aeligndringer kan ogsaring bevirke at det i visse situationer ndash af praktiske aringrsager ndash
kan vaeligre mere oplagt for en underordnet myndighed at have sin egen databeskyttelsesraringdgiver
fremfor at dele med sit departement Hvis en underordnet myndighed saringledes har sin egen data-
beskyttelsesraringdgiver kan denne blot fortsaeligtte under samme kontrakt vilkaringr mv uanset at en
Vejledning om databeskyttelsesraringdgivere
19
myndighed efter eksempelvis et regeringsskifte organisatorisk placeres under et andet ministe-
rium
Eksempel - Selvejende institutioner
I det omfang selvejende institutioner kan anses for en offentlig myndighed eller et organ vil disse
myndigheder ogsaring have mulighed for at udpege en faeliglles databeskyttelsesraringdgiver med en an-
den selvejende institution omfattet af samme lovgivning eller feks den kommune som institutio-
nen har driftsoverenskomst med i det omfang kommunen yder sekretariatsbistand til institutio-
nen
44 Opsummering
Alle offentlige myndigheder og organer skal udpege en databeskyttelsesraringdgiver
fra den 25 maj 2018
Det er i hoslashj grad muligt at udpege en faeliglles databeskyttelsesraringdgiver der funge-
rer paring vegne af flere myndigheder paring eacuten gang
Muligheden for at have en faeliglles databeskyttelsesraringdgiver begraelignses af at
denne skal kunne leve op til sine forpligtelser efter databeskyttelsesforordningen
Databeskyttelsesraringdgiveren kan understoslashttes af en enhed for at kunne udfoslashre sit
hverv i overensstemmelse med forordningens krav Dette gaeliglder uanset om da-
tabeskyttelsesraringdgiveren fungerer for eacuten myndighed eller for flere myndigheder
og organer
Vejledning om databeskyttelsesraringdgivere
20
5 Databeskyttelsesraringdgiveren
51 Krav til faglige kvalifikationer
En databeskyttelsesraringdgiver skal udpeges paring baggrund af sine faglige kvalifikationer Dette
gaeliglder navnlig evnen til at udfoslashre sine opgaver som databeskyttelsesraringdgiver og ekspertise in-
den for databeskyttelsesret- og praksis
Der er ikke krav om at en databeskyttelsesraringdgiver skal have en bestemt uddannelsesmaeligssig
baggrund feks som jurist
Dermed er det op til den enkelte organisation at vurdere hvem der er bedst egnet til at varetage
stillingen som databeskyttelsesraringdgiver
Kravene til stillingen afhaelignger til en vis grad af kompleksiteten af den behandling af personop-
lysninger som den paringgaeligldende organisation foretager Dermed kan der for nogen organisatio-
ner vaeligre behov for at ansaeligtte en databeskyttelsesraringdgiver med stor erfaring inden for feltet og
i andre tilfaeliglde kan en eksisterende medarbejder paring baggrund af diverse kurser varetage funkti-
onen
Hvis der udpeges en databeskyttelsesraringdgiver fra egen organisation kan det med fordel vaeligre
en person som i forvejen har et vist kendskab til eller indsigt i haringndtering af databeskyttelses-
retlige sposlashrgsmaringl i organisationen
52 Hvem kan vaeligre databeskyttelsesraringdgiver
Som udgangspunkt kan alle som organisationen finder kvalificeret til at vaeligre databeskyttelses-
raringdgiver varetage funktionen
Foslashlgende kan derfor vaeligre databeskyttelsesraringdgivere
En intern medarbejder
En faeliglles databeskyttelsesraringdgiver for hele eller flere organisationer
En ekstern databeskyttelsesraringdgiver
Intern medarbejder
En organisation kan vaeliglge at udpege en eksisterende medarbejder som databeskyttelsesraringdgi-
ver
Det er ikke et krav at den medarbejder der varetager funktionen som databeskyttelsesraringdgiver
udoslashver sin funktion paring fuld tid
Vejledning om databeskyttelsesraringdgivere
21
Dermed kan en intern medarbejder der varetager funktionen som databeskyttelsesraringdgiver ud-
foslashre andre opgaver og have andre pligter i organisationen
Saringledes kan en medarbejder der feks arbejder i IT-sektionen i en organisation godt varetage
funktionen som databeskyttelsesraringdgiver paring deltid eller 10 timer om ugen alt efter behovet i
den enkelte organisation
Det afgoslashrende er at den paringgaeligldende medarbejder fyldestgoslashrende kan udoslashve sit erhverv som
databeskyttelsesraringdgiver i organisationen
Den person der udpeges kan med fordel vaeligre en person som i forvejen har et vist kendskab
til eller indsigt i haringndtering af databeskyttelsesretlige sposlashrgsmaringl i organisationen
Selve vurderingen af hvor meget tid en medarbejder skal bruge paring fyldestgoslashrende at kunne ef-
terleve kravene til en databeskyttelsesraringdgiver i organisationen afhaelignger af en konkret vurde-
ring af behovet hos organisationen
Interne ansatte der ikke kan vaeligre databeskyttelsesraringdgiver
En databeskyttelsesraringdgiver skal baringde vaeligre uafhaeligngig og vaeligre i stand til at udoslashve uvildig raringd-
givning til organisationen
Derfor kan en databeskyttelsesraringdgiver ikke vaeligre den oslashverste IT-ansvarlige eller oslashverste HR-
ansvarlige i en organisation
Eksempel ndash virksomhed med faring ansatte
Virksomheder med faring ansatte herunder feks enkeltmandsvirksomheder vil have svaeligrt ved at
opfylde betingelsen om at en databeskyttelsesraringdgiver ikke kan vaeligre oslashverste IT-ansvarlige eller
oslashverste HR-ansvarlige i en organisation (forudsat at virksomheden i oslashvrigt opfylder betingelserne
for hvornaringr private skal udpege en databeskyttelsesraringdgiver jf naeligrmere om privates forpligtelse
under punkt 3) I en saringdan situation kan virksomheden enten benytte sig af muligheden for at
udpege en faeliglles databeskyttelsesraringdgiver eller anvende en konsulent til opgaven
Databeskyttelsesraringdgiverenhed
Der kan ogsaring udpeges eacuten databeskyttelsesraringdgiver for den paringgaeligldende organisation som un-
derstoslashttes af en enhed saring den paringgaeligldende kan leve op til sine forpligtelser efter forordningen jf
den ovenfor beskrevne ordning for politiet
Faeliglles databeskyttelsesraringdgiver
Saringvel private som offentlige myndigheder kan udpege en faeliglles databeskyttelsesraringdgiver af-
haeligngig af deres struktur og stoslashrrelse
Medarbejdere som ikke har det oslashverste ansvar kan vaeligre databe-
skyttelsesraringdgivere Det betyder at ledende IT-medarbejdere
compliance-officerer eller en it-sikkerheds koordinator mv kan
udoslashve funktionen som databeskyttelsesraringdgiver i organisationen
Vejledning om databeskyttelsesraringdgivere
22
Ekstern medarbejder
Man kan ogsaring vaeliglge at udpege en ekstern databeskyttelsesraringdgiver Dette kan enten vaeligre en
raringdgiver (konsulentvirksomhed) saringsom en bestemt advokat eller revisor eller andre kvalifice-
rede eksterne parter Udoslashvelsen af hvervet som databeskyttelsesraringdgiver vil dog i sagens natur
alene kunne udoslashves i det omfang dette er foreneligt med eventuelle regler ndash herunder etiske
krav ndash for den relevante type af raringdgivervirksomhed mv
53 Databeskyttelsesraringdgiverens opgaver
Databeskyttelsesraringdgiveren funktion bestaringr i at raringdgive den dataansvarlige og hjaeliglpe med at
organisationen efterlever de databeskyttelsesretlige regler
En databeskyttelsesraringdgiver skal desuden prioritere sine opgaver og fokusere paring de behandlin-
ger af personoplysninger i den paringgaeligldende organisation som konkret indebaeligrer en hoslashjere ri-
siko for brud paring de databeskyttelsesretlige regler Dog skal oslashvrige databeskyttelsesretlige omraring-
der som indebaeligrer en lavere grad af risiko ikke undlades
Der er en raeligkke opgaver som databeskyttelsesraringdgiveren som minimum skal varetage Der er
dog ikke noget til hinder for at der overlades flere opgaver til databeskyttelsesraringdgiveren Da-
tabeskyttelsesraringdgiverens rolle som central raringdgivningsfigur i organisationen samt dennes op-
gaver kan med fordel beskrives naeligrmere i en (ansaeligttelses)aftale
Nedenfor foslashlger en naeligrmere beskrivelse af de opgaver som databeskyttelsesraringdgiveren som
minimum skal varetage i en organisation
Underrette og raringdgive organisationen og de ansatte om databeskyttelse
Det indebaeligrer
Konkret raringdgivning om beskyttelse af personoplysninger i organisationen samt
overvejelser og beslutninger om hvordan compliance sikres mv feks i forbin-
delse med foslashlgende
Organisationens indkoslashb af nyt IT-system
kravsspecifikationer til leverandoslashrer
udarbejdelse af organisationens data-politikker
ivaeligrksaeligttelse af behandling af personoplysninger
overvejelser om hvorvidt en given behandling af personoplysninger over-
holder de generelle behandlingsregler
Staring til raringdighed for ansatte samt ledelsen i organisationen vedroslashrende sposlashrgsmaringl
om databeskyttelse
Vejledning om databeskyttelsesraringdgivere
23
Raringdgivning i forbindelse med udarbejdelse af organisationens konsekvensanaly-
ser jf afsnit 3 nedenfor
Modtage underretning om og raringdgive organisationen i forbindelse med brud paring
persondatasikkerheden
Overvaringge overholdelsen af de databeskyttelsesretlige regler i organisationen
Det indebaeligrer bla ogsaring at overvaringge
organisationens politikker om databeskyttelse
uddannelse af personale i databeskyttelse
oplysningskampagner
fordeling af ansvar
revisioner
Det skal hertil bemaeligrkes at databeskyttelsesraringdgiverens opgave med at overvaringge overholdel-
sen af de databeskyttelsesretlige regler i organisationen ikke medfoslashrer at raringdgiveren overtager
selve ansvaret for at behandlingen af personoplysninger sker i overensstemmelse med reg-
lerne Dette ansvar ligger fortsat hos den dataansvarlige
Raringdgivning i forbindelse med udarbejdelse af organisationens konsekvensanalyser
I visse tilfaeliglde skal organisationer udarbejde en konsekvensanalyse af en planlagt behandling
af personoplysninger
I de tilfaeliglde hvor en organisation har udpeget en databeskyttelsesraringdgiver skal denne raringdfoslash-
res naringr der foretages en konsekvensanalyse
Herudover skal databeskyttelsesraringdgiveren raringdgive med hensyn til konsekvensanalysen naringr
der anmodes herom
Som led i overvaringgningsopgaven kan databeskyttel-
sesraringdgiveren foretage foslashlgende
indsamle oplysninger til at identificere
behandlingsaktiviteter
informere raringdgive og komme med an-
befalinger til den dataansvarlige og da-
tabehandleren
Vejledning om databeskyttelsesraringdgivere
24
I tilfaeliglde af uenighed mellem organisationen og databeskyttelsesraringdgiveren anbefales det at
det specifikt fremgaringr af selve konsekvensanalysen hvorfor databeskyttelsesraringdgiverens indstil-
ling ikke er blevet fulgt
Samarbejde med Datatilsynet paring vegne af organisationen
En organisation er forpligtet til at hoslashre Datatilsynet inden behandling hvis en konsekvensana-
lyse vedroslashrende databeskyttelse viser at behandlingen af personoplysninger vil foslashre til hoslashj ri-
siko i mangel af foranstaltninger truffet af organisation for at begraelignse risikoen
Det foslashlger af forordningen at databeskyttelsesraringdgiveren skal samarbejde med tilsynsmyndig-
heden og fungere som tilsynsmyndighedens kontaktperson Det kan feks vaeligre databeskyttel-
sesraringdgiveren der paring vegne af den dataansvarlige hoslashrer tilsynsmyndigheden
Vaeligre kontaktpunkt for tilsynsmyndigheden (Datatilsynet) angaringende alle sposlashrgsmaringl om behand-
ling af personoplysninger for de personer der behandles oplysninger om
Databeskyttelsesraringdgiveren skal inddrages af den dataansvarlige i tilfaeliglde af at konkrete kla-
gesager indbringes for Datatilsynet Databeskyttelsesraringdgiveren boslashr ligeledes orienteres naringr
Datatilsynet beslutter at gennemfoslashre et eventuelt tilsyn af den dataansvarlige
Herudover skal databeskyttelsesraringdgiveren ogsaring vaeligre i stand til at vejlede den person der be-
handles personoplysninger om Det betyder at databeskyttelsesraringdgiveren skal vaeligre i stand til
at vejlede om hvilke rettigheder den paringgaeligldende har og hvordan de kan udnyttes
Det indebaeligrer endvidere at den dataansvarlige skal give meddelelse om kontaktoplysninger paring
databeskyttelsesraringdgiveren
Det anbefales i oslashvrigt at organisationen i en funktionsbeskrivelse klart definerer hvilke opgaver
der paringhviler databeskyttelsesraringdgiveren En funktionsbeskrivelse vil goslashre det tydeligt hvornaringr
Raringdgivning i forhold til konsekvensanalyser kan bla indebaeligre raringdgiv-
ning vedroslashrende
om der skal gennemfoslashres en konsekvensanalyse
hvilken fremgangsmaringde der skal anvendes ved gennemfoslash-
relse af konsekvensanalysen
om konsekvensanalysen kan gennemfoslashres internt eller om
gennemfoslashrelsen kraeligver antagelse af ekstern bistand
hvilke sikkerhedsforanstaltninger (tekniske og organisatori-
ske) som skal anvendes for at begraelignse risici i forhold til
de registreredes rettigheder og interesser
om konsekvensanalysen er korrekt gennemfoslashrt og om
dens konklusioner er i overensstemmelse med de databe-
skyttelsesretlige regler
Vejledning om databeskyttelsesraringdgivere
25
den paringgaeligldende virker som databeskyttelsesraringdgiver og i denne egenskab ikke kan instrueres
Det vil samtidig blive tydeligt hvornaringr den paringgaeligldende udfoslashrer andre opgaver i sit ordinaeligre an-
saeligttelsesforhold i organisationen
54 Krav til organisationen ndash rettidig og tilstraeligkkelig inddragelse af databeskyt-
telsesraringdgiveren
En organisation skal sikre at databeskyttelsesraringdgiveren inddrages tilstraeligkkeligt og rettidigt i
alle sposlashrgsmaringl vedroslashrende beskyttelse af personoplysninger En saringdan inddragelse boslashr ogsaring
ske paring oslashverste ledelsesmaeligssige niveau (feks ved deltagelse paring direktions- og ledelsesmoslashder)
Det anbefales at organisationen implementerer procedurer som sikrer dette
I hvilke tilfaeliglde skal databeskyttelsesraringdgiveren inddrages
Databeskyttelsesraringdgiveren skal inddrages i alle de overvejelser og vurderinger som organisa-
tionen goslashr sig for at overholde kravene i databeskyttelsesforordningen databeskyttelsesloven
og oslashvrige regler for behandling af personoplysninger
Eksempel paring sposlashrgsmaringl hvor databeskyttelsesraringdgiveren boslashr inddrages
ved overvejelser og beslutninger om hvordan organisationens compliance med
databeskyttelsesreglerne sikres
ved overvejelser i forbindelse med datasikkerhed herunder databeskyttelse gen-
nem design og standardindstillinger og
ved udarbejdelse af konsekvensanalyser
Saringfremt databeskyttelsesraringdgiveren udpeges foslashr den 25 maj 2018 kan denne inddrages i or-
ganisationens implementering af de krav der foslashlger af forordningen
Eksempel paring sposlashrgsmaringl hvor databeskyttelsesraringdgiveren ikke
skal inddrages
Konkrete vurderinger ift registreredes rettigheder
feks anmodning paring indsigt ret til at blive glemt
mv
Deltagelse i mindre praktiske eller almindelige
driftsopgaver eller driftsmaeligssige sposlashrgsmaringl knyt-
tet til opsaeligtning af it-systemer
Udarbejdelse af konkrete databehandleraftaler
Behandling af personoplysninger der finder sted i
overensstemmelse med interne regler som den da-
taansvarlige har fastsat forudsat at disse regler er
fastsat under inddragelse af databeskyttelsesraringdgi-
veren
Vejledning om databeskyttelsesraringdgivere
26
Hvordan skal databeskyttelsesraringdgiveren inddrages
For at sikre at databeskyttelsesraringdgiveren inddrages tilstraeligkkeligt og rettidigt er organisationen
forpligtet til at holde databeskyttelsesraringdgiveren tilstraeligkkeligt og rettidigt orienteret om alle
sposlashrgsmaringl om beskyttelse af personoplysninger
Som tommelfingerregel skal databeskyttelsesraringdgiveren have mulighed for at vurdere overhol-
delsen af de databeskyttelsesretlige regler og komme med bemaeligrkninger eller lignende inden
en behandling af personoplysninger igangsaeligttes
Hvornaringr er inddragelsen rettidig
Databeskyttelsesraringdgiveren skal inddrages i saring god tid som det er muligt forud for ivaeligrksaeligttel-
sen af behandling af personoplysninger
Det er afgoslashrende at databeskyttelsesraringdgiveren inddrages i tide til at kunne foretage en reel
vurdering af om den paringtaelignkte behandling af personoplysninger er i overensstemmelse med de
databeskyttelsesretlige regler og dermed kan komme med kvalificerede bemaeligrkninger herom
med henblik paring at raringdgive organisationen
Eksempler paring rettidig inddragelse
Inddrages forud for beslutning om noslashdvendige
foranstaltninger i IT-systemer for at efterleve kra-
vene om databeskyttelse gennem design og stan-
dardindstillinger
Inddrages forud for udstedelse af retningslinjer og
procedurer for hvordan de databeskyttelsesret-
lige regler skal overholdes i organisationen
Inddragelse foslashr offentliggoslashrelse af udbudsmateri-
ale i en udbudsproces eller lignende
Eksempler paring ikke-rettidig inddragelse
Inddragelse af databeskyttelsesraringdgiveren efter
et nyt IT-system er faeligrdigudviklet
Inddragelse af databeskyttelsesraringdgiveren efter
indkoslashb af IT-systemer (dermed ikke en del af
overvejelserne vedr kravspecifikation og databe-
skyttelse gennem design og standardindstillin-
ger)
Inddragelse af databeskyttelsesraringdgiveren efter
at en konsekvensanalyse er udarbejdet
Inddragelse af databeskyttelsesraringdgiveren efter
stoslashrre aeligndringer i organisationens procedurer
der vedroslashrer databeskyttelse saringsom haringndtering
af anmodninger fra registrerede personer
Vejledning om databeskyttelsesraringdgivere
27
Behandlingsaktiviteter igangsat foslashr en databeskyttelsesraringdgiver udpeges
Naringr en organisation udpeger en databeskyttelsesraringdgiver vil der selvsagt vaeligre behandlinger af
personoplysninger der allerede er igangsat i organisationen
Databeskyttelsesraringdgiveren boslashr ved udpegelsen primaeligrt have fokus paring de fremadrettede com-
pliance aktiviteter Derudover kan databeskyttelsesraringdgiveren ndash ud fra en risikovurdering i for-
hold til de behandlinger som konkret indebaeligrer hoslashjere risiko ndash inddrages i organisationens
overvejelser om hvorvidt de igangvaeligrende aktiviteter overholder de databeskyttelsesretlige
regler
Hvornaringr er inddragelsen tilstraeligkkelig
Der skal ske en reel inddragelse af databeskyttelsesraringdgiveren i organisationens overvejelser
og beslutninger vedroslashrende databeskyttelse
Det indebaeligrer at organisationen skal inddrage og tage hoslashjde for databeskyttelsesraringdgiverens
bemaeligrkninger og raringdgivning i oslashvrigt samt dennes rapportering til oslashverste ledelsesniveau om
overholdelse af de databeskyttelsesretlige regler
Saringfremt databeskyttelsesraringdgiverens raringdgivning ikke foslashlges anbefales det at organisationen
dokumenterer dette i overensstemmelse med kravet om accountability
Ressourcer og adgang
Ressourcer
For at databeskyttelsesraringdgiveren rent faktisk kan udfoslashre sine opgaver er det noslashdvendigt at
organisationens tilvejebringer de noslashdvendige ressourcer til stoslashtte for databeskyttelsesraringdgive-
ren
Det er endvidere et krav at organisationen tilvejebringer de fornoslashdne ressourcer for at databe-
skyttelsesraringdgiveren kan opretholde sin ekspertise inden for omraringdet
Fastsaeligttelsen af de fornoslashdne ressourcer beror paring en konkret vurdering som afhaelignger af de
organisatoriske forhold i organisationen saringsom stoslashrrelsen antallet af behandlingsaktiviteter
kompleksiteten af behandlingen af personoplysninger samt de forbundne risici
Jo stoslashrre en organisation er des stoslashrre er behovet for ressourcer til stoslashtte for databeskyttelses-
raringdgiveren
Selve behovet for ressourcer beror paring en konkret vurde-
ring som organisationen er ansvarlig for at foretage
Som eksempler paring fornoslashdne ressourcer kan naeligvnes
Faciliteter og arbejdsredskaber
Oslashkonomiske ressourcer
Personaleressourcer og lignende
Vejledning om databeskyttelsesraringdgivere
28
Adgang
Databeskyttelsesraringdgiveren skal ogsaring have adgang til organisationens personoplysninger og
den behandling af disse som organisationen foretager
Der skal vaeligre tale om en vid adgang som kan tilvejebringes efter behov
Uafhaeligngighed
Det er et grundlaeligggende krav at en databeskyttelsesraringdgiver ikke maring blive instrueret af andre
om hvordan raringdgiveren skal udfoslashre sine opgaver Der gaeliglder saringledes foslashlgende for databeskyt-
telsesraringdgiveren
Maring ikke som led i sin funktion som databeskyttelsesraringdgiver modtage instruks om
hvordan denne skal udfoslashre sine opgaver (eller feks om en bestemt vurdering el-
ler fortolkning af forordningen)
Maring ikke afskediges eller sanktioneres for at udfoslashre sine opgaver
Rapporterer direkte til oslashverste ledelsesniveau
Databeskyttelsesraringdgiverens interne reaktionsmuligheder er i praksis taeligt forbundne med at
ovenstaringende krav til uafhaeligngighed efterleves Idet en databeskyttelsesraringdgiver ikke har instruk-
tionsbefoslashjelser over for andre dele af den dataansvarliges organisation er det i praksis mulighe-
den for at kunne rapportere direkte til oslashverste ledelsesniveau der er raringdgiverens interne virke-
middel overfor konstaterede brud paring forordningen
Hvor det oslashverste ledelsesniveau er afhaelignger af organiseringen hos den konkrete dataansvarlige
eller databehandleren
I forhold til det private erhvervsliv fremgaringr det af selskabsloven at det er bestyrelsen der er det
centrale eller oslashverste ledelsesorgan i selskaber der baringde har en bestyrelse og en direktion Naringr
der i databeskyttelsesforordningen henvises til det oslashverste ledelsesniveau maring det i det private
forstarings i relation til den daglige drift og dermed direktionen saringfremt selskabet har baringde en besty-
relse og en direktion Det vil i praksis betyde at direktionen skal orientere bestyrelsen om vaelig-
sentlige forhold som paringpeges af databeskyttelsesraringdgiveren
For statslige myndigheder maring den oslashverste ledelse forstarings som den oslashverste administrative le-
delse
For saring vidt angaringr kommuner og regioner gaeliglder at databeskyttelsesraringdgiveren rapporterer di-
rekte til kommunalbestyrelsen henholdsvis regionsraringdet Denne rapportering forelaeliggges for kom-
munalbestyrelsen henholdsvis regionsraringdet uden den forudgaringende udvalgsbehandling som de
kommunale og regionale sager ellers normalt skal undergives Dette udelukker dog ikke at en
kommune kan indhente en erklaeligring fra oslashkonomiudvalget forinden forelaeligggelse for kommunal-
bestyrelsen
55 Beskyttelse af databeskyttelsesraringdgiveren
Funktionen som databeskyttelsesraringdgiver er beskyttet ved et forbud mod at kunne blive afskedi-
get for udfoslashrelse af opgaverne som databeskyttelsesraringdgiver
Vejledning om databeskyttelsesraringdgivere
29
Usaglig afskedigelse af en databeskyttelsesraringdgiver er sanktioneret med en boslashde
Databeskyttelsesraringdgiveren vil kunne afskediges paring et sagligt grundlag efter almindelige ansaeligt-
telsesretlige regler
56 Opsummering
En databeskyttelsesraringdgiver udpeges paring baggrund af sine faglige kvalifikationer
Databeskyttelsesraringdgiveren kan baringde vaeligre en intern medarbejder en faeliglles da-
tabeskyttelsesraringdgiver for hele eller flere organisationer eller en ekstern databe-
skyttelsesraringdgiver
Databeskyttelsesraringdgiveren har en raeligkke opgaver denne som minimum skal va-
retage Derudover anbefales det at man klart definerer hvilke opgaver der paringhvi-
ler databeskyttelsesraringdgiveren
En organisation skal rettidig og tilstraeligkkelig inddrage databeskyttelsesraringdgiveren
i alle sposlashrgsmaringl vedroslashrende beskyttelse af personoplysninger
Databeskyttelsesraringdgiveren nyder en saeligrlig beskyttelse mod usaglig afskedi-
gelse og kan ikke afskediges eller sanktioneres for at udfoslashre sine opgaver som
Databeskyttelsesraringdgiver
Dato
20 december 2017
Justitsministeriet
Slotsholmsgade 10
1216 Koslashbenhavn K
Telefon
72 26 84 00
jmjmdk
Eksempler paring tilfaeliglde hvor en databeskyttelsesraringd-
giver kan afskediges
Ikke udfoslashrer sine arbejdsopgaver
Misligholder ansaeligttelsesforholdet
Samarbejdsvanskeligheder
Vejledning om databeskyttelsesraringdgivere
30
ISBN
978-88-98564-35-7
Foto
Scanpix
Vejledning om databeskyttelsesraringdgivere
19
myndighed efter eksempelvis et regeringsskifte organisatorisk placeres under et andet ministe-
rium
Eksempel - Selvejende institutioner
I det omfang selvejende institutioner kan anses for en offentlig myndighed eller et organ vil disse
myndigheder ogsaring have mulighed for at udpege en faeliglles databeskyttelsesraringdgiver med en an-
den selvejende institution omfattet af samme lovgivning eller feks den kommune som institutio-
nen har driftsoverenskomst med i det omfang kommunen yder sekretariatsbistand til institutio-
nen
44 Opsummering
Alle offentlige myndigheder og organer skal udpege en databeskyttelsesraringdgiver
fra den 25 maj 2018
Det er i hoslashj grad muligt at udpege en faeliglles databeskyttelsesraringdgiver der funge-
rer paring vegne af flere myndigheder paring eacuten gang
Muligheden for at have en faeliglles databeskyttelsesraringdgiver begraelignses af at
denne skal kunne leve op til sine forpligtelser efter databeskyttelsesforordningen
Databeskyttelsesraringdgiveren kan understoslashttes af en enhed for at kunne udfoslashre sit
hverv i overensstemmelse med forordningens krav Dette gaeliglder uanset om da-
tabeskyttelsesraringdgiveren fungerer for eacuten myndighed eller for flere myndigheder
og organer
Vejledning om databeskyttelsesraringdgivere
20
5 Databeskyttelsesraringdgiveren
51 Krav til faglige kvalifikationer
En databeskyttelsesraringdgiver skal udpeges paring baggrund af sine faglige kvalifikationer Dette
gaeliglder navnlig evnen til at udfoslashre sine opgaver som databeskyttelsesraringdgiver og ekspertise in-
den for databeskyttelsesret- og praksis
Der er ikke krav om at en databeskyttelsesraringdgiver skal have en bestemt uddannelsesmaeligssig
baggrund feks som jurist
Dermed er det op til den enkelte organisation at vurdere hvem der er bedst egnet til at varetage
stillingen som databeskyttelsesraringdgiver
Kravene til stillingen afhaelignger til en vis grad af kompleksiteten af den behandling af personop-
lysninger som den paringgaeligldende organisation foretager Dermed kan der for nogen organisatio-
ner vaeligre behov for at ansaeligtte en databeskyttelsesraringdgiver med stor erfaring inden for feltet og
i andre tilfaeliglde kan en eksisterende medarbejder paring baggrund af diverse kurser varetage funkti-
onen
Hvis der udpeges en databeskyttelsesraringdgiver fra egen organisation kan det med fordel vaeligre
en person som i forvejen har et vist kendskab til eller indsigt i haringndtering af databeskyttelses-
retlige sposlashrgsmaringl i organisationen
52 Hvem kan vaeligre databeskyttelsesraringdgiver
Som udgangspunkt kan alle som organisationen finder kvalificeret til at vaeligre databeskyttelses-
raringdgiver varetage funktionen
Foslashlgende kan derfor vaeligre databeskyttelsesraringdgivere
En intern medarbejder
En faeliglles databeskyttelsesraringdgiver for hele eller flere organisationer
En ekstern databeskyttelsesraringdgiver
Intern medarbejder
En organisation kan vaeliglge at udpege en eksisterende medarbejder som databeskyttelsesraringdgi-
ver
Det er ikke et krav at den medarbejder der varetager funktionen som databeskyttelsesraringdgiver
udoslashver sin funktion paring fuld tid
Vejledning om databeskyttelsesraringdgivere
21
Dermed kan en intern medarbejder der varetager funktionen som databeskyttelsesraringdgiver ud-
foslashre andre opgaver og have andre pligter i organisationen
Saringledes kan en medarbejder der feks arbejder i IT-sektionen i en organisation godt varetage
funktionen som databeskyttelsesraringdgiver paring deltid eller 10 timer om ugen alt efter behovet i
den enkelte organisation
Det afgoslashrende er at den paringgaeligldende medarbejder fyldestgoslashrende kan udoslashve sit erhverv som
databeskyttelsesraringdgiver i organisationen
Den person der udpeges kan med fordel vaeligre en person som i forvejen har et vist kendskab
til eller indsigt i haringndtering af databeskyttelsesretlige sposlashrgsmaringl i organisationen
Selve vurderingen af hvor meget tid en medarbejder skal bruge paring fyldestgoslashrende at kunne ef-
terleve kravene til en databeskyttelsesraringdgiver i organisationen afhaelignger af en konkret vurde-
ring af behovet hos organisationen
Interne ansatte der ikke kan vaeligre databeskyttelsesraringdgiver
En databeskyttelsesraringdgiver skal baringde vaeligre uafhaeligngig og vaeligre i stand til at udoslashve uvildig raringd-
givning til organisationen
Derfor kan en databeskyttelsesraringdgiver ikke vaeligre den oslashverste IT-ansvarlige eller oslashverste HR-
ansvarlige i en organisation
Eksempel ndash virksomhed med faring ansatte
Virksomheder med faring ansatte herunder feks enkeltmandsvirksomheder vil have svaeligrt ved at
opfylde betingelsen om at en databeskyttelsesraringdgiver ikke kan vaeligre oslashverste IT-ansvarlige eller
oslashverste HR-ansvarlige i en organisation (forudsat at virksomheden i oslashvrigt opfylder betingelserne
for hvornaringr private skal udpege en databeskyttelsesraringdgiver jf naeligrmere om privates forpligtelse
under punkt 3) I en saringdan situation kan virksomheden enten benytte sig af muligheden for at
udpege en faeliglles databeskyttelsesraringdgiver eller anvende en konsulent til opgaven
Databeskyttelsesraringdgiverenhed
Der kan ogsaring udpeges eacuten databeskyttelsesraringdgiver for den paringgaeligldende organisation som un-
derstoslashttes af en enhed saring den paringgaeligldende kan leve op til sine forpligtelser efter forordningen jf
den ovenfor beskrevne ordning for politiet
Faeliglles databeskyttelsesraringdgiver
Saringvel private som offentlige myndigheder kan udpege en faeliglles databeskyttelsesraringdgiver af-
haeligngig af deres struktur og stoslashrrelse
Medarbejdere som ikke har det oslashverste ansvar kan vaeligre databe-
skyttelsesraringdgivere Det betyder at ledende IT-medarbejdere
compliance-officerer eller en it-sikkerheds koordinator mv kan
udoslashve funktionen som databeskyttelsesraringdgiver i organisationen
Vejledning om databeskyttelsesraringdgivere
22
Ekstern medarbejder
Man kan ogsaring vaeliglge at udpege en ekstern databeskyttelsesraringdgiver Dette kan enten vaeligre en
raringdgiver (konsulentvirksomhed) saringsom en bestemt advokat eller revisor eller andre kvalifice-
rede eksterne parter Udoslashvelsen af hvervet som databeskyttelsesraringdgiver vil dog i sagens natur
alene kunne udoslashves i det omfang dette er foreneligt med eventuelle regler ndash herunder etiske
krav ndash for den relevante type af raringdgivervirksomhed mv
53 Databeskyttelsesraringdgiverens opgaver
Databeskyttelsesraringdgiveren funktion bestaringr i at raringdgive den dataansvarlige og hjaeliglpe med at
organisationen efterlever de databeskyttelsesretlige regler
En databeskyttelsesraringdgiver skal desuden prioritere sine opgaver og fokusere paring de behandlin-
ger af personoplysninger i den paringgaeligldende organisation som konkret indebaeligrer en hoslashjere ri-
siko for brud paring de databeskyttelsesretlige regler Dog skal oslashvrige databeskyttelsesretlige omraring-
der som indebaeligrer en lavere grad af risiko ikke undlades
Der er en raeligkke opgaver som databeskyttelsesraringdgiveren som minimum skal varetage Der er
dog ikke noget til hinder for at der overlades flere opgaver til databeskyttelsesraringdgiveren Da-
tabeskyttelsesraringdgiverens rolle som central raringdgivningsfigur i organisationen samt dennes op-
gaver kan med fordel beskrives naeligrmere i en (ansaeligttelses)aftale
Nedenfor foslashlger en naeligrmere beskrivelse af de opgaver som databeskyttelsesraringdgiveren som
minimum skal varetage i en organisation
Underrette og raringdgive organisationen og de ansatte om databeskyttelse
Det indebaeligrer
Konkret raringdgivning om beskyttelse af personoplysninger i organisationen samt
overvejelser og beslutninger om hvordan compliance sikres mv feks i forbin-
delse med foslashlgende
Organisationens indkoslashb af nyt IT-system
kravsspecifikationer til leverandoslashrer
udarbejdelse af organisationens data-politikker
ivaeligrksaeligttelse af behandling af personoplysninger
overvejelser om hvorvidt en given behandling af personoplysninger over-
holder de generelle behandlingsregler
Staring til raringdighed for ansatte samt ledelsen i organisationen vedroslashrende sposlashrgsmaringl
om databeskyttelse
Vejledning om databeskyttelsesraringdgivere
23
Raringdgivning i forbindelse med udarbejdelse af organisationens konsekvensanaly-
ser jf afsnit 3 nedenfor
Modtage underretning om og raringdgive organisationen i forbindelse med brud paring
persondatasikkerheden
Overvaringge overholdelsen af de databeskyttelsesretlige regler i organisationen
Det indebaeligrer bla ogsaring at overvaringge
organisationens politikker om databeskyttelse
uddannelse af personale i databeskyttelse
oplysningskampagner
fordeling af ansvar
revisioner
Det skal hertil bemaeligrkes at databeskyttelsesraringdgiverens opgave med at overvaringge overholdel-
sen af de databeskyttelsesretlige regler i organisationen ikke medfoslashrer at raringdgiveren overtager
selve ansvaret for at behandlingen af personoplysninger sker i overensstemmelse med reg-
lerne Dette ansvar ligger fortsat hos den dataansvarlige
Raringdgivning i forbindelse med udarbejdelse af organisationens konsekvensanalyser
I visse tilfaeliglde skal organisationer udarbejde en konsekvensanalyse af en planlagt behandling
af personoplysninger
I de tilfaeliglde hvor en organisation har udpeget en databeskyttelsesraringdgiver skal denne raringdfoslash-
res naringr der foretages en konsekvensanalyse
Herudover skal databeskyttelsesraringdgiveren raringdgive med hensyn til konsekvensanalysen naringr
der anmodes herom
Som led i overvaringgningsopgaven kan databeskyttel-
sesraringdgiveren foretage foslashlgende
indsamle oplysninger til at identificere
behandlingsaktiviteter
informere raringdgive og komme med an-
befalinger til den dataansvarlige og da-
tabehandleren
Vejledning om databeskyttelsesraringdgivere
24
I tilfaeliglde af uenighed mellem organisationen og databeskyttelsesraringdgiveren anbefales det at
det specifikt fremgaringr af selve konsekvensanalysen hvorfor databeskyttelsesraringdgiverens indstil-
ling ikke er blevet fulgt
Samarbejde med Datatilsynet paring vegne af organisationen
En organisation er forpligtet til at hoslashre Datatilsynet inden behandling hvis en konsekvensana-
lyse vedroslashrende databeskyttelse viser at behandlingen af personoplysninger vil foslashre til hoslashj ri-
siko i mangel af foranstaltninger truffet af organisation for at begraelignse risikoen
Det foslashlger af forordningen at databeskyttelsesraringdgiveren skal samarbejde med tilsynsmyndig-
heden og fungere som tilsynsmyndighedens kontaktperson Det kan feks vaeligre databeskyttel-
sesraringdgiveren der paring vegne af den dataansvarlige hoslashrer tilsynsmyndigheden
Vaeligre kontaktpunkt for tilsynsmyndigheden (Datatilsynet) angaringende alle sposlashrgsmaringl om behand-
ling af personoplysninger for de personer der behandles oplysninger om
Databeskyttelsesraringdgiveren skal inddrages af den dataansvarlige i tilfaeliglde af at konkrete kla-
gesager indbringes for Datatilsynet Databeskyttelsesraringdgiveren boslashr ligeledes orienteres naringr
Datatilsynet beslutter at gennemfoslashre et eventuelt tilsyn af den dataansvarlige
Herudover skal databeskyttelsesraringdgiveren ogsaring vaeligre i stand til at vejlede den person der be-
handles personoplysninger om Det betyder at databeskyttelsesraringdgiveren skal vaeligre i stand til
at vejlede om hvilke rettigheder den paringgaeligldende har og hvordan de kan udnyttes
Det indebaeligrer endvidere at den dataansvarlige skal give meddelelse om kontaktoplysninger paring
databeskyttelsesraringdgiveren
Det anbefales i oslashvrigt at organisationen i en funktionsbeskrivelse klart definerer hvilke opgaver
der paringhviler databeskyttelsesraringdgiveren En funktionsbeskrivelse vil goslashre det tydeligt hvornaringr
Raringdgivning i forhold til konsekvensanalyser kan bla indebaeligre raringdgiv-
ning vedroslashrende
om der skal gennemfoslashres en konsekvensanalyse
hvilken fremgangsmaringde der skal anvendes ved gennemfoslash-
relse af konsekvensanalysen
om konsekvensanalysen kan gennemfoslashres internt eller om
gennemfoslashrelsen kraeligver antagelse af ekstern bistand
hvilke sikkerhedsforanstaltninger (tekniske og organisatori-
ske) som skal anvendes for at begraelignse risici i forhold til
de registreredes rettigheder og interesser
om konsekvensanalysen er korrekt gennemfoslashrt og om
dens konklusioner er i overensstemmelse med de databe-
skyttelsesretlige regler
Vejledning om databeskyttelsesraringdgivere
25
den paringgaeligldende virker som databeskyttelsesraringdgiver og i denne egenskab ikke kan instrueres
Det vil samtidig blive tydeligt hvornaringr den paringgaeligldende udfoslashrer andre opgaver i sit ordinaeligre an-
saeligttelsesforhold i organisationen
54 Krav til organisationen ndash rettidig og tilstraeligkkelig inddragelse af databeskyt-
telsesraringdgiveren
En organisation skal sikre at databeskyttelsesraringdgiveren inddrages tilstraeligkkeligt og rettidigt i
alle sposlashrgsmaringl vedroslashrende beskyttelse af personoplysninger En saringdan inddragelse boslashr ogsaring
ske paring oslashverste ledelsesmaeligssige niveau (feks ved deltagelse paring direktions- og ledelsesmoslashder)
Det anbefales at organisationen implementerer procedurer som sikrer dette
I hvilke tilfaeliglde skal databeskyttelsesraringdgiveren inddrages
Databeskyttelsesraringdgiveren skal inddrages i alle de overvejelser og vurderinger som organisa-
tionen goslashr sig for at overholde kravene i databeskyttelsesforordningen databeskyttelsesloven
og oslashvrige regler for behandling af personoplysninger
Eksempel paring sposlashrgsmaringl hvor databeskyttelsesraringdgiveren boslashr inddrages
ved overvejelser og beslutninger om hvordan organisationens compliance med
databeskyttelsesreglerne sikres
ved overvejelser i forbindelse med datasikkerhed herunder databeskyttelse gen-
nem design og standardindstillinger og
ved udarbejdelse af konsekvensanalyser
Saringfremt databeskyttelsesraringdgiveren udpeges foslashr den 25 maj 2018 kan denne inddrages i or-
ganisationens implementering af de krav der foslashlger af forordningen
Eksempel paring sposlashrgsmaringl hvor databeskyttelsesraringdgiveren ikke
skal inddrages
Konkrete vurderinger ift registreredes rettigheder
feks anmodning paring indsigt ret til at blive glemt
mv
Deltagelse i mindre praktiske eller almindelige
driftsopgaver eller driftsmaeligssige sposlashrgsmaringl knyt-
tet til opsaeligtning af it-systemer
Udarbejdelse af konkrete databehandleraftaler
Behandling af personoplysninger der finder sted i
overensstemmelse med interne regler som den da-
taansvarlige har fastsat forudsat at disse regler er
fastsat under inddragelse af databeskyttelsesraringdgi-
veren
Vejledning om databeskyttelsesraringdgivere
26
Hvordan skal databeskyttelsesraringdgiveren inddrages
For at sikre at databeskyttelsesraringdgiveren inddrages tilstraeligkkeligt og rettidigt er organisationen
forpligtet til at holde databeskyttelsesraringdgiveren tilstraeligkkeligt og rettidigt orienteret om alle
sposlashrgsmaringl om beskyttelse af personoplysninger
Som tommelfingerregel skal databeskyttelsesraringdgiveren have mulighed for at vurdere overhol-
delsen af de databeskyttelsesretlige regler og komme med bemaeligrkninger eller lignende inden
en behandling af personoplysninger igangsaeligttes
Hvornaringr er inddragelsen rettidig
Databeskyttelsesraringdgiveren skal inddrages i saring god tid som det er muligt forud for ivaeligrksaeligttel-
sen af behandling af personoplysninger
Det er afgoslashrende at databeskyttelsesraringdgiveren inddrages i tide til at kunne foretage en reel
vurdering af om den paringtaelignkte behandling af personoplysninger er i overensstemmelse med de
databeskyttelsesretlige regler og dermed kan komme med kvalificerede bemaeligrkninger herom
med henblik paring at raringdgive organisationen
Eksempler paring rettidig inddragelse
Inddrages forud for beslutning om noslashdvendige
foranstaltninger i IT-systemer for at efterleve kra-
vene om databeskyttelse gennem design og stan-
dardindstillinger
Inddrages forud for udstedelse af retningslinjer og
procedurer for hvordan de databeskyttelsesret-
lige regler skal overholdes i organisationen
Inddragelse foslashr offentliggoslashrelse af udbudsmateri-
ale i en udbudsproces eller lignende
Eksempler paring ikke-rettidig inddragelse
Inddragelse af databeskyttelsesraringdgiveren efter
et nyt IT-system er faeligrdigudviklet
Inddragelse af databeskyttelsesraringdgiveren efter
indkoslashb af IT-systemer (dermed ikke en del af
overvejelserne vedr kravspecifikation og databe-
skyttelse gennem design og standardindstillin-
ger)
Inddragelse af databeskyttelsesraringdgiveren efter
at en konsekvensanalyse er udarbejdet
Inddragelse af databeskyttelsesraringdgiveren efter
stoslashrre aeligndringer i organisationens procedurer
der vedroslashrer databeskyttelse saringsom haringndtering
af anmodninger fra registrerede personer
Vejledning om databeskyttelsesraringdgivere
27
Behandlingsaktiviteter igangsat foslashr en databeskyttelsesraringdgiver udpeges
Naringr en organisation udpeger en databeskyttelsesraringdgiver vil der selvsagt vaeligre behandlinger af
personoplysninger der allerede er igangsat i organisationen
Databeskyttelsesraringdgiveren boslashr ved udpegelsen primaeligrt have fokus paring de fremadrettede com-
pliance aktiviteter Derudover kan databeskyttelsesraringdgiveren ndash ud fra en risikovurdering i for-
hold til de behandlinger som konkret indebaeligrer hoslashjere risiko ndash inddrages i organisationens
overvejelser om hvorvidt de igangvaeligrende aktiviteter overholder de databeskyttelsesretlige
regler
Hvornaringr er inddragelsen tilstraeligkkelig
Der skal ske en reel inddragelse af databeskyttelsesraringdgiveren i organisationens overvejelser
og beslutninger vedroslashrende databeskyttelse
Det indebaeligrer at organisationen skal inddrage og tage hoslashjde for databeskyttelsesraringdgiverens
bemaeligrkninger og raringdgivning i oslashvrigt samt dennes rapportering til oslashverste ledelsesniveau om
overholdelse af de databeskyttelsesretlige regler
Saringfremt databeskyttelsesraringdgiverens raringdgivning ikke foslashlges anbefales det at organisationen
dokumenterer dette i overensstemmelse med kravet om accountability
Ressourcer og adgang
Ressourcer
For at databeskyttelsesraringdgiveren rent faktisk kan udfoslashre sine opgaver er det noslashdvendigt at
organisationens tilvejebringer de noslashdvendige ressourcer til stoslashtte for databeskyttelsesraringdgive-
ren
Det er endvidere et krav at organisationen tilvejebringer de fornoslashdne ressourcer for at databe-
skyttelsesraringdgiveren kan opretholde sin ekspertise inden for omraringdet
Fastsaeligttelsen af de fornoslashdne ressourcer beror paring en konkret vurdering som afhaelignger af de
organisatoriske forhold i organisationen saringsom stoslashrrelsen antallet af behandlingsaktiviteter
kompleksiteten af behandlingen af personoplysninger samt de forbundne risici
Jo stoslashrre en organisation er des stoslashrre er behovet for ressourcer til stoslashtte for databeskyttelses-
raringdgiveren
Selve behovet for ressourcer beror paring en konkret vurde-
ring som organisationen er ansvarlig for at foretage
Som eksempler paring fornoslashdne ressourcer kan naeligvnes
Faciliteter og arbejdsredskaber
Oslashkonomiske ressourcer
Personaleressourcer og lignende
Vejledning om databeskyttelsesraringdgivere
28
Adgang
Databeskyttelsesraringdgiveren skal ogsaring have adgang til organisationens personoplysninger og
den behandling af disse som organisationen foretager
Der skal vaeligre tale om en vid adgang som kan tilvejebringes efter behov
Uafhaeligngighed
Det er et grundlaeligggende krav at en databeskyttelsesraringdgiver ikke maring blive instrueret af andre
om hvordan raringdgiveren skal udfoslashre sine opgaver Der gaeliglder saringledes foslashlgende for databeskyt-
telsesraringdgiveren
Maring ikke som led i sin funktion som databeskyttelsesraringdgiver modtage instruks om
hvordan denne skal udfoslashre sine opgaver (eller feks om en bestemt vurdering el-
ler fortolkning af forordningen)
Maring ikke afskediges eller sanktioneres for at udfoslashre sine opgaver
Rapporterer direkte til oslashverste ledelsesniveau
Databeskyttelsesraringdgiverens interne reaktionsmuligheder er i praksis taeligt forbundne med at
ovenstaringende krav til uafhaeligngighed efterleves Idet en databeskyttelsesraringdgiver ikke har instruk-
tionsbefoslashjelser over for andre dele af den dataansvarliges organisation er det i praksis mulighe-
den for at kunne rapportere direkte til oslashverste ledelsesniveau der er raringdgiverens interne virke-
middel overfor konstaterede brud paring forordningen
Hvor det oslashverste ledelsesniveau er afhaelignger af organiseringen hos den konkrete dataansvarlige
eller databehandleren
I forhold til det private erhvervsliv fremgaringr det af selskabsloven at det er bestyrelsen der er det
centrale eller oslashverste ledelsesorgan i selskaber der baringde har en bestyrelse og en direktion Naringr
der i databeskyttelsesforordningen henvises til det oslashverste ledelsesniveau maring det i det private
forstarings i relation til den daglige drift og dermed direktionen saringfremt selskabet har baringde en besty-
relse og en direktion Det vil i praksis betyde at direktionen skal orientere bestyrelsen om vaelig-
sentlige forhold som paringpeges af databeskyttelsesraringdgiveren
For statslige myndigheder maring den oslashverste ledelse forstarings som den oslashverste administrative le-
delse
For saring vidt angaringr kommuner og regioner gaeliglder at databeskyttelsesraringdgiveren rapporterer di-
rekte til kommunalbestyrelsen henholdsvis regionsraringdet Denne rapportering forelaeliggges for kom-
munalbestyrelsen henholdsvis regionsraringdet uden den forudgaringende udvalgsbehandling som de
kommunale og regionale sager ellers normalt skal undergives Dette udelukker dog ikke at en
kommune kan indhente en erklaeligring fra oslashkonomiudvalget forinden forelaeligggelse for kommunal-
bestyrelsen
55 Beskyttelse af databeskyttelsesraringdgiveren
Funktionen som databeskyttelsesraringdgiver er beskyttet ved et forbud mod at kunne blive afskedi-
get for udfoslashrelse af opgaverne som databeskyttelsesraringdgiver
Vejledning om databeskyttelsesraringdgivere
29
Usaglig afskedigelse af en databeskyttelsesraringdgiver er sanktioneret med en boslashde
Databeskyttelsesraringdgiveren vil kunne afskediges paring et sagligt grundlag efter almindelige ansaeligt-
telsesretlige regler
56 Opsummering
En databeskyttelsesraringdgiver udpeges paring baggrund af sine faglige kvalifikationer
Databeskyttelsesraringdgiveren kan baringde vaeligre en intern medarbejder en faeliglles da-
tabeskyttelsesraringdgiver for hele eller flere organisationer eller en ekstern databe-
skyttelsesraringdgiver
Databeskyttelsesraringdgiveren har en raeligkke opgaver denne som minimum skal va-
retage Derudover anbefales det at man klart definerer hvilke opgaver der paringhvi-
ler databeskyttelsesraringdgiveren
En organisation skal rettidig og tilstraeligkkelig inddrage databeskyttelsesraringdgiveren
i alle sposlashrgsmaringl vedroslashrende beskyttelse af personoplysninger
Databeskyttelsesraringdgiveren nyder en saeligrlig beskyttelse mod usaglig afskedi-
gelse og kan ikke afskediges eller sanktioneres for at udfoslashre sine opgaver som
Databeskyttelsesraringdgiver
Dato
20 december 2017
Justitsministeriet
Slotsholmsgade 10
1216 Koslashbenhavn K
Telefon
72 26 84 00
jmjmdk
Eksempler paring tilfaeliglde hvor en databeskyttelsesraringd-
giver kan afskediges
Ikke udfoslashrer sine arbejdsopgaver
Misligholder ansaeligttelsesforholdet
Samarbejdsvanskeligheder
Vejledning om databeskyttelsesraringdgivere
30
ISBN
978-88-98564-35-7
Foto
Scanpix
Vejledning om databeskyttelsesraringdgivere
20
5 Databeskyttelsesraringdgiveren
51 Krav til faglige kvalifikationer
En databeskyttelsesraringdgiver skal udpeges paring baggrund af sine faglige kvalifikationer Dette
gaeliglder navnlig evnen til at udfoslashre sine opgaver som databeskyttelsesraringdgiver og ekspertise in-
den for databeskyttelsesret- og praksis
Der er ikke krav om at en databeskyttelsesraringdgiver skal have en bestemt uddannelsesmaeligssig
baggrund feks som jurist
Dermed er det op til den enkelte organisation at vurdere hvem der er bedst egnet til at varetage
stillingen som databeskyttelsesraringdgiver
Kravene til stillingen afhaelignger til en vis grad af kompleksiteten af den behandling af personop-
lysninger som den paringgaeligldende organisation foretager Dermed kan der for nogen organisatio-
ner vaeligre behov for at ansaeligtte en databeskyttelsesraringdgiver med stor erfaring inden for feltet og
i andre tilfaeliglde kan en eksisterende medarbejder paring baggrund af diverse kurser varetage funkti-
onen
Hvis der udpeges en databeskyttelsesraringdgiver fra egen organisation kan det med fordel vaeligre
en person som i forvejen har et vist kendskab til eller indsigt i haringndtering af databeskyttelses-
retlige sposlashrgsmaringl i organisationen
52 Hvem kan vaeligre databeskyttelsesraringdgiver
Som udgangspunkt kan alle som organisationen finder kvalificeret til at vaeligre databeskyttelses-
raringdgiver varetage funktionen
Foslashlgende kan derfor vaeligre databeskyttelsesraringdgivere
En intern medarbejder
En faeliglles databeskyttelsesraringdgiver for hele eller flere organisationer
En ekstern databeskyttelsesraringdgiver
Intern medarbejder
En organisation kan vaeliglge at udpege en eksisterende medarbejder som databeskyttelsesraringdgi-
ver
Det er ikke et krav at den medarbejder der varetager funktionen som databeskyttelsesraringdgiver
udoslashver sin funktion paring fuld tid
Vejledning om databeskyttelsesraringdgivere
21
Dermed kan en intern medarbejder der varetager funktionen som databeskyttelsesraringdgiver ud-
foslashre andre opgaver og have andre pligter i organisationen
Saringledes kan en medarbejder der feks arbejder i IT-sektionen i en organisation godt varetage
funktionen som databeskyttelsesraringdgiver paring deltid eller 10 timer om ugen alt efter behovet i
den enkelte organisation
Det afgoslashrende er at den paringgaeligldende medarbejder fyldestgoslashrende kan udoslashve sit erhverv som
databeskyttelsesraringdgiver i organisationen
Den person der udpeges kan med fordel vaeligre en person som i forvejen har et vist kendskab
til eller indsigt i haringndtering af databeskyttelsesretlige sposlashrgsmaringl i organisationen
Selve vurderingen af hvor meget tid en medarbejder skal bruge paring fyldestgoslashrende at kunne ef-
terleve kravene til en databeskyttelsesraringdgiver i organisationen afhaelignger af en konkret vurde-
ring af behovet hos organisationen
Interne ansatte der ikke kan vaeligre databeskyttelsesraringdgiver
En databeskyttelsesraringdgiver skal baringde vaeligre uafhaeligngig og vaeligre i stand til at udoslashve uvildig raringd-
givning til organisationen
Derfor kan en databeskyttelsesraringdgiver ikke vaeligre den oslashverste IT-ansvarlige eller oslashverste HR-
ansvarlige i en organisation
Eksempel ndash virksomhed med faring ansatte
Virksomheder med faring ansatte herunder feks enkeltmandsvirksomheder vil have svaeligrt ved at
opfylde betingelsen om at en databeskyttelsesraringdgiver ikke kan vaeligre oslashverste IT-ansvarlige eller
oslashverste HR-ansvarlige i en organisation (forudsat at virksomheden i oslashvrigt opfylder betingelserne
for hvornaringr private skal udpege en databeskyttelsesraringdgiver jf naeligrmere om privates forpligtelse
under punkt 3) I en saringdan situation kan virksomheden enten benytte sig af muligheden for at
udpege en faeliglles databeskyttelsesraringdgiver eller anvende en konsulent til opgaven
Databeskyttelsesraringdgiverenhed
Der kan ogsaring udpeges eacuten databeskyttelsesraringdgiver for den paringgaeligldende organisation som un-
derstoslashttes af en enhed saring den paringgaeligldende kan leve op til sine forpligtelser efter forordningen jf
den ovenfor beskrevne ordning for politiet
Faeliglles databeskyttelsesraringdgiver
Saringvel private som offentlige myndigheder kan udpege en faeliglles databeskyttelsesraringdgiver af-
haeligngig af deres struktur og stoslashrrelse
Medarbejdere som ikke har det oslashverste ansvar kan vaeligre databe-
skyttelsesraringdgivere Det betyder at ledende IT-medarbejdere
compliance-officerer eller en it-sikkerheds koordinator mv kan
udoslashve funktionen som databeskyttelsesraringdgiver i organisationen
Vejledning om databeskyttelsesraringdgivere
22
Ekstern medarbejder
Man kan ogsaring vaeliglge at udpege en ekstern databeskyttelsesraringdgiver Dette kan enten vaeligre en
raringdgiver (konsulentvirksomhed) saringsom en bestemt advokat eller revisor eller andre kvalifice-
rede eksterne parter Udoslashvelsen af hvervet som databeskyttelsesraringdgiver vil dog i sagens natur
alene kunne udoslashves i det omfang dette er foreneligt med eventuelle regler ndash herunder etiske
krav ndash for den relevante type af raringdgivervirksomhed mv
53 Databeskyttelsesraringdgiverens opgaver
Databeskyttelsesraringdgiveren funktion bestaringr i at raringdgive den dataansvarlige og hjaeliglpe med at
organisationen efterlever de databeskyttelsesretlige regler
En databeskyttelsesraringdgiver skal desuden prioritere sine opgaver og fokusere paring de behandlin-
ger af personoplysninger i den paringgaeligldende organisation som konkret indebaeligrer en hoslashjere ri-
siko for brud paring de databeskyttelsesretlige regler Dog skal oslashvrige databeskyttelsesretlige omraring-
der som indebaeligrer en lavere grad af risiko ikke undlades
Der er en raeligkke opgaver som databeskyttelsesraringdgiveren som minimum skal varetage Der er
dog ikke noget til hinder for at der overlades flere opgaver til databeskyttelsesraringdgiveren Da-
tabeskyttelsesraringdgiverens rolle som central raringdgivningsfigur i organisationen samt dennes op-
gaver kan med fordel beskrives naeligrmere i en (ansaeligttelses)aftale
Nedenfor foslashlger en naeligrmere beskrivelse af de opgaver som databeskyttelsesraringdgiveren som
minimum skal varetage i en organisation
Underrette og raringdgive organisationen og de ansatte om databeskyttelse
Det indebaeligrer
Konkret raringdgivning om beskyttelse af personoplysninger i organisationen samt
overvejelser og beslutninger om hvordan compliance sikres mv feks i forbin-
delse med foslashlgende
Organisationens indkoslashb af nyt IT-system
kravsspecifikationer til leverandoslashrer
udarbejdelse af organisationens data-politikker
ivaeligrksaeligttelse af behandling af personoplysninger
overvejelser om hvorvidt en given behandling af personoplysninger over-
holder de generelle behandlingsregler
Staring til raringdighed for ansatte samt ledelsen i organisationen vedroslashrende sposlashrgsmaringl
om databeskyttelse
Vejledning om databeskyttelsesraringdgivere
23
Raringdgivning i forbindelse med udarbejdelse af organisationens konsekvensanaly-
ser jf afsnit 3 nedenfor
Modtage underretning om og raringdgive organisationen i forbindelse med brud paring
persondatasikkerheden
Overvaringge overholdelsen af de databeskyttelsesretlige regler i organisationen
Det indebaeligrer bla ogsaring at overvaringge
organisationens politikker om databeskyttelse
uddannelse af personale i databeskyttelse
oplysningskampagner
fordeling af ansvar
revisioner
Det skal hertil bemaeligrkes at databeskyttelsesraringdgiverens opgave med at overvaringge overholdel-
sen af de databeskyttelsesretlige regler i organisationen ikke medfoslashrer at raringdgiveren overtager
selve ansvaret for at behandlingen af personoplysninger sker i overensstemmelse med reg-
lerne Dette ansvar ligger fortsat hos den dataansvarlige
Raringdgivning i forbindelse med udarbejdelse af organisationens konsekvensanalyser
I visse tilfaeliglde skal organisationer udarbejde en konsekvensanalyse af en planlagt behandling
af personoplysninger
I de tilfaeliglde hvor en organisation har udpeget en databeskyttelsesraringdgiver skal denne raringdfoslash-
res naringr der foretages en konsekvensanalyse
Herudover skal databeskyttelsesraringdgiveren raringdgive med hensyn til konsekvensanalysen naringr
der anmodes herom
Som led i overvaringgningsopgaven kan databeskyttel-
sesraringdgiveren foretage foslashlgende
indsamle oplysninger til at identificere
behandlingsaktiviteter
informere raringdgive og komme med an-
befalinger til den dataansvarlige og da-
tabehandleren
Vejledning om databeskyttelsesraringdgivere
24
I tilfaeliglde af uenighed mellem organisationen og databeskyttelsesraringdgiveren anbefales det at
det specifikt fremgaringr af selve konsekvensanalysen hvorfor databeskyttelsesraringdgiverens indstil-
ling ikke er blevet fulgt
Samarbejde med Datatilsynet paring vegne af organisationen
En organisation er forpligtet til at hoslashre Datatilsynet inden behandling hvis en konsekvensana-
lyse vedroslashrende databeskyttelse viser at behandlingen af personoplysninger vil foslashre til hoslashj ri-
siko i mangel af foranstaltninger truffet af organisation for at begraelignse risikoen
Det foslashlger af forordningen at databeskyttelsesraringdgiveren skal samarbejde med tilsynsmyndig-
heden og fungere som tilsynsmyndighedens kontaktperson Det kan feks vaeligre databeskyttel-
sesraringdgiveren der paring vegne af den dataansvarlige hoslashrer tilsynsmyndigheden
Vaeligre kontaktpunkt for tilsynsmyndigheden (Datatilsynet) angaringende alle sposlashrgsmaringl om behand-
ling af personoplysninger for de personer der behandles oplysninger om
Databeskyttelsesraringdgiveren skal inddrages af den dataansvarlige i tilfaeliglde af at konkrete kla-
gesager indbringes for Datatilsynet Databeskyttelsesraringdgiveren boslashr ligeledes orienteres naringr
Datatilsynet beslutter at gennemfoslashre et eventuelt tilsyn af den dataansvarlige
Herudover skal databeskyttelsesraringdgiveren ogsaring vaeligre i stand til at vejlede den person der be-
handles personoplysninger om Det betyder at databeskyttelsesraringdgiveren skal vaeligre i stand til
at vejlede om hvilke rettigheder den paringgaeligldende har og hvordan de kan udnyttes
Det indebaeligrer endvidere at den dataansvarlige skal give meddelelse om kontaktoplysninger paring
databeskyttelsesraringdgiveren
Det anbefales i oslashvrigt at organisationen i en funktionsbeskrivelse klart definerer hvilke opgaver
der paringhviler databeskyttelsesraringdgiveren En funktionsbeskrivelse vil goslashre det tydeligt hvornaringr
Raringdgivning i forhold til konsekvensanalyser kan bla indebaeligre raringdgiv-
ning vedroslashrende
om der skal gennemfoslashres en konsekvensanalyse
hvilken fremgangsmaringde der skal anvendes ved gennemfoslash-
relse af konsekvensanalysen
om konsekvensanalysen kan gennemfoslashres internt eller om
gennemfoslashrelsen kraeligver antagelse af ekstern bistand
hvilke sikkerhedsforanstaltninger (tekniske og organisatori-
ske) som skal anvendes for at begraelignse risici i forhold til
de registreredes rettigheder og interesser
om konsekvensanalysen er korrekt gennemfoslashrt og om
dens konklusioner er i overensstemmelse med de databe-
skyttelsesretlige regler
Vejledning om databeskyttelsesraringdgivere
25
den paringgaeligldende virker som databeskyttelsesraringdgiver og i denne egenskab ikke kan instrueres
Det vil samtidig blive tydeligt hvornaringr den paringgaeligldende udfoslashrer andre opgaver i sit ordinaeligre an-
saeligttelsesforhold i organisationen
54 Krav til organisationen ndash rettidig og tilstraeligkkelig inddragelse af databeskyt-
telsesraringdgiveren
En organisation skal sikre at databeskyttelsesraringdgiveren inddrages tilstraeligkkeligt og rettidigt i
alle sposlashrgsmaringl vedroslashrende beskyttelse af personoplysninger En saringdan inddragelse boslashr ogsaring
ske paring oslashverste ledelsesmaeligssige niveau (feks ved deltagelse paring direktions- og ledelsesmoslashder)
Det anbefales at organisationen implementerer procedurer som sikrer dette
I hvilke tilfaeliglde skal databeskyttelsesraringdgiveren inddrages
Databeskyttelsesraringdgiveren skal inddrages i alle de overvejelser og vurderinger som organisa-
tionen goslashr sig for at overholde kravene i databeskyttelsesforordningen databeskyttelsesloven
og oslashvrige regler for behandling af personoplysninger
Eksempel paring sposlashrgsmaringl hvor databeskyttelsesraringdgiveren boslashr inddrages
ved overvejelser og beslutninger om hvordan organisationens compliance med
databeskyttelsesreglerne sikres
ved overvejelser i forbindelse med datasikkerhed herunder databeskyttelse gen-
nem design og standardindstillinger og
ved udarbejdelse af konsekvensanalyser
Saringfremt databeskyttelsesraringdgiveren udpeges foslashr den 25 maj 2018 kan denne inddrages i or-
ganisationens implementering af de krav der foslashlger af forordningen
Eksempel paring sposlashrgsmaringl hvor databeskyttelsesraringdgiveren ikke
skal inddrages
Konkrete vurderinger ift registreredes rettigheder
feks anmodning paring indsigt ret til at blive glemt
mv
Deltagelse i mindre praktiske eller almindelige
driftsopgaver eller driftsmaeligssige sposlashrgsmaringl knyt-
tet til opsaeligtning af it-systemer
Udarbejdelse af konkrete databehandleraftaler
Behandling af personoplysninger der finder sted i
overensstemmelse med interne regler som den da-
taansvarlige har fastsat forudsat at disse regler er
fastsat under inddragelse af databeskyttelsesraringdgi-
veren
Vejledning om databeskyttelsesraringdgivere
26
Hvordan skal databeskyttelsesraringdgiveren inddrages
For at sikre at databeskyttelsesraringdgiveren inddrages tilstraeligkkeligt og rettidigt er organisationen
forpligtet til at holde databeskyttelsesraringdgiveren tilstraeligkkeligt og rettidigt orienteret om alle
sposlashrgsmaringl om beskyttelse af personoplysninger
Som tommelfingerregel skal databeskyttelsesraringdgiveren have mulighed for at vurdere overhol-
delsen af de databeskyttelsesretlige regler og komme med bemaeligrkninger eller lignende inden
en behandling af personoplysninger igangsaeligttes
Hvornaringr er inddragelsen rettidig
Databeskyttelsesraringdgiveren skal inddrages i saring god tid som det er muligt forud for ivaeligrksaeligttel-
sen af behandling af personoplysninger
Det er afgoslashrende at databeskyttelsesraringdgiveren inddrages i tide til at kunne foretage en reel
vurdering af om den paringtaelignkte behandling af personoplysninger er i overensstemmelse med de
databeskyttelsesretlige regler og dermed kan komme med kvalificerede bemaeligrkninger herom
med henblik paring at raringdgive organisationen
Eksempler paring rettidig inddragelse
Inddrages forud for beslutning om noslashdvendige
foranstaltninger i IT-systemer for at efterleve kra-
vene om databeskyttelse gennem design og stan-
dardindstillinger
Inddrages forud for udstedelse af retningslinjer og
procedurer for hvordan de databeskyttelsesret-
lige regler skal overholdes i organisationen
Inddragelse foslashr offentliggoslashrelse af udbudsmateri-
ale i en udbudsproces eller lignende
Eksempler paring ikke-rettidig inddragelse
Inddragelse af databeskyttelsesraringdgiveren efter
et nyt IT-system er faeligrdigudviklet
Inddragelse af databeskyttelsesraringdgiveren efter
indkoslashb af IT-systemer (dermed ikke en del af
overvejelserne vedr kravspecifikation og databe-
skyttelse gennem design og standardindstillin-
ger)
Inddragelse af databeskyttelsesraringdgiveren efter
at en konsekvensanalyse er udarbejdet
Inddragelse af databeskyttelsesraringdgiveren efter
stoslashrre aeligndringer i organisationens procedurer
der vedroslashrer databeskyttelse saringsom haringndtering
af anmodninger fra registrerede personer
Vejledning om databeskyttelsesraringdgivere
27
Behandlingsaktiviteter igangsat foslashr en databeskyttelsesraringdgiver udpeges
Naringr en organisation udpeger en databeskyttelsesraringdgiver vil der selvsagt vaeligre behandlinger af
personoplysninger der allerede er igangsat i organisationen
Databeskyttelsesraringdgiveren boslashr ved udpegelsen primaeligrt have fokus paring de fremadrettede com-
pliance aktiviteter Derudover kan databeskyttelsesraringdgiveren ndash ud fra en risikovurdering i for-
hold til de behandlinger som konkret indebaeligrer hoslashjere risiko ndash inddrages i organisationens
overvejelser om hvorvidt de igangvaeligrende aktiviteter overholder de databeskyttelsesretlige
regler
Hvornaringr er inddragelsen tilstraeligkkelig
Der skal ske en reel inddragelse af databeskyttelsesraringdgiveren i organisationens overvejelser
og beslutninger vedroslashrende databeskyttelse
Det indebaeligrer at organisationen skal inddrage og tage hoslashjde for databeskyttelsesraringdgiverens
bemaeligrkninger og raringdgivning i oslashvrigt samt dennes rapportering til oslashverste ledelsesniveau om
overholdelse af de databeskyttelsesretlige regler
Saringfremt databeskyttelsesraringdgiverens raringdgivning ikke foslashlges anbefales det at organisationen
dokumenterer dette i overensstemmelse med kravet om accountability
Ressourcer og adgang
Ressourcer
For at databeskyttelsesraringdgiveren rent faktisk kan udfoslashre sine opgaver er det noslashdvendigt at
organisationens tilvejebringer de noslashdvendige ressourcer til stoslashtte for databeskyttelsesraringdgive-
ren
Det er endvidere et krav at organisationen tilvejebringer de fornoslashdne ressourcer for at databe-
skyttelsesraringdgiveren kan opretholde sin ekspertise inden for omraringdet
Fastsaeligttelsen af de fornoslashdne ressourcer beror paring en konkret vurdering som afhaelignger af de
organisatoriske forhold i organisationen saringsom stoslashrrelsen antallet af behandlingsaktiviteter
kompleksiteten af behandlingen af personoplysninger samt de forbundne risici
Jo stoslashrre en organisation er des stoslashrre er behovet for ressourcer til stoslashtte for databeskyttelses-
raringdgiveren
Selve behovet for ressourcer beror paring en konkret vurde-
ring som organisationen er ansvarlig for at foretage
Som eksempler paring fornoslashdne ressourcer kan naeligvnes
Faciliteter og arbejdsredskaber
Oslashkonomiske ressourcer
Personaleressourcer og lignende
Vejledning om databeskyttelsesraringdgivere
28
Adgang
Databeskyttelsesraringdgiveren skal ogsaring have adgang til organisationens personoplysninger og
den behandling af disse som organisationen foretager
Der skal vaeligre tale om en vid adgang som kan tilvejebringes efter behov
Uafhaeligngighed
Det er et grundlaeligggende krav at en databeskyttelsesraringdgiver ikke maring blive instrueret af andre
om hvordan raringdgiveren skal udfoslashre sine opgaver Der gaeliglder saringledes foslashlgende for databeskyt-
telsesraringdgiveren
Maring ikke som led i sin funktion som databeskyttelsesraringdgiver modtage instruks om
hvordan denne skal udfoslashre sine opgaver (eller feks om en bestemt vurdering el-
ler fortolkning af forordningen)
Maring ikke afskediges eller sanktioneres for at udfoslashre sine opgaver
Rapporterer direkte til oslashverste ledelsesniveau
Databeskyttelsesraringdgiverens interne reaktionsmuligheder er i praksis taeligt forbundne med at
ovenstaringende krav til uafhaeligngighed efterleves Idet en databeskyttelsesraringdgiver ikke har instruk-
tionsbefoslashjelser over for andre dele af den dataansvarliges organisation er det i praksis mulighe-
den for at kunne rapportere direkte til oslashverste ledelsesniveau der er raringdgiverens interne virke-
middel overfor konstaterede brud paring forordningen
Hvor det oslashverste ledelsesniveau er afhaelignger af organiseringen hos den konkrete dataansvarlige
eller databehandleren
I forhold til det private erhvervsliv fremgaringr det af selskabsloven at det er bestyrelsen der er det
centrale eller oslashverste ledelsesorgan i selskaber der baringde har en bestyrelse og en direktion Naringr
der i databeskyttelsesforordningen henvises til det oslashverste ledelsesniveau maring det i det private
forstarings i relation til den daglige drift og dermed direktionen saringfremt selskabet har baringde en besty-
relse og en direktion Det vil i praksis betyde at direktionen skal orientere bestyrelsen om vaelig-
sentlige forhold som paringpeges af databeskyttelsesraringdgiveren
For statslige myndigheder maring den oslashverste ledelse forstarings som den oslashverste administrative le-
delse
For saring vidt angaringr kommuner og regioner gaeliglder at databeskyttelsesraringdgiveren rapporterer di-
rekte til kommunalbestyrelsen henholdsvis regionsraringdet Denne rapportering forelaeliggges for kom-
munalbestyrelsen henholdsvis regionsraringdet uden den forudgaringende udvalgsbehandling som de
kommunale og regionale sager ellers normalt skal undergives Dette udelukker dog ikke at en
kommune kan indhente en erklaeligring fra oslashkonomiudvalget forinden forelaeligggelse for kommunal-
bestyrelsen
55 Beskyttelse af databeskyttelsesraringdgiveren
Funktionen som databeskyttelsesraringdgiver er beskyttet ved et forbud mod at kunne blive afskedi-
get for udfoslashrelse af opgaverne som databeskyttelsesraringdgiver
Vejledning om databeskyttelsesraringdgivere
29
Usaglig afskedigelse af en databeskyttelsesraringdgiver er sanktioneret med en boslashde
Databeskyttelsesraringdgiveren vil kunne afskediges paring et sagligt grundlag efter almindelige ansaeligt-
telsesretlige regler
56 Opsummering
En databeskyttelsesraringdgiver udpeges paring baggrund af sine faglige kvalifikationer
Databeskyttelsesraringdgiveren kan baringde vaeligre en intern medarbejder en faeliglles da-
tabeskyttelsesraringdgiver for hele eller flere organisationer eller en ekstern databe-
skyttelsesraringdgiver
Databeskyttelsesraringdgiveren har en raeligkke opgaver denne som minimum skal va-
retage Derudover anbefales det at man klart definerer hvilke opgaver der paringhvi-
ler databeskyttelsesraringdgiveren
En organisation skal rettidig og tilstraeligkkelig inddrage databeskyttelsesraringdgiveren
i alle sposlashrgsmaringl vedroslashrende beskyttelse af personoplysninger
Databeskyttelsesraringdgiveren nyder en saeligrlig beskyttelse mod usaglig afskedi-
gelse og kan ikke afskediges eller sanktioneres for at udfoslashre sine opgaver som
Databeskyttelsesraringdgiver
Dato
20 december 2017
Justitsministeriet
Slotsholmsgade 10
1216 Koslashbenhavn K
Telefon
72 26 84 00
jmjmdk
Eksempler paring tilfaeliglde hvor en databeskyttelsesraringd-
giver kan afskediges
Ikke udfoslashrer sine arbejdsopgaver
Misligholder ansaeligttelsesforholdet
Samarbejdsvanskeligheder
Vejledning om databeskyttelsesraringdgivere
30
ISBN
978-88-98564-35-7
Foto
Scanpix
Vejledning om databeskyttelsesraringdgivere
21
Dermed kan en intern medarbejder der varetager funktionen som databeskyttelsesraringdgiver ud-
foslashre andre opgaver og have andre pligter i organisationen
Saringledes kan en medarbejder der feks arbejder i IT-sektionen i en organisation godt varetage
funktionen som databeskyttelsesraringdgiver paring deltid eller 10 timer om ugen alt efter behovet i
den enkelte organisation
Det afgoslashrende er at den paringgaeligldende medarbejder fyldestgoslashrende kan udoslashve sit erhverv som
databeskyttelsesraringdgiver i organisationen
Den person der udpeges kan med fordel vaeligre en person som i forvejen har et vist kendskab
til eller indsigt i haringndtering af databeskyttelsesretlige sposlashrgsmaringl i organisationen
Selve vurderingen af hvor meget tid en medarbejder skal bruge paring fyldestgoslashrende at kunne ef-
terleve kravene til en databeskyttelsesraringdgiver i organisationen afhaelignger af en konkret vurde-
ring af behovet hos organisationen
Interne ansatte der ikke kan vaeligre databeskyttelsesraringdgiver
En databeskyttelsesraringdgiver skal baringde vaeligre uafhaeligngig og vaeligre i stand til at udoslashve uvildig raringd-
givning til organisationen
Derfor kan en databeskyttelsesraringdgiver ikke vaeligre den oslashverste IT-ansvarlige eller oslashverste HR-
ansvarlige i en organisation
Eksempel ndash virksomhed med faring ansatte
Virksomheder med faring ansatte herunder feks enkeltmandsvirksomheder vil have svaeligrt ved at
opfylde betingelsen om at en databeskyttelsesraringdgiver ikke kan vaeligre oslashverste IT-ansvarlige eller
oslashverste HR-ansvarlige i en organisation (forudsat at virksomheden i oslashvrigt opfylder betingelserne
for hvornaringr private skal udpege en databeskyttelsesraringdgiver jf naeligrmere om privates forpligtelse
under punkt 3) I en saringdan situation kan virksomheden enten benytte sig af muligheden for at
udpege en faeliglles databeskyttelsesraringdgiver eller anvende en konsulent til opgaven
Databeskyttelsesraringdgiverenhed
Der kan ogsaring udpeges eacuten databeskyttelsesraringdgiver for den paringgaeligldende organisation som un-
derstoslashttes af en enhed saring den paringgaeligldende kan leve op til sine forpligtelser efter forordningen jf
den ovenfor beskrevne ordning for politiet
Faeliglles databeskyttelsesraringdgiver
Saringvel private som offentlige myndigheder kan udpege en faeliglles databeskyttelsesraringdgiver af-
haeligngig af deres struktur og stoslashrrelse
Medarbejdere som ikke har det oslashverste ansvar kan vaeligre databe-
skyttelsesraringdgivere Det betyder at ledende IT-medarbejdere
compliance-officerer eller en it-sikkerheds koordinator mv kan
udoslashve funktionen som databeskyttelsesraringdgiver i organisationen
Vejledning om databeskyttelsesraringdgivere
22
Ekstern medarbejder
Man kan ogsaring vaeliglge at udpege en ekstern databeskyttelsesraringdgiver Dette kan enten vaeligre en
raringdgiver (konsulentvirksomhed) saringsom en bestemt advokat eller revisor eller andre kvalifice-
rede eksterne parter Udoslashvelsen af hvervet som databeskyttelsesraringdgiver vil dog i sagens natur
alene kunne udoslashves i det omfang dette er foreneligt med eventuelle regler ndash herunder etiske
krav ndash for den relevante type af raringdgivervirksomhed mv
53 Databeskyttelsesraringdgiverens opgaver
Databeskyttelsesraringdgiveren funktion bestaringr i at raringdgive den dataansvarlige og hjaeliglpe med at
organisationen efterlever de databeskyttelsesretlige regler
En databeskyttelsesraringdgiver skal desuden prioritere sine opgaver og fokusere paring de behandlin-
ger af personoplysninger i den paringgaeligldende organisation som konkret indebaeligrer en hoslashjere ri-
siko for brud paring de databeskyttelsesretlige regler Dog skal oslashvrige databeskyttelsesretlige omraring-
der som indebaeligrer en lavere grad af risiko ikke undlades
Der er en raeligkke opgaver som databeskyttelsesraringdgiveren som minimum skal varetage Der er
dog ikke noget til hinder for at der overlades flere opgaver til databeskyttelsesraringdgiveren Da-
tabeskyttelsesraringdgiverens rolle som central raringdgivningsfigur i organisationen samt dennes op-
gaver kan med fordel beskrives naeligrmere i en (ansaeligttelses)aftale
Nedenfor foslashlger en naeligrmere beskrivelse af de opgaver som databeskyttelsesraringdgiveren som
minimum skal varetage i en organisation
Underrette og raringdgive organisationen og de ansatte om databeskyttelse
Det indebaeligrer
Konkret raringdgivning om beskyttelse af personoplysninger i organisationen samt
overvejelser og beslutninger om hvordan compliance sikres mv feks i forbin-
delse med foslashlgende
Organisationens indkoslashb af nyt IT-system
kravsspecifikationer til leverandoslashrer
udarbejdelse af organisationens data-politikker
ivaeligrksaeligttelse af behandling af personoplysninger
overvejelser om hvorvidt en given behandling af personoplysninger over-
holder de generelle behandlingsregler
Staring til raringdighed for ansatte samt ledelsen i organisationen vedroslashrende sposlashrgsmaringl
om databeskyttelse
Vejledning om databeskyttelsesraringdgivere
23
Raringdgivning i forbindelse med udarbejdelse af organisationens konsekvensanaly-
ser jf afsnit 3 nedenfor
Modtage underretning om og raringdgive organisationen i forbindelse med brud paring
persondatasikkerheden
Overvaringge overholdelsen af de databeskyttelsesretlige regler i organisationen
Det indebaeligrer bla ogsaring at overvaringge
organisationens politikker om databeskyttelse
uddannelse af personale i databeskyttelse
oplysningskampagner
fordeling af ansvar
revisioner
Det skal hertil bemaeligrkes at databeskyttelsesraringdgiverens opgave med at overvaringge overholdel-
sen af de databeskyttelsesretlige regler i organisationen ikke medfoslashrer at raringdgiveren overtager
selve ansvaret for at behandlingen af personoplysninger sker i overensstemmelse med reg-
lerne Dette ansvar ligger fortsat hos den dataansvarlige
Raringdgivning i forbindelse med udarbejdelse af organisationens konsekvensanalyser
I visse tilfaeliglde skal organisationer udarbejde en konsekvensanalyse af en planlagt behandling
af personoplysninger
I de tilfaeliglde hvor en organisation har udpeget en databeskyttelsesraringdgiver skal denne raringdfoslash-
res naringr der foretages en konsekvensanalyse
Herudover skal databeskyttelsesraringdgiveren raringdgive med hensyn til konsekvensanalysen naringr
der anmodes herom
Som led i overvaringgningsopgaven kan databeskyttel-
sesraringdgiveren foretage foslashlgende
indsamle oplysninger til at identificere
behandlingsaktiviteter
informere raringdgive og komme med an-
befalinger til den dataansvarlige og da-
tabehandleren
Vejledning om databeskyttelsesraringdgivere
24
I tilfaeliglde af uenighed mellem organisationen og databeskyttelsesraringdgiveren anbefales det at
det specifikt fremgaringr af selve konsekvensanalysen hvorfor databeskyttelsesraringdgiverens indstil-
ling ikke er blevet fulgt
Samarbejde med Datatilsynet paring vegne af organisationen
En organisation er forpligtet til at hoslashre Datatilsynet inden behandling hvis en konsekvensana-
lyse vedroslashrende databeskyttelse viser at behandlingen af personoplysninger vil foslashre til hoslashj ri-
siko i mangel af foranstaltninger truffet af organisation for at begraelignse risikoen
Det foslashlger af forordningen at databeskyttelsesraringdgiveren skal samarbejde med tilsynsmyndig-
heden og fungere som tilsynsmyndighedens kontaktperson Det kan feks vaeligre databeskyttel-
sesraringdgiveren der paring vegne af den dataansvarlige hoslashrer tilsynsmyndigheden
Vaeligre kontaktpunkt for tilsynsmyndigheden (Datatilsynet) angaringende alle sposlashrgsmaringl om behand-
ling af personoplysninger for de personer der behandles oplysninger om
Databeskyttelsesraringdgiveren skal inddrages af den dataansvarlige i tilfaeliglde af at konkrete kla-
gesager indbringes for Datatilsynet Databeskyttelsesraringdgiveren boslashr ligeledes orienteres naringr
Datatilsynet beslutter at gennemfoslashre et eventuelt tilsyn af den dataansvarlige
Herudover skal databeskyttelsesraringdgiveren ogsaring vaeligre i stand til at vejlede den person der be-
handles personoplysninger om Det betyder at databeskyttelsesraringdgiveren skal vaeligre i stand til
at vejlede om hvilke rettigheder den paringgaeligldende har og hvordan de kan udnyttes
Det indebaeligrer endvidere at den dataansvarlige skal give meddelelse om kontaktoplysninger paring
databeskyttelsesraringdgiveren
Det anbefales i oslashvrigt at organisationen i en funktionsbeskrivelse klart definerer hvilke opgaver
der paringhviler databeskyttelsesraringdgiveren En funktionsbeskrivelse vil goslashre det tydeligt hvornaringr
Raringdgivning i forhold til konsekvensanalyser kan bla indebaeligre raringdgiv-
ning vedroslashrende
om der skal gennemfoslashres en konsekvensanalyse
hvilken fremgangsmaringde der skal anvendes ved gennemfoslash-
relse af konsekvensanalysen
om konsekvensanalysen kan gennemfoslashres internt eller om
gennemfoslashrelsen kraeligver antagelse af ekstern bistand
hvilke sikkerhedsforanstaltninger (tekniske og organisatori-
ske) som skal anvendes for at begraelignse risici i forhold til
de registreredes rettigheder og interesser
om konsekvensanalysen er korrekt gennemfoslashrt og om
dens konklusioner er i overensstemmelse med de databe-
skyttelsesretlige regler
Vejledning om databeskyttelsesraringdgivere
25
den paringgaeligldende virker som databeskyttelsesraringdgiver og i denne egenskab ikke kan instrueres
Det vil samtidig blive tydeligt hvornaringr den paringgaeligldende udfoslashrer andre opgaver i sit ordinaeligre an-
saeligttelsesforhold i organisationen
54 Krav til organisationen ndash rettidig og tilstraeligkkelig inddragelse af databeskyt-
telsesraringdgiveren
En organisation skal sikre at databeskyttelsesraringdgiveren inddrages tilstraeligkkeligt og rettidigt i
alle sposlashrgsmaringl vedroslashrende beskyttelse af personoplysninger En saringdan inddragelse boslashr ogsaring
ske paring oslashverste ledelsesmaeligssige niveau (feks ved deltagelse paring direktions- og ledelsesmoslashder)
Det anbefales at organisationen implementerer procedurer som sikrer dette
I hvilke tilfaeliglde skal databeskyttelsesraringdgiveren inddrages
Databeskyttelsesraringdgiveren skal inddrages i alle de overvejelser og vurderinger som organisa-
tionen goslashr sig for at overholde kravene i databeskyttelsesforordningen databeskyttelsesloven
og oslashvrige regler for behandling af personoplysninger
Eksempel paring sposlashrgsmaringl hvor databeskyttelsesraringdgiveren boslashr inddrages
ved overvejelser og beslutninger om hvordan organisationens compliance med
databeskyttelsesreglerne sikres
ved overvejelser i forbindelse med datasikkerhed herunder databeskyttelse gen-
nem design og standardindstillinger og
ved udarbejdelse af konsekvensanalyser
Saringfremt databeskyttelsesraringdgiveren udpeges foslashr den 25 maj 2018 kan denne inddrages i or-
ganisationens implementering af de krav der foslashlger af forordningen
Eksempel paring sposlashrgsmaringl hvor databeskyttelsesraringdgiveren ikke
skal inddrages
Konkrete vurderinger ift registreredes rettigheder
feks anmodning paring indsigt ret til at blive glemt
mv
Deltagelse i mindre praktiske eller almindelige
driftsopgaver eller driftsmaeligssige sposlashrgsmaringl knyt-
tet til opsaeligtning af it-systemer
Udarbejdelse af konkrete databehandleraftaler
Behandling af personoplysninger der finder sted i
overensstemmelse med interne regler som den da-
taansvarlige har fastsat forudsat at disse regler er
fastsat under inddragelse af databeskyttelsesraringdgi-
veren
Vejledning om databeskyttelsesraringdgivere
26
Hvordan skal databeskyttelsesraringdgiveren inddrages
For at sikre at databeskyttelsesraringdgiveren inddrages tilstraeligkkeligt og rettidigt er organisationen
forpligtet til at holde databeskyttelsesraringdgiveren tilstraeligkkeligt og rettidigt orienteret om alle
sposlashrgsmaringl om beskyttelse af personoplysninger
Som tommelfingerregel skal databeskyttelsesraringdgiveren have mulighed for at vurdere overhol-
delsen af de databeskyttelsesretlige regler og komme med bemaeligrkninger eller lignende inden
en behandling af personoplysninger igangsaeligttes
Hvornaringr er inddragelsen rettidig
Databeskyttelsesraringdgiveren skal inddrages i saring god tid som det er muligt forud for ivaeligrksaeligttel-
sen af behandling af personoplysninger
Det er afgoslashrende at databeskyttelsesraringdgiveren inddrages i tide til at kunne foretage en reel
vurdering af om den paringtaelignkte behandling af personoplysninger er i overensstemmelse med de
databeskyttelsesretlige regler og dermed kan komme med kvalificerede bemaeligrkninger herom
med henblik paring at raringdgive organisationen
Eksempler paring rettidig inddragelse
Inddrages forud for beslutning om noslashdvendige
foranstaltninger i IT-systemer for at efterleve kra-
vene om databeskyttelse gennem design og stan-
dardindstillinger
Inddrages forud for udstedelse af retningslinjer og
procedurer for hvordan de databeskyttelsesret-
lige regler skal overholdes i organisationen
Inddragelse foslashr offentliggoslashrelse af udbudsmateri-
ale i en udbudsproces eller lignende
Eksempler paring ikke-rettidig inddragelse
Inddragelse af databeskyttelsesraringdgiveren efter
et nyt IT-system er faeligrdigudviklet
Inddragelse af databeskyttelsesraringdgiveren efter
indkoslashb af IT-systemer (dermed ikke en del af
overvejelserne vedr kravspecifikation og databe-
skyttelse gennem design og standardindstillin-
ger)
Inddragelse af databeskyttelsesraringdgiveren efter
at en konsekvensanalyse er udarbejdet
Inddragelse af databeskyttelsesraringdgiveren efter
stoslashrre aeligndringer i organisationens procedurer
der vedroslashrer databeskyttelse saringsom haringndtering
af anmodninger fra registrerede personer
Vejledning om databeskyttelsesraringdgivere
27
Behandlingsaktiviteter igangsat foslashr en databeskyttelsesraringdgiver udpeges
Naringr en organisation udpeger en databeskyttelsesraringdgiver vil der selvsagt vaeligre behandlinger af
personoplysninger der allerede er igangsat i organisationen
Databeskyttelsesraringdgiveren boslashr ved udpegelsen primaeligrt have fokus paring de fremadrettede com-
pliance aktiviteter Derudover kan databeskyttelsesraringdgiveren ndash ud fra en risikovurdering i for-
hold til de behandlinger som konkret indebaeligrer hoslashjere risiko ndash inddrages i organisationens
overvejelser om hvorvidt de igangvaeligrende aktiviteter overholder de databeskyttelsesretlige
regler
Hvornaringr er inddragelsen tilstraeligkkelig
Der skal ske en reel inddragelse af databeskyttelsesraringdgiveren i organisationens overvejelser
og beslutninger vedroslashrende databeskyttelse
Det indebaeligrer at organisationen skal inddrage og tage hoslashjde for databeskyttelsesraringdgiverens
bemaeligrkninger og raringdgivning i oslashvrigt samt dennes rapportering til oslashverste ledelsesniveau om
overholdelse af de databeskyttelsesretlige regler
Saringfremt databeskyttelsesraringdgiverens raringdgivning ikke foslashlges anbefales det at organisationen
dokumenterer dette i overensstemmelse med kravet om accountability
Ressourcer og adgang
Ressourcer
For at databeskyttelsesraringdgiveren rent faktisk kan udfoslashre sine opgaver er det noslashdvendigt at
organisationens tilvejebringer de noslashdvendige ressourcer til stoslashtte for databeskyttelsesraringdgive-
ren
Det er endvidere et krav at organisationen tilvejebringer de fornoslashdne ressourcer for at databe-
skyttelsesraringdgiveren kan opretholde sin ekspertise inden for omraringdet
Fastsaeligttelsen af de fornoslashdne ressourcer beror paring en konkret vurdering som afhaelignger af de
organisatoriske forhold i organisationen saringsom stoslashrrelsen antallet af behandlingsaktiviteter
kompleksiteten af behandlingen af personoplysninger samt de forbundne risici
Jo stoslashrre en organisation er des stoslashrre er behovet for ressourcer til stoslashtte for databeskyttelses-
raringdgiveren
Selve behovet for ressourcer beror paring en konkret vurde-
ring som organisationen er ansvarlig for at foretage
Som eksempler paring fornoslashdne ressourcer kan naeligvnes
Faciliteter og arbejdsredskaber
Oslashkonomiske ressourcer
Personaleressourcer og lignende
Vejledning om databeskyttelsesraringdgivere
28
Adgang
Databeskyttelsesraringdgiveren skal ogsaring have adgang til organisationens personoplysninger og
den behandling af disse som organisationen foretager
Der skal vaeligre tale om en vid adgang som kan tilvejebringes efter behov
Uafhaeligngighed
Det er et grundlaeligggende krav at en databeskyttelsesraringdgiver ikke maring blive instrueret af andre
om hvordan raringdgiveren skal udfoslashre sine opgaver Der gaeliglder saringledes foslashlgende for databeskyt-
telsesraringdgiveren
Maring ikke som led i sin funktion som databeskyttelsesraringdgiver modtage instruks om
hvordan denne skal udfoslashre sine opgaver (eller feks om en bestemt vurdering el-
ler fortolkning af forordningen)
Maring ikke afskediges eller sanktioneres for at udfoslashre sine opgaver
Rapporterer direkte til oslashverste ledelsesniveau
Databeskyttelsesraringdgiverens interne reaktionsmuligheder er i praksis taeligt forbundne med at
ovenstaringende krav til uafhaeligngighed efterleves Idet en databeskyttelsesraringdgiver ikke har instruk-
tionsbefoslashjelser over for andre dele af den dataansvarliges organisation er det i praksis mulighe-
den for at kunne rapportere direkte til oslashverste ledelsesniveau der er raringdgiverens interne virke-
middel overfor konstaterede brud paring forordningen
Hvor det oslashverste ledelsesniveau er afhaelignger af organiseringen hos den konkrete dataansvarlige
eller databehandleren
I forhold til det private erhvervsliv fremgaringr det af selskabsloven at det er bestyrelsen der er det
centrale eller oslashverste ledelsesorgan i selskaber der baringde har en bestyrelse og en direktion Naringr
der i databeskyttelsesforordningen henvises til det oslashverste ledelsesniveau maring det i det private
forstarings i relation til den daglige drift og dermed direktionen saringfremt selskabet har baringde en besty-
relse og en direktion Det vil i praksis betyde at direktionen skal orientere bestyrelsen om vaelig-
sentlige forhold som paringpeges af databeskyttelsesraringdgiveren
For statslige myndigheder maring den oslashverste ledelse forstarings som den oslashverste administrative le-
delse
For saring vidt angaringr kommuner og regioner gaeliglder at databeskyttelsesraringdgiveren rapporterer di-
rekte til kommunalbestyrelsen henholdsvis regionsraringdet Denne rapportering forelaeliggges for kom-
munalbestyrelsen henholdsvis regionsraringdet uden den forudgaringende udvalgsbehandling som de
kommunale og regionale sager ellers normalt skal undergives Dette udelukker dog ikke at en
kommune kan indhente en erklaeligring fra oslashkonomiudvalget forinden forelaeligggelse for kommunal-
bestyrelsen
55 Beskyttelse af databeskyttelsesraringdgiveren
Funktionen som databeskyttelsesraringdgiver er beskyttet ved et forbud mod at kunne blive afskedi-
get for udfoslashrelse af opgaverne som databeskyttelsesraringdgiver
Vejledning om databeskyttelsesraringdgivere
29
Usaglig afskedigelse af en databeskyttelsesraringdgiver er sanktioneret med en boslashde
Databeskyttelsesraringdgiveren vil kunne afskediges paring et sagligt grundlag efter almindelige ansaeligt-
telsesretlige regler
56 Opsummering
En databeskyttelsesraringdgiver udpeges paring baggrund af sine faglige kvalifikationer
Databeskyttelsesraringdgiveren kan baringde vaeligre en intern medarbejder en faeliglles da-
tabeskyttelsesraringdgiver for hele eller flere organisationer eller en ekstern databe-
skyttelsesraringdgiver
Databeskyttelsesraringdgiveren har en raeligkke opgaver denne som minimum skal va-
retage Derudover anbefales det at man klart definerer hvilke opgaver der paringhvi-
ler databeskyttelsesraringdgiveren
En organisation skal rettidig og tilstraeligkkelig inddrage databeskyttelsesraringdgiveren
i alle sposlashrgsmaringl vedroslashrende beskyttelse af personoplysninger
Databeskyttelsesraringdgiveren nyder en saeligrlig beskyttelse mod usaglig afskedi-
gelse og kan ikke afskediges eller sanktioneres for at udfoslashre sine opgaver som
Databeskyttelsesraringdgiver
Dato
20 december 2017
Justitsministeriet
Slotsholmsgade 10
1216 Koslashbenhavn K
Telefon
72 26 84 00
jmjmdk
Eksempler paring tilfaeliglde hvor en databeskyttelsesraringd-
giver kan afskediges
Ikke udfoslashrer sine arbejdsopgaver
Misligholder ansaeligttelsesforholdet
Samarbejdsvanskeligheder
Vejledning om databeskyttelsesraringdgivere
30
ISBN
978-88-98564-35-7
Foto
Scanpix
Vejledning om databeskyttelsesraringdgivere
22
Ekstern medarbejder
Man kan ogsaring vaeliglge at udpege en ekstern databeskyttelsesraringdgiver Dette kan enten vaeligre en
raringdgiver (konsulentvirksomhed) saringsom en bestemt advokat eller revisor eller andre kvalifice-
rede eksterne parter Udoslashvelsen af hvervet som databeskyttelsesraringdgiver vil dog i sagens natur
alene kunne udoslashves i det omfang dette er foreneligt med eventuelle regler ndash herunder etiske
krav ndash for den relevante type af raringdgivervirksomhed mv
53 Databeskyttelsesraringdgiverens opgaver
Databeskyttelsesraringdgiveren funktion bestaringr i at raringdgive den dataansvarlige og hjaeliglpe med at
organisationen efterlever de databeskyttelsesretlige regler
En databeskyttelsesraringdgiver skal desuden prioritere sine opgaver og fokusere paring de behandlin-
ger af personoplysninger i den paringgaeligldende organisation som konkret indebaeligrer en hoslashjere ri-
siko for brud paring de databeskyttelsesretlige regler Dog skal oslashvrige databeskyttelsesretlige omraring-
der som indebaeligrer en lavere grad af risiko ikke undlades
Der er en raeligkke opgaver som databeskyttelsesraringdgiveren som minimum skal varetage Der er
dog ikke noget til hinder for at der overlades flere opgaver til databeskyttelsesraringdgiveren Da-
tabeskyttelsesraringdgiverens rolle som central raringdgivningsfigur i organisationen samt dennes op-
gaver kan med fordel beskrives naeligrmere i en (ansaeligttelses)aftale
Nedenfor foslashlger en naeligrmere beskrivelse af de opgaver som databeskyttelsesraringdgiveren som
minimum skal varetage i en organisation
Underrette og raringdgive organisationen og de ansatte om databeskyttelse
Det indebaeligrer
Konkret raringdgivning om beskyttelse af personoplysninger i organisationen samt
overvejelser og beslutninger om hvordan compliance sikres mv feks i forbin-
delse med foslashlgende
Organisationens indkoslashb af nyt IT-system
kravsspecifikationer til leverandoslashrer
udarbejdelse af organisationens data-politikker
ivaeligrksaeligttelse af behandling af personoplysninger
overvejelser om hvorvidt en given behandling af personoplysninger over-
holder de generelle behandlingsregler
Staring til raringdighed for ansatte samt ledelsen i organisationen vedroslashrende sposlashrgsmaringl
om databeskyttelse
Vejledning om databeskyttelsesraringdgivere
23
Raringdgivning i forbindelse med udarbejdelse af organisationens konsekvensanaly-
ser jf afsnit 3 nedenfor
Modtage underretning om og raringdgive organisationen i forbindelse med brud paring
persondatasikkerheden
Overvaringge overholdelsen af de databeskyttelsesretlige regler i organisationen
Det indebaeligrer bla ogsaring at overvaringge
organisationens politikker om databeskyttelse
uddannelse af personale i databeskyttelse
oplysningskampagner
fordeling af ansvar
revisioner
Det skal hertil bemaeligrkes at databeskyttelsesraringdgiverens opgave med at overvaringge overholdel-
sen af de databeskyttelsesretlige regler i organisationen ikke medfoslashrer at raringdgiveren overtager
selve ansvaret for at behandlingen af personoplysninger sker i overensstemmelse med reg-
lerne Dette ansvar ligger fortsat hos den dataansvarlige
Raringdgivning i forbindelse med udarbejdelse af organisationens konsekvensanalyser
I visse tilfaeliglde skal organisationer udarbejde en konsekvensanalyse af en planlagt behandling
af personoplysninger
I de tilfaeliglde hvor en organisation har udpeget en databeskyttelsesraringdgiver skal denne raringdfoslash-
res naringr der foretages en konsekvensanalyse
Herudover skal databeskyttelsesraringdgiveren raringdgive med hensyn til konsekvensanalysen naringr
der anmodes herom
Som led i overvaringgningsopgaven kan databeskyttel-
sesraringdgiveren foretage foslashlgende
indsamle oplysninger til at identificere
behandlingsaktiviteter
informere raringdgive og komme med an-
befalinger til den dataansvarlige og da-
tabehandleren
Vejledning om databeskyttelsesraringdgivere
24
I tilfaeliglde af uenighed mellem organisationen og databeskyttelsesraringdgiveren anbefales det at
det specifikt fremgaringr af selve konsekvensanalysen hvorfor databeskyttelsesraringdgiverens indstil-
ling ikke er blevet fulgt
Samarbejde med Datatilsynet paring vegne af organisationen
En organisation er forpligtet til at hoslashre Datatilsynet inden behandling hvis en konsekvensana-
lyse vedroslashrende databeskyttelse viser at behandlingen af personoplysninger vil foslashre til hoslashj ri-
siko i mangel af foranstaltninger truffet af organisation for at begraelignse risikoen
Det foslashlger af forordningen at databeskyttelsesraringdgiveren skal samarbejde med tilsynsmyndig-
heden og fungere som tilsynsmyndighedens kontaktperson Det kan feks vaeligre databeskyttel-
sesraringdgiveren der paring vegne af den dataansvarlige hoslashrer tilsynsmyndigheden
Vaeligre kontaktpunkt for tilsynsmyndigheden (Datatilsynet) angaringende alle sposlashrgsmaringl om behand-
ling af personoplysninger for de personer der behandles oplysninger om
Databeskyttelsesraringdgiveren skal inddrages af den dataansvarlige i tilfaeliglde af at konkrete kla-
gesager indbringes for Datatilsynet Databeskyttelsesraringdgiveren boslashr ligeledes orienteres naringr
Datatilsynet beslutter at gennemfoslashre et eventuelt tilsyn af den dataansvarlige
Herudover skal databeskyttelsesraringdgiveren ogsaring vaeligre i stand til at vejlede den person der be-
handles personoplysninger om Det betyder at databeskyttelsesraringdgiveren skal vaeligre i stand til
at vejlede om hvilke rettigheder den paringgaeligldende har og hvordan de kan udnyttes
Det indebaeligrer endvidere at den dataansvarlige skal give meddelelse om kontaktoplysninger paring
databeskyttelsesraringdgiveren
Det anbefales i oslashvrigt at organisationen i en funktionsbeskrivelse klart definerer hvilke opgaver
der paringhviler databeskyttelsesraringdgiveren En funktionsbeskrivelse vil goslashre det tydeligt hvornaringr
Raringdgivning i forhold til konsekvensanalyser kan bla indebaeligre raringdgiv-
ning vedroslashrende
om der skal gennemfoslashres en konsekvensanalyse
hvilken fremgangsmaringde der skal anvendes ved gennemfoslash-
relse af konsekvensanalysen
om konsekvensanalysen kan gennemfoslashres internt eller om
gennemfoslashrelsen kraeligver antagelse af ekstern bistand
hvilke sikkerhedsforanstaltninger (tekniske og organisatori-
ske) som skal anvendes for at begraelignse risici i forhold til
de registreredes rettigheder og interesser
om konsekvensanalysen er korrekt gennemfoslashrt og om
dens konklusioner er i overensstemmelse med de databe-
skyttelsesretlige regler
Vejledning om databeskyttelsesraringdgivere
25
den paringgaeligldende virker som databeskyttelsesraringdgiver og i denne egenskab ikke kan instrueres
Det vil samtidig blive tydeligt hvornaringr den paringgaeligldende udfoslashrer andre opgaver i sit ordinaeligre an-
saeligttelsesforhold i organisationen
54 Krav til organisationen ndash rettidig og tilstraeligkkelig inddragelse af databeskyt-
telsesraringdgiveren
En organisation skal sikre at databeskyttelsesraringdgiveren inddrages tilstraeligkkeligt og rettidigt i
alle sposlashrgsmaringl vedroslashrende beskyttelse af personoplysninger En saringdan inddragelse boslashr ogsaring
ske paring oslashverste ledelsesmaeligssige niveau (feks ved deltagelse paring direktions- og ledelsesmoslashder)
Det anbefales at organisationen implementerer procedurer som sikrer dette
I hvilke tilfaeliglde skal databeskyttelsesraringdgiveren inddrages
Databeskyttelsesraringdgiveren skal inddrages i alle de overvejelser og vurderinger som organisa-
tionen goslashr sig for at overholde kravene i databeskyttelsesforordningen databeskyttelsesloven
og oslashvrige regler for behandling af personoplysninger
Eksempel paring sposlashrgsmaringl hvor databeskyttelsesraringdgiveren boslashr inddrages
ved overvejelser og beslutninger om hvordan organisationens compliance med
databeskyttelsesreglerne sikres
ved overvejelser i forbindelse med datasikkerhed herunder databeskyttelse gen-
nem design og standardindstillinger og
ved udarbejdelse af konsekvensanalyser
Saringfremt databeskyttelsesraringdgiveren udpeges foslashr den 25 maj 2018 kan denne inddrages i or-
ganisationens implementering af de krav der foslashlger af forordningen
Eksempel paring sposlashrgsmaringl hvor databeskyttelsesraringdgiveren ikke
skal inddrages
Konkrete vurderinger ift registreredes rettigheder
feks anmodning paring indsigt ret til at blive glemt
mv
Deltagelse i mindre praktiske eller almindelige
driftsopgaver eller driftsmaeligssige sposlashrgsmaringl knyt-
tet til opsaeligtning af it-systemer
Udarbejdelse af konkrete databehandleraftaler
Behandling af personoplysninger der finder sted i
overensstemmelse med interne regler som den da-
taansvarlige har fastsat forudsat at disse regler er
fastsat under inddragelse af databeskyttelsesraringdgi-
veren
Vejledning om databeskyttelsesraringdgivere
26
Hvordan skal databeskyttelsesraringdgiveren inddrages
For at sikre at databeskyttelsesraringdgiveren inddrages tilstraeligkkeligt og rettidigt er organisationen
forpligtet til at holde databeskyttelsesraringdgiveren tilstraeligkkeligt og rettidigt orienteret om alle
sposlashrgsmaringl om beskyttelse af personoplysninger
Som tommelfingerregel skal databeskyttelsesraringdgiveren have mulighed for at vurdere overhol-
delsen af de databeskyttelsesretlige regler og komme med bemaeligrkninger eller lignende inden
en behandling af personoplysninger igangsaeligttes
Hvornaringr er inddragelsen rettidig
Databeskyttelsesraringdgiveren skal inddrages i saring god tid som det er muligt forud for ivaeligrksaeligttel-
sen af behandling af personoplysninger
Det er afgoslashrende at databeskyttelsesraringdgiveren inddrages i tide til at kunne foretage en reel
vurdering af om den paringtaelignkte behandling af personoplysninger er i overensstemmelse med de
databeskyttelsesretlige regler og dermed kan komme med kvalificerede bemaeligrkninger herom
med henblik paring at raringdgive organisationen
Eksempler paring rettidig inddragelse
Inddrages forud for beslutning om noslashdvendige
foranstaltninger i IT-systemer for at efterleve kra-
vene om databeskyttelse gennem design og stan-
dardindstillinger
Inddrages forud for udstedelse af retningslinjer og
procedurer for hvordan de databeskyttelsesret-
lige regler skal overholdes i organisationen
Inddragelse foslashr offentliggoslashrelse af udbudsmateri-
ale i en udbudsproces eller lignende
Eksempler paring ikke-rettidig inddragelse
Inddragelse af databeskyttelsesraringdgiveren efter
et nyt IT-system er faeligrdigudviklet
Inddragelse af databeskyttelsesraringdgiveren efter
indkoslashb af IT-systemer (dermed ikke en del af
overvejelserne vedr kravspecifikation og databe-
skyttelse gennem design og standardindstillin-
ger)
Inddragelse af databeskyttelsesraringdgiveren efter
at en konsekvensanalyse er udarbejdet
Inddragelse af databeskyttelsesraringdgiveren efter
stoslashrre aeligndringer i organisationens procedurer
der vedroslashrer databeskyttelse saringsom haringndtering
af anmodninger fra registrerede personer
Vejledning om databeskyttelsesraringdgivere
27
Behandlingsaktiviteter igangsat foslashr en databeskyttelsesraringdgiver udpeges
Naringr en organisation udpeger en databeskyttelsesraringdgiver vil der selvsagt vaeligre behandlinger af
personoplysninger der allerede er igangsat i organisationen
Databeskyttelsesraringdgiveren boslashr ved udpegelsen primaeligrt have fokus paring de fremadrettede com-
pliance aktiviteter Derudover kan databeskyttelsesraringdgiveren ndash ud fra en risikovurdering i for-
hold til de behandlinger som konkret indebaeligrer hoslashjere risiko ndash inddrages i organisationens
overvejelser om hvorvidt de igangvaeligrende aktiviteter overholder de databeskyttelsesretlige
regler
Hvornaringr er inddragelsen tilstraeligkkelig
Der skal ske en reel inddragelse af databeskyttelsesraringdgiveren i organisationens overvejelser
og beslutninger vedroslashrende databeskyttelse
Det indebaeligrer at organisationen skal inddrage og tage hoslashjde for databeskyttelsesraringdgiverens
bemaeligrkninger og raringdgivning i oslashvrigt samt dennes rapportering til oslashverste ledelsesniveau om
overholdelse af de databeskyttelsesretlige regler
Saringfremt databeskyttelsesraringdgiverens raringdgivning ikke foslashlges anbefales det at organisationen
dokumenterer dette i overensstemmelse med kravet om accountability
Ressourcer og adgang
Ressourcer
For at databeskyttelsesraringdgiveren rent faktisk kan udfoslashre sine opgaver er det noslashdvendigt at
organisationens tilvejebringer de noslashdvendige ressourcer til stoslashtte for databeskyttelsesraringdgive-
ren
Det er endvidere et krav at organisationen tilvejebringer de fornoslashdne ressourcer for at databe-
skyttelsesraringdgiveren kan opretholde sin ekspertise inden for omraringdet
Fastsaeligttelsen af de fornoslashdne ressourcer beror paring en konkret vurdering som afhaelignger af de
organisatoriske forhold i organisationen saringsom stoslashrrelsen antallet af behandlingsaktiviteter
kompleksiteten af behandlingen af personoplysninger samt de forbundne risici
Jo stoslashrre en organisation er des stoslashrre er behovet for ressourcer til stoslashtte for databeskyttelses-
raringdgiveren
Selve behovet for ressourcer beror paring en konkret vurde-
ring som organisationen er ansvarlig for at foretage
Som eksempler paring fornoslashdne ressourcer kan naeligvnes
Faciliteter og arbejdsredskaber
Oslashkonomiske ressourcer
Personaleressourcer og lignende
Vejledning om databeskyttelsesraringdgivere
28
Adgang
Databeskyttelsesraringdgiveren skal ogsaring have adgang til organisationens personoplysninger og
den behandling af disse som organisationen foretager
Der skal vaeligre tale om en vid adgang som kan tilvejebringes efter behov
Uafhaeligngighed
Det er et grundlaeligggende krav at en databeskyttelsesraringdgiver ikke maring blive instrueret af andre
om hvordan raringdgiveren skal udfoslashre sine opgaver Der gaeliglder saringledes foslashlgende for databeskyt-
telsesraringdgiveren
Maring ikke som led i sin funktion som databeskyttelsesraringdgiver modtage instruks om
hvordan denne skal udfoslashre sine opgaver (eller feks om en bestemt vurdering el-
ler fortolkning af forordningen)
Maring ikke afskediges eller sanktioneres for at udfoslashre sine opgaver
Rapporterer direkte til oslashverste ledelsesniveau
Databeskyttelsesraringdgiverens interne reaktionsmuligheder er i praksis taeligt forbundne med at
ovenstaringende krav til uafhaeligngighed efterleves Idet en databeskyttelsesraringdgiver ikke har instruk-
tionsbefoslashjelser over for andre dele af den dataansvarliges organisation er det i praksis mulighe-
den for at kunne rapportere direkte til oslashverste ledelsesniveau der er raringdgiverens interne virke-
middel overfor konstaterede brud paring forordningen
Hvor det oslashverste ledelsesniveau er afhaelignger af organiseringen hos den konkrete dataansvarlige
eller databehandleren
I forhold til det private erhvervsliv fremgaringr det af selskabsloven at det er bestyrelsen der er det
centrale eller oslashverste ledelsesorgan i selskaber der baringde har en bestyrelse og en direktion Naringr
der i databeskyttelsesforordningen henvises til det oslashverste ledelsesniveau maring det i det private
forstarings i relation til den daglige drift og dermed direktionen saringfremt selskabet har baringde en besty-
relse og en direktion Det vil i praksis betyde at direktionen skal orientere bestyrelsen om vaelig-
sentlige forhold som paringpeges af databeskyttelsesraringdgiveren
For statslige myndigheder maring den oslashverste ledelse forstarings som den oslashverste administrative le-
delse
For saring vidt angaringr kommuner og regioner gaeliglder at databeskyttelsesraringdgiveren rapporterer di-
rekte til kommunalbestyrelsen henholdsvis regionsraringdet Denne rapportering forelaeliggges for kom-
munalbestyrelsen henholdsvis regionsraringdet uden den forudgaringende udvalgsbehandling som de
kommunale og regionale sager ellers normalt skal undergives Dette udelukker dog ikke at en
kommune kan indhente en erklaeligring fra oslashkonomiudvalget forinden forelaeligggelse for kommunal-
bestyrelsen
55 Beskyttelse af databeskyttelsesraringdgiveren
Funktionen som databeskyttelsesraringdgiver er beskyttet ved et forbud mod at kunne blive afskedi-
get for udfoslashrelse af opgaverne som databeskyttelsesraringdgiver
Vejledning om databeskyttelsesraringdgivere
29
Usaglig afskedigelse af en databeskyttelsesraringdgiver er sanktioneret med en boslashde
Databeskyttelsesraringdgiveren vil kunne afskediges paring et sagligt grundlag efter almindelige ansaeligt-
telsesretlige regler
56 Opsummering
En databeskyttelsesraringdgiver udpeges paring baggrund af sine faglige kvalifikationer
Databeskyttelsesraringdgiveren kan baringde vaeligre en intern medarbejder en faeliglles da-
tabeskyttelsesraringdgiver for hele eller flere organisationer eller en ekstern databe-
skyttelsesraringdgiver
Databeskyttelsesraringdgiveren har en raeligkke opgaver denne som minimum skal va-
retage Derudover anbefales det at man klart definerer hvilke opgaver der paringhvi-
ler databeskyttelsesraringdgiveren
En organisation skal rettidig og tilstraeligkkelig inddrage databeskyttelsesraringdgiveren
i alle sposlashrgsmaringl vedroslashrende beskyttelse af personoplysninger
Databeskyttelsesraringdgiveren nyder en saeligrlig beskyttelse mod usaglig afskedi-
gelse og kan ikke afskediges eller sanktioneres for at udfoslashre sine opgaver som
Databeskyttelsesraringdgiver
Dato
20 december 2017
Justitsministeriet
Slotsholmsgade 10
1216 Koslashbenhavn K
Telefon
72 26 84 00
jmjmdk
Eksempler paring tilfaeliglde hvor en databeskyttelsesraringd-
giver kan afskediges
Ikke udfoslashrer sine arbejdsopgaver
Misligholder ansaeligttelsesforholdet
Samarbejdsvanskeligheder
Vejledning om databeskyttelsesraringdgivere
30
ISBN
978-88-98564-35-7
Foto
Scanpix
Vejledning om databeskyttelsesraringdgivere
23
Raringdgivning i forbindelse med udarbejdelse af organisationens konsekvensanaly-
ser jf afsnit 3 nedenfor
Modtage underretning om og raringdgive organisationen i forbindelse med brud paring
persondatasikkerheden
Overvaringge overholdelsen af de databeskyttelsesretlige regler i organisationen
Det indebaeligrer bla ogsaring at overvaringge
organisationens politikker om databeskyttelse
uddannelse af personale i databeskyttelse
oplysningskampagner
fordeling af ansvar
revisioner
Det skal hertil bemaeligrkes at databeskyttelsesraringdgiverens opgave med at overvaringge overholdel-
sen af de databeskyttelsesretlige regler i organisationen ikke medfoslashrer at raringdgiveren overtager
selve ansvaret for at behandlingen af personoplysninger sker i overensstemmelse med reg-
lerne Dette ansvar ligger fortsat hos den dataansvarlige
Raringdgivning i forbindelse med udarbejdelse af organisationens konsekvensanalyser
I visse tilfaeliglde skal organisationer udarbejde en konsekvensanalyse af en planlagt behandling
af personoplysninger
I de tilfaeliglde hvor en organisation har udpeget en databeskyttelsesraringdgiver skal denne raringdfoslash-
res naringr der foretages en konsekvensanalyse
Herudover skal databeskyttelsesraringdgiveren raringdgive med hensyn til konsekvensanalysen naringr
der anmodes herom
Som led i overvaringgningsopgaven kan databeskyttel-
sesraringdgiveren foretage foslashlgende
indsamle oplysninger til at identificere
behandlingsaktiviteter
informere raringdgive og komme med an-
befalinger til den dataansvarlige og da-
tabehandleren
Vejledning om databeskyttelsesraringdgivere
24
I tilfaeliglde af uenighed mellem organisationen og databeskyttelsesraringdgiveren anbefales det at
det specifikt fremgaringr af selve konsekvensanalysen hvorfor databeskyttelsesraringdgiverens indstil-
ling ikke er blevet fulgt
Samarbejde med Datatilsynet paring vegne af organisationen
En organisation er forpligtet til at hoslashre Datatilsynet inden behandling hvis en konsekvensana-
lyse vedroslashrende databeskyttelse viser at behandlingen af personoplysninger vil foslashre til hoslashj ri-
siko i mangel af foranstaltninger truffet af organisation for at begraelignse risikoen
Det foslashlger af forordningen at databeskyttelsesraringdgiveren skal samarbejde med tilsynsmyndig-
heden og fungere som tilsynsmyndighedens kontaktperson Det kan feks vaeligre databeskyttel-
sesraringdgiveren der paring vegne af den dataansvarlige hoslashrer tilsynsmyndigheden
Vaeligre kontaktpunkt for tilsynsmyndigheden (Datatilsynet) angaringende alle sposlashrgsmaringl om behand-
ling af personoplysninger for de personer der behandles oplysninger om
Databeskyttelsesraringdgiveren skal inddrages af den dataansvarlige i tilfaeliglde af at konkrete kla-
gesager indbringes for Datatilsynet Databeskyttelsesraringdgiveren boslashr ligeledes orienteres naringr
Datatilsynet beslutter at gennemfoslashre et eventuelt tilsyn af den dataansvarlige
Herudover skal databeskyttelsesraringdgiveren ogsaring vaeligre i stand til at vejlede den person der be-
handles personoplysninger om Det betyder at databeskyttelsesraringdgiveren skal vaeligre i stand til
at vejlede om hvilke rettigheder den paringgaeligldende har og hvordan de kan udnyttes
Det indebaeligrer endvidere at den dataansvarlige skal give meddelelse om kontaktoplysninger paring
databeskyttelsesraringdgiveren
Det anbefales i oslashvrigt at organisationen i en funktionsbeskrivelse klart definerer hvilke opgaver
der paringhviler databeskyttelsesraringdgiveren En funktionsbeskrivelse vil goslashre det tydeligt hvornaringr
Raringdgivning i forhold til konsekvensanalyser kan bla indebaeligre raringdgiv-
ning vedroslashrende
om der skal gennemfoslashres en konsekvensanalyse
hvilken fremgangsmaringde der skal anvendes ved gennemfoslash-
relse af konsekvensanalysen
om konsekvensanalysen kan gennemfoslashres internt eller om
gennemfoslashrelsen kraeligver antagelse af ekstern bistand
hvilke sikkerhedsforanstaltninger (tekniske og organisatori-
ske) som skal anvendes for at begraelignse risici i forhold til
de registreredes rettigheder og interesser
om konsekvensanalysen er korrekt gennemfoslashrt og om
dens konklusioner er i overensstemmelse med de databe-
skyttelsesretlige regler
Vejledning om databeskyttelsesraringdgivere
25
den paringgaeligldende virker som databeskyttelsesraringdgiver og i denne egenskab ikke kan instrueres
Det vil samtidig blive tydeligt hvornaringr den paringgaeligldende udfoslashrer andre opgaver i sit ordinaeligre an-
saeligttelsesforhold i organisationen
54 Krav til organisationen ndash rettidig og tilstraeligkkelig inddragelse af databeskyt-
telsesraringdgiveren
En organisation skal sikre at databeskyttelsesraringdgiveren inddrages tilstraeligkkeligt og rettidigt i
alle sposlashrgsmaringl vedroslashrende beskyttelse af personoplysninger En saringdan inddragelse boslashr ogsaring
ske paring oslashverste ledelsesmaeligssige niveau (feks ved deltagelse paring direktions- og ledelsesmoslashder)
Det anbefales at organisationen implementerer procedurer som sikrer dette
I hvilke tilfaeliglde skal databeskyttelsesraringdgiveren inddrages
Databeskyttelsesraringdgiveren skal inddrages i alle de overvejelser og vurderinger som organisa-
tionen goslashr sig for at overholde kravene i databeskyttelsesforordningen databeskyttelsesloven
og oslashvrige regler for behandling af personoplysninger
Eksempel paring sposlashrgsmaringl hvor databeskyttelsesraringdgiveren boslashr inddrages
ved overvejelser og beslutninger om hvordan organisationens compliance med
databeskyttelsesreglerne sikres
ved overvejelser i forbindelse med datasikkerhed herunder databeskyttelse gen-
nem design og standardindstillinger og
ved udarbejdelse af konsekvensanalyser
Saringfremt databeskyttelsesraringdgiveren udpeges foslashr den 25 maj 2018 kan denne inddrages i or-
ganisationens implementering af de krav der foslashlger af forordningen
Eksempel paring sposlashrgsmaringl hvor databeskyttelsesraringdgiveren ikke
skal inddrages
Konkrete vurderinger ift registreredes rettigheder
feks anmodning paring indsigt ret til at blive glemt
mv
Deltagelse i mindre praktiske eller almindelige
driftsopgaver eller driftsmaeligssige sposlashrgsmaringl knyt-
tet til opsaeligtning af it-systemer
Udarbejdelse af konkrete databehandleraftaler
Behandling af personoplysninger der finder sted i
overensstemmelse med interne regler som den da-
taansvarlige har fastsat forudsat at disse regler er
fastsat under inddragelse af databeskyttelsesraringdgi-
veren
Vejledning om databeskyttelsesraringdgivere
26
Hvordan skal databeskyttelsesraringdgiveren inddrages
For at sikre at databeskyttelsesraringdgiveren inddrages tilstraeligkkeligt og rettidigt er organisationen
forpligtet til at holde databeskyttelsesraringdgiveren tilstraeligkkeligt og rettidigt orienteret om alle
sposlashrgsmaringl om beskyttelse af personoplysninger
Som tommelfingerregel skal databeskyttelsesraringdgiveren have mulighed for at vurdere overhol-
delsen af de databeskyttelsesretlige regler og komme med bemaeligrkninger eller lignende inden
en behandling af personoplysninger igangsaeligttes
Hvornaringr er inddragelsen rettidig
Databeskyttelsesraringdgiveren skal inddrages i saring god tid som det er muligt forud for ivaeligrksaeligttel-
sen af behandling af personoplysninger
Det er afgoslashrende at databeskyttelsesraringdgiveren inddrages i tide til at kunne foretage en reel
vurdering af om den paringtaelignkte behandling af personoplysninger er i overensstemmelse med de
databeskyttelsesretlige regler og dermed kan komme med kvalificerede bemaeligrkninger herom
med henblik paring at raringdgive organisationen
Eksempler paring rettidig inddragelse
Inddrages forud for beslutning om noslashdvendige
foranstaltninger i IT-systemer for at efterleve kra-
vene om databeskyttelse gennem design og stan-
dardindstillinger
Inddrages forud for udstedelse af retningslinjer og
procedurer for hvordan de databeskyttelsesret-
lige regler skal overholdes i organisationen
Inddragelse foslashr offentliggoslashrelse af udbudsmateri-
ale i en udbudsproces eller lignende
Eksempler paring ikke-rettidig inddragelse
Inddragelse af databeskyttelsesraringdgiveren efter
et nyt IT-system er faeligrdigudviklet
Inddragelse af databeskyttelsesraringdgiveren efter
indkoslashb af IT-systemer (dermed ikke en del af
overvejelserne vedr kravspecifikation og databe-
skyttelse gennem design og standardindstillin-
ger)
Inddragelse af databeskyttelsesraringdgiveren efter
at en konsekvensanalyse er udarbejdet
Inddragelse af databeskyttelsesraringdgiveren efter
stoslashrre aeligndringer i organisationens procedurer
der vedroslashrer databeskyttelse saringsom haringndtering
af anmodninger fra registrerede personer
Vejledning om databeskyttelsesraringdgivere
27
Behandlingsaktiviteter igangsat foslashr en databeskyttelsesraringdgiver udpeges
Naringr en organisation udpeger en databeskyttelsesraringdgiver vil der selvsagt vaeligre behandlinger af
personoplysninger der allerede er igangsat i organisationen
Databeskyttelsesraringdgiveren boslashr ved udpegelsen primaeligrt have fokus paring de fremadrettede com-
pliance aktiviteter Derudover kan databeskyttelsesraringdgiveren ndash ud fra en risikovurdering i for-
hold til de behandlinger som konkret indebaeligrer hoslashjere risiko ndash inddrages i organisationens
overvejelser om hvorvidt de igangvaeligrende aktiviteter overholder de databeskyttelsesretlige
regler
Hvornaringr er inddragelsen tilstraeligkkelig
Der skal ske en reel inddragelse af databeskyttelsesraringdgiveren i organisationens overvejelser
og beslutninger vedroslashrende databeskyttelse
Det indebaeligrer at organisationen skal inddrage og tage hoslashjde for databeskyttelsesraringdgiverens
bemaeligrkninger og raringdgivning i oslashvrigt samt dennes rapportering til oslashverste ledelsesniveau om
overholdelse af de databeskyttelsesretlige regler
Saringfremt databeskyttelsesraringdgiverens raringdgivning ikke foslashlges anbefales det at organisationen
dokumenterer dette i overensstemmelse med kravet om accountability
Ressourcer og adgang
Ressourcer
For at databeskyttelsesraringdgiveren rent faktisk kan udfoslashre sine opgaver er det noslashdvendigt at
organisationens tilvejebringer de noslashdvendige ressourcer til stoslashtte for databeskyttelsesraringdgive-
ren
Det er endvidere et krav at organisationen tilvejebringer de fornoslashdne ressourcer for at databe-
skyttelsesraringdgiveren kan opretholde sin ekspertise inden for omraringdet
Fastsaeligttelsen af de fornoslashdne ressourcer beror paring en konkret vurdering som afhaelignger af de
organisatoriske forhold i organisationen saringsom stoslashrrelsen antallet af behandlingsaktiviteter
kompleksiteten af behandlingen af personoplysninger samt de forbundne risici
Jo stoslashrre en organisation er des stoslashrre er behovet for ressourcer til stoslashtte for databeskyttelses-
raringdgiveren
Selve behovet for ressourcer beror paring en konkret vurde-
ring som organisationen er ansvarlig for at foretage
Som eksempler paring fornoslashdne ressourcer kan naeligvnes
Faciliteter og arbejdsredskaber
Oslashkonomiske ressourcer
Personaleressourcer og lignende
Vejledning om databeskyttelsesraringdgivere
28
Adgang
Databeskyttelsesraringdgiveren skal ogsaring have adgang til organisationens personoplysninger og
den behandling af disse som organisationen foretager
Der skal vaeligre tale om en vid adgang som kan tilvejebringes efter behov
Uafhaeligngighed
Det er et grundlaeligggende krav at en databeskyttelsesraringdgiver ikke maring blive instrueret af andre
om hvordan raringdgiveren skal udfoslashre sine opgaver Der gaeliglder saringledes foslashlgende for databeskyt-
telsesraringdgiveren
Maring ikke som led i sin funktion som databeskyttelsesraringdgiver modtage instruks om
hvordan denne skal udfoslashre sine opgaver (eller feks om en bestemt vurdering el-
ler fortolkning af forordningen)
Maring ikke afskediges eller sanktioneres for at udfoslashre sine opgaver
Rapporterer direkte til oslashverste ledelsesniveau
Databeskyttelsesraringdgiverens interne reaktionsmuligheder er i praksis taeligt forbundne med at
ovenstaringende krav til uafhaeligngighed efterleves Idet en databeskyttelsesraringdgiver ikke har instruk-
tionsbefoslashjelser over for andre dele af den dataansvarliges organisation er det i praksis mulighe-
den for at kunne rapportere direkte til oslashverste ledelsesniveau der er raringdgiverens interne virke-
middel overfor konstaterede brud paring forordningen
Hvor det oslashverste ledelsesniveau er afhaelignger af organiseringen hos den konkrete dataansvarlige
eller databehandleren
I forhold til det private erhvervsliv fremgaringr det af selskabsloven at det er bestyrelsen der er det
centrale eller oslashverste ledelsesorgan i selskaber der baringde har en bestyrelse og en direktion Naringr
der i databeskyttelsesforordningen henvises til det oslashverste ledelsesniveau maring det i det private
forstarings i relation til den daglige drift og dermed direktionen saringfremt selskabet har baringde en besty-
relse og en direktion Det vil i praksis betyde at direktionen skal orientere bestyrelsen om vaelig-
sentlige forhold som paringpeges af databeskyttelsesraringdgiveren
For statslige myndigheder maring den oslashverste ledelse forstarings som den oslashverste administrative le-
delse
For saring vidt angaringr kommuner og regioner gaeliglder at databeskyttelsesraringdgiveren rapporterer di-
rekte til kommunalbestyrelsen henholdsvis regionsraringdet Denne rapportering forelaeliggges for kom-
munalbestyrelsen henholdsvis regionsraringdet uden den forudgaringende udvalgsbehandling som de
kommunale og regionale sager ellers normalt skal undergives Dette udelukker dog ikke at en
kommune kan indhente en erklaeligring fra oslashkonomiudvalget forinden forelaeligggelse for kommunal-
bestyrelsen
55 Beskyttelse af databeskyttelsesraringdgiveren
Funktionen som databeskyttelsesraringdgiver er beskyttet ved et forbud mod at kunne blive afskedi-
get for udfoslashrelse af opgaverne som databeskyttelsesraringdgiver
Vejledning om databeskyttelsesraringdgivere
29
Usaglig afskedigelse af en databeskyttelsesraringdgiver er sanktioneret med en boslashde
Databeskyttelsesraringdgiveren vil kunne afskediges paring et sagligt grundlag efter almindelige ansaeligt-
telsesretlige regler
56 Opsummering
En databeskyttelsesraringdgiver udpeges paring baggrund af sine faglige kvalifikationer
Databeskyttelsesraringdgiveren kan baringde vaeligre en intern medarbejder en faeliglles da-
tabeskyttelsesraringdgiver for hele eller flere organisationer eller en ekstern databe-
skyttelsesraringdgiver
Databeskyttelsesraringdgiveren har en raeligkke opgaver denne som minimum skal va-
retage Derudover anbefales det at man klart definerer hvilke opgaver der paringhvi-
ler databeskyttelsesraringdgiveren
En organisation skal rettidig og tilstraeligkkelig inddrage databeskyttelsesraringdgiveren
i alle sposlashrgsmaringl vedroslashrende beskyttelse af personoplysninger
Databeskyttelsesraringdgiveren nyder en saeligrlig beskyttelse mod usaglig afskedi-
gelse og kan ikke afskediges eller sanktioneres for at udfoslashre sine opgaver som
Databeskyttelsesraringdgiver
Dato
20 december 2017
Justitsministeriet
Slotsholmsgade 10
1216 Koslashbenhavn K
Telefon
72 26 84 00
jmjmdk
Eksempler paring tilfaeliglde hvor en databeskyttelsesraringd-
giver kan afskediges
Ikke udfoslashrer sine arbejdsopgaver
Misligholder ansaeligttelsesforholdet
Samarbejdsvanskeligheder
Vejledning om databeskyttelsesraringdgivere
30
ISBN
978-88-98564-35-7
Foto
Scanpix
Vejledning om databeskyttelsesraringdgivere
24
I tilfaeliglde af uenighed mellem organisationen og databeskyttelsesraringdgiveren anbefales det at
det specifikt fremgaringr af selve konsekvensanalysen hvorfor databeskyttelsesraringdgiverens indstil-
ling ikke er blevet fulgt
Samarbejde med Datatilsynet paring vegne af organisationen
En organisation er forpligtet til at hoslashre Datatilsynet inden behandling hvis en konsekvensana-
lyse vedroslashrende databeskyttelse viser at behandlingen af personoplysninger vil foslashre til hoslashj ri-
siko i mangel af foranstaltninger truffet af organisation for at begraelignse risikoen
Det foslashlger af forordningen at databeskyttelsesraringdgiveren skal samarbejde med tilsynsmyndig-
heden og fungere som tilsynsmyndighedens kontaktperson Det kan feks vaeligre databeskyttel-
sesraringdgiveren der paring vegne af den dataansvarlige hoslashrer tilsynsmyndigheden
Vaeligre kontaktpunkt for tilsynsmyndigheden (Datatilsynet) angaringende alle sposlashrgsmaringl om behand-
ling af personoplysninger for de personer der behandles oplysninger om
Databeskyttelsesraringdgiveren skal inddrages af den dataansvarlige i tilfaeliglde af at konkrete kla-
gesager indbringes for Datatilsynet Databeskyttelsesraringdgiveren boslashr ligeledes orienteres naringr
Datatilsynet beslutter at gennemfoslashre et eventuelt tilsyn af den dataansvarlige
Herudover skal databeskyttelsesraringdgiveren ogsaring vaeligre i stand til at vejlede den person der be-
handles personoplysninger om Det betyder at databeskyttelsesraringdgiveren skal vaeligre i stand til
at vejlede om hvilke rettigheder den paringgaeligldende har og hvordan de kan udnyttes
Det indebaeligrer endvidere at den dataansvarlige skal give meddelelse om kontaktoplysninger paring
databeskyttelsesraringdgiveren
Det anbefales i oslashvrigt at organisationen i en funktionsbeskrivelse klart definerer hvilke opgaver
der paringhviler databeskyttelsesraringdgiveren En funktionsbeskrivelse vil goslashre det tydeligt hvornaringr
Raringdgivning i forhold til konsekvensanalyser kan bla indebaeligre raringdgiv-
ning vedroslashrende
om der skal gennemfoslashres en konsekvensanalyse
hvilken fremgangsmaringde der skal anvendes ved gennemfoslash-
relse af konsekvensanalysen
om konsekvensanalysen kan gennemfoslashres internt eller om
gennemfoslashrelsen kraeligver antagelse af ekstern bistand
hvilke sikkerhedsforanstaltninger (tekniske og organisatori-
ske) som skal anvendes for at begraelignse risici i forhold til
de registreredes rettigheder og interesser
om konsekvensanalysen er korrekt gennemfoslashrt og om
dens konklusioner er i overensstemmelse med de databe-
skyttelsesretlige regler
Vejledning om databeskyttelsesraringdgivere
25
den paringgaeligldende virker som databeskyttelsesraringdgiver og i denne egenskab ikke kan instrueres
Det vil samtidig blive tydeligt hvornaringr den paringgaeligldende udfoslashrer andre opgaver i sit ordinaeligre an-
saeligttelsesforhold i organisationen
54 Krav til organisationen ndash rettidig og tilstraeligkkelig inddragelse af databeskyt-
telsesraringdgiveren
En organisation skal sikre at databeskyttelsesraringdgiveren inddrages tilstraeligkkeligt og rettidigt i
alle sposlashrgsmaringl vedroslashrende beskyttelse af personoplysninger En saringdan inddragelse boslashr ogsaring
ske paring oslashverste ledelsesmaeligssige niveau (feks ved deltagelse paring direktions- og ledelsesmoslashder)
Det anbefales at organisationen implementerer procedurer som sikrer dette
I hvilke tilfaeliglde skal databeskyttelsesraringdgiveren inddrages
Databeskyttelsesraringdgiveren skal inddrages i alle de overvejelser og vurderinger som organisa-
tionen goslashr sig for at overholde kravene i databeskyttelsesforordningen databeskyttelsesloven
og oslashvrige regler for behandling af personoplysninger
Eksempel paring sposlashrgsmaringl hvor databeskyttelsesraringdgiveren boslashr inddrages
ved overvejelser og beslutninger om hvordan organisationens compliance med
databeskyttelsesreglerne sikres
ved overvejelser i forbindelse med datasikkerhed herunder databeskyttelse gen-
nem design og standardindstillinger og
ved udarbejdelse af konsekvensanalyser
Saringfremt databeskyttelsesraringdgiveren udpeges foslashr den 25 maj 2018 kan denne inddrages i or-
ganisationens implementering af de krav der foslashlger af forordningen
Eksempel paring sposlashrgsmaringl hvor databeskyttelsesraringdgiveren ikke
skal inddrages
Konkrete vurderinger ift registreredes rettigheder
feks anmodning paring indsigt ret til at blive glemt
mv
Deltagelse i mindre praktiske eller almindelige
driftsopgaver eller driftsmaeligssige sposlashrgsmaringl knyt-
tet til opsaeligtning af it-systemer
Udarbejdelse af konkrete databehandleraftaler
Behandling af personoplysninger der finder sted i
overensstemmelse med interne regler som den da-
taansvarlige har fastsat forudsat at disse regler er
fastsat under inddragelse af databeskyttelsesraringdgi-
veren
Vejledning om databeskyttelsesraringdgivere
26
Hvordan skal databeskyttelsesraringdgiveren inddrages
For at sikre at databeskyttelsesraringdgiveren inddrages tilstraeligkkeligt og rettidigt er organisationen
forpligtet til at holde databeskyttelsesraringdgiveren tilstraeligkkeligt og rettidigt orienteret om alle
sposlashrgsmaringl om beskyttelse af personoplysninger
Som tommelfingerregel skal databeskyttelsesraringdgiveren have mulighed for at vurdere overhol-
delsen af de databeskyttelsesretlige regler og komme med bemaeligrkninger eller lignende inden
en behandling af personoplysninger igangsaeligttes
Hvornaringr er inddragelsen rettidig
Databeskyttelsesraringdgiveren skal inddrages i saring god tid som det er muligt forud for ivaeligrksaeligttel-
sen af behandling af personoplysninger
Det er afgoslashrende at databeskyttelsesraringdgiveren inddrages i tide til at kunne foretage en reel
vurdering af om den paringtaelignkte behandling af personoplysninger er i overensstemmelse med de
databeskyttelsesretlige regler og dermed kan komme med kvalificerede bemaeligrkninger herom
med henblik paring at raringdgive organisationen
Eksempler paring rettidig inddragelse
Inddrages forud for beslutning om noslashdvendige
foranstaltninger i IT-systemer for at efterleve kra-
vene om databeskyttelse gennem design og stan-
dardindstillinger
Inddrages forud for udstedelse af retningslinjer og
procedurer for hvordan de databeskyttelsesret-
lige regler skal overholdes i organisationen
Inddragelse foslashr offentliggoslashrelse af udbudsmateri-
ale i en udbudsproces eller lignende
Eksempler paring ikke-rettidig inddragelse
Inddragelse af databeskyttelsesraringdgiveren efter
et nyt IT-system er faeligrdigudviklet
Inddragelse af databeskyttelsesraringdgiveren efter
indkoslashb af IT-systemer (dermed ikke en del af
overvejelserne vedr kravspecifikation og databe-
skyttelse gennem design og standardindstillin-
ger)
Inddragelse af databeskyttelsesraringdgiveren efter
at en konsekvensanalyse er udarbejdet
Inddragelse af databeskyttelsesraringdgiveren efter
stoslashrre aeligndringer i organisationens procedurer
der vedroslashrer databeskyttelse saringsom haringndtering
af anmodninger fra registrerede personer
Vejledning om databeskyttelsesraringdgivere
27
Behandlingsaktiviteter igangsat foslashr en databeskyttelsesraringdgiver udpeges
Naringr en organisation udpeger en databeskyttelsesraringdgiver vil der selvsagt vaeligre behandlinger af
personoplysninger der allerede er igangsat i organisationen
Databeskyttelsesraringdgiveren boslashr ved udpegelsen primaeligrt have fokus paring de fremadrettede com-
pliance aktiviteter Derudover kan databeskyttelsesraringdgiveren ndash ud fra en risikovurdering i for-
hold til de behandlinger som konkret indebaeligrer hoslashjere risiko ndash inddrages i organisationens
overvejelser om hvorvidt de igangvaeligrende aktiviteter overholder de databeskyttelsesretlige
regler
Hvornaringr er inddragelsen tilstraeligkkelig
Der skal ske en reel inddragelse af databeskyttelsesraringdgiveren i organisationens overvejelser
og beslutninger vedroslashrende databeskyttelse
Det indebaeligrer at organisationen skal inddrage og tage hoslashjde for databeskyttelsesraringdgiverens
bemaeligrkninger og raringdgivning i oslashvrigt samt dennes rapportering til oslashverste ledelsesniveau om
overholdelse af de databeskyttelsesretlige regler
Saringfremt databeskyttelsesraringdgiverens raringdgivning ikke foslashlges anbefales det at organisationen
dokumenterer dette i overensstemmelse med kravet om accountability
Ressourcer og adgang
Ressourcer
For at databeskyttelsesraringdgiveren rent faktisk kan udfoslashre sine opgaver er det noslashdvendigt at
organisationens tilvejebringer de noslashdvendige ressourcer til stoslashtte for databeskyttelsesraringdgive-
ren
Det er endvidere et krav at organisationen tilvejebringer de fornoslashdne ressourcer for at databe-
skyttelsesraringdgiveren kan opretholde sin ekspertise inden for omraringdet
Fastsaeligttelsen af de fornoslashdne ressourcer beror paring en konkret vurdering som afhaelignger af de
organisatoriske forhold i organisationen saringsom stoslashrrelsen antallet af behandlingsaktiviteter
kompleksiteten af behandlingen af personoplysninger samt de forbundne risici
Jo stoslashrre en organisation er des stoslashrre er behovet for ressourcer til stoslashtte for databeskyttelses-
raringdgiveren
Selve behovet for ressourcer beror paring en konkret vurde-
ring som organisationen er ansvarlig for at foretage
Som eksempler paring fornoslashdne ressourcer kan naeligvnes
Faciliteter og arbejdsredskaber
Oslashkonomiske ressourcer
Personaleressourcer og lignende
Vejledning om databeskyttelsesraringdgivere
28
Adgang
Databeskyttelsesraringdgiveren skal ogsaring have adgang til organisationens personoplysninger og
den behandling af disse som organisationen foretager
Der skal vaeligre tale om en vid adgang som kan tilvejebringes efter behov
Uafhaeligngighed
Det er et grundlaeligggende krav at en databeskyttelsesraringdgiver ikke maring blive instrueret af andre
om hvordan raringdgiveren skal udfoslashre sine opgaver Der gaeliglder saringledes foslashlgende for databeskyt-
telsesraringdgiveren
Maring ikke som led i sin funktion som databeskyttelsesraringdgiver modtage instruks om
hvordan denne skal udfoslashre sine opgaver (eller feks om en bestemt vurdering el-
ler fortolkning af forordningen)
Maring ikke afskediges eller sanktioneres for at udfoslashre sine opgaver
Rapporterer direkte til oslashverste ledelsesniveau
Databeskyttelsesraringdgiverens interne reaktionsmuligheder er i praksis taeligt forbundne med at
ovenstaringende krav til uafhaeligngighed efterleves Idet en databeskyttelsesraringdgiver ikke har instruk-
tionsbefoslashjelser over for andre dele af den dataansvarliges organisation er det i praksis mulighe-
den for at kunne rapportere direkte til oslashverste ledelsesniveau der er raringdgiverens interne virke-
middel overfor konstaterede brud paring forordningen
Hvor det oslashverste ledelsesniveau er afhaelignger af organiseringen hos den konkrete dataansvarlige
eller databehandleren
I forhold til det private erhvervsliv fremgaringr det af selskabsloven at det er bestyrelsen der er det
centrale eller oslashverste ledelsesorgan i selskaber der baringde har en bestyrelse og en direktion Naringr
der i databeskyttelsesforordningen henvises til det oslashverste ledelsesniveau maring det i det private
forstarings i relation til den daglige drift og dermed direktionen saringfremt selskabet har baringde en besty-
relse og en direktion Det vil i praksis betyde at direktionen skal orientere bestyrelsen om vaelig-
sentlige forhold som paringpeges af databeskyttelsesraringdgiveren
For statslige myndigheder maring den oslashverste ledelse forstarings som den oslashverste administrative le-
delse
For saring vidt angaringr kommuner og regioner gaeliglder at databeskyttelsesraringdgiveren rapporterer di-
rekte til kommunalbestyrelsen henholdsvis regionsraringdet Denne rapportering forelaeliggges for kom-
munalbestyrelsen henholdsvis regionsraringdet uden den forudgaringende udvalgsbehandling som de
kommunale og regionale sager ellers normalt skal undergives Dette udelukker dog ikke at en
kommune kan indhente en erklaeligring fra oslashkonomiudvalget forinden forelaeligggelse for kommunal-
bestyrelsen
55 Beskyttelse af databeskyttelsesraringdgiveren
Funktionen som databeskyttelsesraringdgiver er beskyttet ved et forbud mod at kunne blive afskedi-
get for udfoslashrelse af opgaverne som databeskyttelsesraringdgiver
Vejledning om databeskyttelsesraringdgivere
29
Usaglig afskedigelse af en databeskyttelsesraringdgiver er sanktioneret med en boslashde
Databeskyttelsesraringdgiveren vil kunne afskediges paring et sagligt grundlag efter almindelige ansaeligt-
telsesretlige regler
56 Opsummering
En databeskyttelsesraringdgiver udpeges paring baggrund af sine faglige kvalifikationer
Databeskyttelsesraringdgiveren kan baringde vaeligre en intern medarbejder en faeliglles da-
tabeskyttelsesraringdgiver for hele eller flere organisationer eller en ekstern databe-
skyttelsesraringdgiver
Databeskyttelsesraringdgiveren har en raeligkke opgaver denne som minimum skal va-
retage Derudover anbefales det at man klart definerer hvilke opgaver der paringhvi-
ler databeskyttelsesraringdgiveren
En organisation skal rettidig og tilstraeligkkelig inddrage databeskyttelsesraringdgiveren
i alle sposlashrgsmaringl vedroslashrende beskyttelse af personoplysninger
Databeskyttelsesraringdgiveren nyder en saeligrlig beskyttelse mod usaglig afskedi-
gelse og kan ikke afskediges eller sanktioneres for at udfoslashre sine opgaver som
Databeskyttelsesraringdgiver
Dato
20 december 2017
Justitsministeriet
Slotsholmsgade 10
1216 Koslashbenhavn K
Telefon
72 26 84 00
jmjmdk
Eksempler paring tilfaeliglde hvor en databeskyttelsesraringd-
giver kan afskediges
Ikke udfoslashrer sine arbejdsopgaver
Misligholder ansaeligttelsesforholdet
Samarbejdsvanskeligheder
Vejledning om databeskyttelsesraringdgivere
30
ISBN
978-88-98564-35-7
Foto
Scanpix
Vejledning om databeskyttelsesraringdgivere
25
den paringgaeligldende virker som databeskyttelsesraringdgiver og i denne egenskab ikke kan instrueres
Det vil samtidig blive tydeligt hvornaringr den paringgaeligldende udfoslashrer andre opgaver i sit ordinaeligre an-
saeligttelsesforhold i organisationen
54 Krav til organisationen ndash rettidig og tilstraeligkkelig inddragelse af databeskyt-
telsesraringdgiveren
En organisation skal sikre at databeskyttelsesraringdgiveren inddrages tilstraeligkkeligt og rettidigt i
alle sposlashrgsmaringl vedroslashrende beskyttelse af personoplysninger En saringdan inddragelse boslashr ogsaring
ske paring oslashverste ledelsesmaeligssige niveau (feks ved deltagelse paring direktions- og ledelsesmoslashder)
Det anbefales at organisationen implementerer procedurer som sikrer dette
I hvilke tilfaeliglde skal databeskyttelsesraringdgiveren inddrages
Databeskyttelsesraringdgiveren skal inddrages i alle de overvejelser og vurderinger som organisa-
tionen goslashr sig for at overholde kravene i databeskyttelsesforordningen databeskyttelsesloven
og oslashvrige regler for behandling af personoplysninger
Eksempel paring sposlashrgsmaringl hvor databeskyttelsesraringdgiveren boslashr inddrages
ved overvejelser og beslutninger om hvordan organisationens compliance med
databeskyttelsesreglerne sikres
ved overvejelser i forbindelse med datasikkerhed herunder databeskyttelse gen-
nem design og standardindstillinger og
ved udarbejdelse af konsekvensanalyser
Saringfremt databeskyttelsesraringdgiveren udpeges foslashr den 25 maj 2018 kan denne inddrages i or-
ganisationens implementering af de krav der foslashlger af forordningen
Eksempel paring sposlashrgsmaringl hvor databeskyttelsesraringdgiveren ikke
skal inddrages
Konkrete vurderinger ift registreredes rettigheder
feks anmodning paring indsigt ret til at blive glemt
mv
Deltagelse i mindre praktiske eller almindelige
driftsopgaver eller driftsmaeligssige sposlashrgsmaringl knyt-
tet til opsaeligtning af it-systemer
Udarbejdelse af konkrete databehandleraftaler
Behandling af personoplysninger der finder sted i
overensstemmelse med interne regler som den da-
taansvarlige har fastsat forudsat at disse regler er
fastsat under inddragelse af databeskyttelsesraringdgi-
veren
Vejledning om databeskyttelsesraringdgivere
26
Hvordan skal databeskyttelsesraringdgiveren inddrages
For at sikre at databeskyttelsesraringdgiveren inddrages tilstraeligkkeligt og rettidigt er organisationen
forpligtet til at holde databeskyttelsesraringdgiveren tilstraeligkkeligt og rettidigt orienteret om alle
sposlashrgsmaringl om beskyttelse af personoplysninger
Som tommelfingerregel skal databeskyttelsesraringdgiveren have mulighed for at vurdere overhol-
delsen af de databeskyttelsesretlige regler og komme med bemaeligrkninger eller lignende inden
en behandling af personoplysninger igangsaeligttes
Hvornaringr er inddragelsen rettidig
Databeskyttelsesraringdgiveren skal inddrages i saring god tid som det er muligt forud for ivaeligrksaeligttel-
sen af behandling af personoplysninger
Det er afgoslashrende at databeskyttelsesraringdgiveren inddrages i tide til at kunne foretage en reel
vurdering af om den paringtaelignkte behandling af personoplysninger er i overensstemmelse med de
databeskyttelsesretlige regler og dermed kan komme med kvalificerede bemaeligrkninger herom
med henblik paring at raringdgive organisationen
Eksempler paring rettidig inddragelse
Inddrages forud for beslutning om noslashdvendige
foranstaltninger i IT-systemer for at efterleve kra-
vene om databeskyttelse gennem design og stan-
dardindstillinger
Inddrages forud for udstedelse af retningslinjer og
procedurer for hvordan de databeskyttelsesret-
lige regler skal overholdes i organisationen
Inddragelse foslashr offentliggoslashrelse af udbudsmateri-
ale i en udbudsproces eller lignende
Eksempler paring ikke-rettidig inddragelse
Inddragelse af databeskyttelsesraringdgiveren efter
et nyt IT-system er faeligrdigudviklet
Inddragelse af databeskyttelsesraringdgiveren efter
indkoslashb af IT-systemer (dermed ikke en del af
overvejelserne vedr kravspecifikation og databe-
skyttelse gennem design og standardindstillin-
ger)
Inddragelse af databeskyttelsesraringdgiveren efter
at en konsekvensanalyse er udarbejdet
Inddragelse af databeskyttelsesraringdgiveren efter
stoslashrre aeligndringer i organisationens procedurer
der vedroslashrer databeskyttelse saringsom haringndtering
af anmodninger fra registrerede personer
Vejledning om databeskyttelsesraringdgivere
27
Behandlingsaktiviteter igangsat foslashr en databeskyttelsesraringdgiver udpeges
Naringr en organisation udpeger en databeskyttelsesraringdgiver vil der selvsagt vaeligre behandlinger af
personoplysninger der allerede er igangsat i organisationen
Databeskyttelsesraringdgiveren boslashr ved udpegelsen primaeligrt have fokus paring de fremadrettede com-
pliance aktiviteter Derudover kan databeskyttelsesraringdgiveren ndash ud fra en risikovurdering i for-
hold til de behandlinger som konkret indebaeligrer hoslashjere risiko ndash inddrages i organisationens
overvejelser om hvorvidt de igangvaeligrende aktiviteter overholder de databeskyttelsesretlige
regler
Hvornaringr er inddragelsen tilstraeligkkelig
Der skal ske en reel inddragelse af databeskyttelsesraringdgiveren i organisationens overvejelser
og beslutninger vedroslashrende databeskyttelse
Det indebaeligrer at organisationen skal inddrage og tage hoslashjde for databeskyttelsesraringdgiverens
bemaeligrkninger og raringdgivning i oslashvrigt samt dennes rapportering til oslashverste ledelsesniveau om
overholdelse af de databeskyttelsesretlige regler
Saringfremt databeskyttelsesraringdgiverens raringdgivning ikke foslashlges anbefales det at organisationen
dokumenterer dette i overensstemmelse med kravet om accountability
Ressourcer og adgang
Ressourcer
For at databeskyttelsesraringdgiveren rent faktisk kan udfoslashre sine opgaver er det noslashdvendigt at
organisationens tilvejebringer de noslashdvendige ressourcer til stoslashtte for databeskyttelsesraringdgive-
ren
Det er endvidere et krav at organisationen tilvejebringer de fornoslashdne ressourcer for at databe-
skyttelsesraringdgiveren kan opretholde sin ekspertise inden for omraringdet
Fastsaeligttelsen af de fornoslashdne ressourcer beror paring en konkret vurdering som afhaelignger af de
organisatoriske forhold i organisationen saringsom stoslashrrelsen antallet af behandlingsaktiviteter
kompleksiteten af behandlingen af personoplysninger samt de forbundne risici
Jo stoslashrre en organisation er des stoslashrre er behovet for ressourcer til stoslashtte for databeskyttelses-
raringdgiveren
Selve behovet for ressourcer beror paring en konkret vurde-
ring som organisationen er ansvarlig for at foretage
Som eksempler paring fornoslashdne ressourcer kan naeligvnes
Faciliteter og arbejdsredskaber
Oslashkonomiske ressourcer
Personaleressourcer og lignende
Vejledning om databeskyttelsesraringdgivere
28
Adgang
Databeskyttelsesraringdgiveren skal ogsaring have adgang til organisationens personoplysninger og
den behandling af disse som organisationen foretager
Der skal vaeligre tale om en vid adgang som kan tilvejebringes efter behov
Uafhaeligngighed
Det er et grundlaeligggende krav at en databeskyttelsesraringdgiver ikke maring blive instrueret af andre
om hvordan raringdgiveren skal udfoslashre sine opgaver Der gaeliglder saringledes foslashlgende for databeskyt-
telsesraringdgiveren
Maring ikke som led i sin funktion som databeskyttelsesraringdgiver modtage instruks om
hvordan denne skal udfoslashre sine opgaver (eller feks om en bestemt vurdering el-
ler fortolkning af forordningen)
Maring ikke afskediges eller sanktioneres for at udfoslashre sine opgaver
Rapporterer direkte til oslashverste ledelsesniveau
Databeskyttelsesraringdgiverens interne reaktionsmuligheder er i praksis taeligt forbundne med at
ovenstaringende krav til uafhaeligngighed efterleves Idet en databeskyttelsesraringdgiver ikke har instruk-
tionsbefoslashjelser over for andre dele af den dataansvarliges organisation er det i praksis mulighe-
den for at kunne rapportere direkte til oslashverste ledelsesniveau der er raringdgiverens interne virke-
middel overfor konstaterede brud paring forordningen
Hvor det oslashverste ledelsesniveau er afhaelignger af organiseringen hos den konkrete dataansvarlige
eller databehandleren
I forhold til det private erhvervsliv fremgaringr det af selskabsloven at det er bestyrelsen der er det
centrale eller oslashverste ledelsesorgan i selskaber der baringde har en bestyrelse og en direktion Naringr
der i databeskyttelsesforordningen henvises til det oslashverste ledelsesniveau maring det i det private
forstarings i relation til den daglige drift og dermed direktionen saringfremt selskabet har baringde en besty-
relse og en direktion Det vil i praksis betyde at direktionen skal orientere bestyrelsen om vaelig-
sentlige forhold som paringpeges af databeskyttelsesraringdgiveren
For statslige myndigheder maring den oslashverste ledelse forstarings som den oslashverste administrative le-
delse
For saring vidt angaringr kommuner og regioner gaeliglder at databeskyttelsesraringdgiveren rapporterer di-
rekte til kommunalbestyrelsen henholdsvis regionsraringdet Denne rapportering forelaeliggges for kom-
munalbestyrelsen henholdsvis regionsraringdet uden den forudgaringende udvalgsbehandling som de
kommunale og regionale sager ellers normalt skal undergives Dette udelukker dog ikke at en
kommune kan indhente en erklaeligring fra oslashkonomiudvalget forinden forelaeligggelse for kommunal-
bestyrelsen
55 Beskyttelse af databeskyttelsesraringdgiveren
Funktionen som databeskyttelsesraringdgiver er beskyttet ved et forbud mod at kunne blive afskedi-
get for udfoslashrelse af opgaverne som databeskyttelsesraringdgiver
Vejledning om databeskyttelsesraringdgivere
29
Usaglig afskedigelse af en databeskyttelsesraringdgiver er sanktioneret med en boslashde
Databeskyttelsesraringdgiveren vil kunne afskediges paring et sagligt grundlag efter almindelige ansaeligt-
telsesretlige regler
56 Opsummering
En databeskyttelsesraringdgiver udpeges paring baggrund af sine faglige kvalifikationer
Databeskyttelsesraringdgiveren kan baringde vaeligre en intern medarbejder en faeliglles da-
tabeskyttelsesraringdgiver for hele eller flere organisationer eller en ekstern databe-
skyttelsesraringdgiver
Databeskyttelsesraringdgiveren har en raeligkke opgaver denne som minimum skal va-
retage Derudover anbefales det at man klart definerer hvilke opgaver der paringhvi-
ler databeskyttelsesraringdgiveren
En organisation skal rettidig og tilstraeligkkelig inddrage databeskyttelsesraringdgiveren
i alle sposlashrgsmaringl vedroslashrende beskyttelse af personoplysninger
Databeskyttelsesraringdgiveren nyder en saeligrlig beskyttelse mod usaglig afskedi-
gelse og kan ikke afskediges eller sanktioneres for at udfoslashre sine opgaver som
Databeskyttelsesraringdgiver
Dato
20 december 2017
Justitsministeriet
Slotsholmsgade 10
1216 Koslashbenhavn K
Telefon
72 26 84 00
jmjmdk
Eksempler paring tilfaeliglde hvor en databeskyttelsesraringd-
giver kan afskediges
Ikke udfoslashrer sine arbejdsopgaver
Misligholder ansaeligttelsesforholdet
Samarbejdsvanskeligheder
Vejledning om databeskyttelsesraringdgivere
30
ISBN
978-88-98564-35-7
Foto
Scanpix
Vejledning om databeskyttelsesraringdgivere
26
Hvordan skal databeskyttelsesraringdgiveren inddrages
For at sikre at databeskyttelsesraringdgiveren inddrages tilstraeligkkeligt og rettidigt er organisationen
forpligtet til at holde databeskyttelsesraringdgiveren tilstraeligkkeligt og rettidigt orienteret om alle
sposlashrgsmaringl om beskyttelse af personoplysninger
Som tommelfingerregel skal databeskyttelsesraringdgiveren have mulighed for at vurdere overhol-
delsen af de databeskyttelsesretlige regler og komme med bemaeligrkninger eller lignende inden
en behandling af personoplysninger igangsaeligttes
Hvornaringr er inddragelsen rettidig
Databeskyttelsesraringdgiveren skal inddrages i saring god tid som det er muligt forud for ivaeligrksaeligttel-
sen af behandling af personoplysninger
Det er afgoslashrende at databeskyttelsesraringdgiveren inddrages i tide til at kunne foretage en reel
vurdering af om den paringtaelignkte behandling af personoplysninger er i overensstemmelse med de
databeskyttelsesretlige regler og dermed kan komme med kvalificerede bemaeligrkninger herom
med henblik paring at raringdgive organisationen
Eksempler paring rettidig inddragelse
Inddrages forud for beslutning om noslashdvendige
foranstaltninger i IT-systemer for at efterleve kra-
vene om databeskyttelse gennem design og stan-
dardindstillinger
Inddrages forud for udstedelse af retningslinjer og
procedurer for hvordan de databeskyttelsesret-
lige regler skal overholdes i organisationen
Inddragelse foslashr offentliggoslashrelse af udbudsmateri-
ale i en udbudsproces eller lignende
Eksempler paring ikke-rettidig inddragelse
Inddragelse af databeskyttelsesraringdgiveren efter
et nyt IT-system er faeligrdigudviklet
Inddragelse af databeskyttelsesraringdgiveren efter
indkoslashb af IT-systemer (dermed ikke en del af
overvejelserne vedr kravspecifikation og databe-
skyttelse gennem design og standardindstillin-
ger)
Inddragelse af databeskyttelsesraringdgiveren efter
at en konsekvensanalyse er udarbejdet
Inddragelse af databeskyttelsesraringdgiveren efter
stoslashrre aeligndringer i organisationens procedurer
der vedroslashrer databeskyttelse saringsom haringndtering
af anmodninger fra registrerede personer
Vejledning om databeskyttelsesraringdgivere
27
Behandlingsaktiviteter igangsat foslashr en databeskyttelsesraringdgiver udpeges
Naringr en organisation udpeger en databeskyttelsesraringdgiver vil der selvsagt vaeligre behandlinger af
personoplysninger der allerede er igangsat i organisationen
Databeskyttelsesraringdgiveren boslashr ved udpegelsen primaeligrt have fokus paring de fremadrettede com-
pliance aktiviteter Derudover kan databeskyttelsesraringdgiveren ndash ud fra en risikovurdering i for-
hold til de behandlinger som konkret indebaeligrer hoslashjere risiko ndash inddrages i organisationens
overvejelser om hvorvidt de igangvaeligrende aktiviteter overholder de databeskyttelsesretlige
regler
Hvornaringr er inddragelsen tilstraeligkkelig
Der skal ske en reel inddragelse af databeskyttelsesraringdgiveren i organisationens overvejelser
og beslutninger vedroslashrende databeskyttelse
Det indebaeligrer at organisationen skal inddrage og tage hoslashjde for databeskyttelsesraringdgiverens
bemaeligrkninger og raringdgivning i oslashvrigt samt dennes rapportering til oslashverste ledelsesniveau om
overholdelse af de databeskyttelsesretlige regler
Saringfremt databeskyttelsesraringdgiverens raringdgivning ikke foslashlges anbefales det at organisationen
dokumenterer dette i overensstemmelse med kravet om accountability
Ressourcer og adgang
Ressourcer
For at databeskyttelsesraringdgiveren rent faktisk kan udfoslashre sine opgaver er det noslashdvendigt at
organisationens tilvejebringer de noslashdvendige ressourcer til stoslashtte for databeskyttelsesraringdgive-
ren
Det er endvidere et krav at organisationen tilvejebringer de fornoslashdne ressourcer for at databe-
skyttelsesraringdgiveren kan opretholde sin ekspertise inden for omraringdet
Fastsaeligttelsen af de fornoslashdne ressourcer beror paring en konkret vurdering som afhaelignger af de
organisatoriske forhold i organisationen saringsom stoslashrrelsen antallet af behandlingsaktiviteter
kompleksiteten af behandlingen af personoplysninger samt de forbundne risici
Jo stoslashrre en organisation er des stoslashrre er behovet for ressourcer til stoslashtte for databeskyttelses-
raringdgiveren
Selve behovet for ressourcer beror paring en konkret vurde-
ring som organisationen er ansvarlig for at foretage
Som eksempler paring fornoslashdne ressourcer kan naeligvnes
Faciliteter og arbejdsredskaber
Oslashkonomiske ressourcer
Personaleressourcer og lignende
Vejledning om databeskyttelsesraringdgivere
28
Adgang
Databeskyttelsesraringdgiveren skal ogsaring have adgang til organisationens personoplysninger og
den behandling af disse som organisationen foretager
Der skal vaeligre tale om en vid adgang som kan tilvejebringes efter behov
Uafhaeligngighed
Det er et grundlaeligggende krav at en databeskyttelsesraringdgiver ikke maring blive instrueret af andre
om hvordan raringdgiveren skal udfoslashre sine opgaver Der gaeliglder saringledes foslashlgende for databeskyt-
telsesraringdgiveren
Maring ikke som led i sin funktion som databeskyttelsesraringdgiver modtage instruks om
hvordan denne skal udfoslashre sine opgaver (eller feks om en bestemt vurdering el-
ler fortolkning af forordningen)
Maring ikke afskediges eller sanktioneres for at udfoslashre sine opgaver
Rapporterer direkte til oslashverste ledelsesniveau
Databeskyttelsesraringdgiverens interne reaktionsmuligheder er i praksis taeligt forbundne med at
ovenstaringende krav til uafhaeligngighed efterleves Idet en databeskyttelsesraringdgiver ikke har instruk-
tionsbefoslashjelser over for andre dele af den dataansvarliges organisation er det i praksis mulighe-
den for at kunne rapportere direkte til oslashverste ledelsesniveau der er raringdgiverens interne virke-
middel overfor konstaterede brud paring forordningen
Hvor det oslashverste ledelsesniveau er afhaelignger af organiseringen hos den konkrete dataansvarlige
eller databehandleren
I forhold til det private erhvervsliv fremgaringr det af selskabsloven at det er bestyrelsen der er det
centrale eller oslashverste ledelsesorgan i selskaber der baringde har en bestyrelse og en direktion Naringr
der i databeskyttelsesforordningen henvises til det oslashverste ledelsesniveau maring det i det private
forstarings i relation til den daglige drift og dermed direktionen saringfremt selskabet har baringde en besty-
relse og en direktion Det vil i praksis betyde at direktionen skal orientere bestyrelsen om vaelig-
sentlige forhold som paringpeges af databeskyttelsesraringdgiveren
For statslige myndigheder maring den oslashverste ledelse forstarings som den oslashverste administrative le-
delse
For saring vidt angaringr kommuner og regioner gaeliglder at databeskyttelsesraringdgiveren rapporterer di-
rekte til kommunalbestyrelsen henholdsvis regionsraringdet Denne rapportering forelaeliggges for kom-
munalbestyrelsen henholdsvis regionsraringdet uden den forudgaringende udvalgsbehandling som de
kommunale og regionale sager ellers normalt skal undergives Dette udelukker dog ikke at en
kommune kan indhente en erklaeligring fra oslashkonomiudvalget forinden forelaeligggelse for kommunal-
bestyrelsen
55 Beskyttelse af databeskyttelsesraringdgiveren
Funktionen som databeskyttelsesraringdgiver er beskyttet ved et forbud mod at kunne blive afskedi-
get for udfoslashrelse af opgaverne som databeskyttelsesraringdgiver
Vejledning om databeskyttelsesraringdgivere
29
Usaglig afskedigelse af en databeskyttelsesraringdgiver er sanktioneret med en boslashde
Databeskyttelsesraringdgiveren vil kunne afskediges paring et sagligt grundlag efter almindelige ansaeligt-
telsesretlige regler
56 Opsummering
En databeskyttelsesraringdgiver udpeges paring baggrund af sine faglige kvalifikationer
Databeskyttelsesraringdgiveren kan baringde vaeligre en intern medarbejder en faeliglles da-
tabeskyttelsesraringdgiver for hele eller flere organisationer eller en ekstern databe-
skyttelsesraringdgiver
Databeskyttelsesraringdgiveren har en raeligkke opgaver denne som minimum skal va-
retage Derudover anbefales det at man klart definerer hvilke opgaver der paringhvi-
ler databeskyttelsesraringdgiveren
En organisation skal rettidig og tilstraeligkkelig inddrage databeskyttelsesraringdgiveren
i alle sposlashrgsmaringl vedroslashrende beskyttelse af personoplysninger
Databeskyttelsesraringdgiveren nyder en saeligrlig beskyttelse mod usaglig afskedi-
gelse og kan ikke afskediges eller sanktioneres for at udfoslashre sine opgaver som
Databeskyttelsesraringdgiver
Dato
20 december 2017
Justitsministeriet
Slotsholmsgade 10
1216 Koslashbenhavn K
Telefon
72 26 84 00
jmjmdk
Eksempler paring tilfaeliglde hvor en databeskyttelsesraringd-
giver kan afskediges
Ikke udfoslashrer sine arbejdsopgaver
Misligholder ansaeligttelsesforholdet
Samarbejdsvanskeligheder
Vejledning om databeskyttelsesraringdgivere
30
ISBN
978-88-98564-35-7
Foto
Scanpix
Vejledning om databeskyttelsesraringdgivere
27
Behandlingsaktiviteter igangsat foslashr en databeskyttelsesraringdgiver udpeges
Naringr en organisation udpeger en databeskyttelsesraringdgiver vil der selvsagt vaeligre behandlinger af
personoplysninger der allerede er igangsat i organisationen
Databeskyttelsesraringdgiveren boslashr ved udpegelsen primaeligrt have fokus paring de fremadrettede com-
pliance aktiviteter Derudover kan databeskyttelsesraringdgiveren ndash ud fra en risikovurdering i for-
hold til de behandlinger som konkret indebaeligrer hoslashjere risiko ndash inddrages i organisationens
overvejelser om hvorvidt de igangvaeligrende aktiviteter overholder de databeskyttelsesretlige
regler
Hvornaringr er inddragelsen tilstraeligkkelig
Der skal ske en reel inddragelse af databeskyttelsesraringdgiveren i organisationens overvejelser
og beslutninger vedroslashrende databeskyttelse
Det indebaeligrer at organisationen skal inddrage og tage hoslashjde for databeskyttelsesraringdgiverens
bemaeligrkninger og raringdgivning i oslashvrigt samt dennes rapportering til oslashverste ledelsesniveau om
overholdelse af de databeskyttelsesretlige regler
Saringfremt databeskyttelsesraringdgiverens raringdgivning ikke foslashlges anbefales det at organisationen
dokumenterer dette i overensstemmelse med kravet om accountability
Ressourcer og adgang
Ressourcer
For at databeskyttelsesraringdgiveren rent faktisk kan udfoslashre sine opgaver er det noslashdvendigt at
organisationens tilvejebringer de noslashdvendige ressourcer til stoslashtte for databeskyttelsesraringdgive-
ren
Det er endvidere et krav at organisationen tilvejebringer de fornoslashdne ressourcer for at databe-
skyttelsesraringdgiveren kan opretholde sin ekspertise inden for omraringdet
Fastsaeligttelsen af de fornoslashdne ressourcer beror paring en konkret vurdering som afhaelignger af de
organisatoriske forhold i organisationen saringsom stoslashrrelsen antallet af behandlingsaktiviteter
kompleksiteten af behandlingen af personoplysninger samt de forbundne risici
Jo stoslashrre en organisation er des stoslashrre er behovet for ressourcer til stoslashtte for databeskyttelses-
raringdgiveren
Selve behovet for ressourcer beror paring en konkret vurde-
ring som organisationen er ansvarlig for at foretage
Som eksempler paring fornoslashdne ressourcer kan naeligvnes
Faciliteter og arbejdsredskaber
Oslashkonomiske ressourcer
Personaleressourcer og lignende
Vejledning om databeskyttelsesraringdgivere
28
Adgang
Databeskyttelsesraringdgiveren skal ogsaring have adgang til organisationens personoplysninger og
den behandling af disse som organisationen foretager
Der skal vaeligre tale om en vid adgang som kan tilvejebringes efter behov
Uafhaeligngighed
Det er et grundlaeligggende krav at en databeskyttelsesraringdgiver ikke maring blive instrueret af andre
om hvordan raringdgiveren skal udfoslashre sine opgaver Der gaeliglder saringledes foslashlgende for databeskyt-
telsesraringdgiveren
Maring ikke som led i sin funktion som databeskyttelsesraringdgiver modtage instruks om
hvordan denne skal udfoslashre sine opgaver (eller feks om en bestemt vurdering el-
ler fortolkning af forordningen)
Maring ikke afskediges eller sanktioneres for at udfoslashre sine opgaver
Rapporterer direkte til oslashverste ledelsesniveau
Databeskyttelsesraringdgiverens interne reaktionsmuligheder er i praksis taeligt forbundne med at
ovenstaringende krav til uafhaeligngighed efterleves Idet en databeskyttelsesraringdgiver ikke har instruk-
tionsbefoslashjelser over for andre dele af den dataansvarliges organisation er det i praksis mulighe-
den for at kunne rapportere direkte til oslashverste ledelsesniveau der er raringdgiverens interne virke-
middel overfor konstaterede brud paring forordningen
Hvor det oslashverste ledelsesniveau er afhaelignger af organiseringen hos den konkrete dataansvarlige
eller databehandleren
I forhold til det private erhvervsliv fremgaringr det af selskabsloven at det er bestyrelsen der er det
centrale eller oslashverste ledelsesorgan i selskaber der baringde har en bestyrelse og en direktion Naringr
der i databeskyttelsesforordningen henvises til det oslashverste ledelsesniveau maring det i det private
forstarings i relation til den daglige drift og dermed direktionen saringfremt selskabet har baringde en besty-
relse og en direktion Det vil i praksis betyde at direktionen skal orientere bestyrelsen om vaelig-
sentlige forhold som paringpeges af databeskyttelsesraringdgiveren
For statslige myndigheder maring den oslashverste ledelse forstarings som den oslashverste administrative le-
delse
For saring vidt angaringr kommuner og regioner gaeliglder at databeskyttelsesraringdgiveren rapporterer di-
rekte til kommunalbestyrelsen henholdsvis regionsraringdet Denne rapportering forelaeliggges for kom-
munalbestyrelsen henholdsvis regionsraringdet uden den forudgaringende udvalgsbehandling som de
kommunale og regionale sager ellers normalt skal undergives Dette udelukker dog ikke at en
kommune kan indhente en erklaeligring fra oslashkonomiudvalget forinden forelaeligggelse for kommunal-
bestyrelsen
55 Beskyttelse af databeskyttelsesraringdgiveren
Funktionen som databeskyttelsesraringdgiver er beskyttet ved et forbud mod at kunne blive afskedi-
get for udfoslashrelse af opgaverne som databeskyttelsesraringdgiver
Vejledning om databeskyttelsesraringdgivere
29
Usaglig afskedigelse af en databeskyttelsesraringdgiver er sanktioneret med en boslashde
Databeskyttelsesraringdgiveren vil kunne afskediges paring et sagligt grundlag efter almindelige ansaeligt-
telsesretlige regler
56 Opsummering
En databeskyttelsesraringdgiver udpeges paring baggrund af sine faglige kvalifikationer
Databeskyttelsesraringdgiveren kan baringde vaeligre en intern medarbejder en faeliglles da-
tabeskyttelsesraringdgiver for hele eller flere organisationer eller en ekstern databe-
skyttelsesraringdgiver
Databeskyttelsesraringdgiveren har en raeligkke opgaver denne som minimum skal va-
retage Derudover anbefales det at man klart definerer hvilke opgaver der paringhvi-
ler databeskyttelsesraringdgiveren
En organisation skal rettidig og tilstraeligkkelig inddrage databeskyttelsesraringdgiveren
i alle sposlashrgsmaringl vedroslashrende beskyttelse af personoplysninger
Databeskyttelsesraringdgiveren nyder en saeligrlig beskyttelse mod usaglig afskedi-
gelse og kan ikke afskediges eller sanktioneres for at udfoslashre sine opgaver som
Databeskyttelsesraringdgiver
Dato
20 december 2017
Justitsministeriet
Slotsholmsgade 10
1216 Koslashbenhavn K
Telefon
72 26 84 00
jmjmdk
Eksempler paring tilfaeliglde hvor en databeskyttelsesraringd-
giver kan afskediges
Ikke udfoslashrer sine arbejdsopgaver
Misligholder ansaeligttelsesforholdet
Samarbejdsvanskeligheder
Vejledning om databeskyttelsesraringdgivere
30
ISBN
978-88-98564-35-7
Foto
Scanpix
Vejledning om databeskyttelsesraringdgivere
28
Adgang
Databeskyttelsesraringdgiveren skal ogsaring have adgang til organisationens personoplysninger og
den behandling af disse som organisationen foretager
Der skal vaeligre tale om en vid adgang som kan tilvejebringes efter behov
Uafhaeligngighed
Det er et grundlaeligggende krav at en databeskyttelsesraringdgiver ikke maring blive instrueret af andre
om hvordan raringdgiveren skal udfoslashre sine opgaver Der gaeliglder saringledes foslashlgende for databeskyt-
telsesraringdgiveren
Maring ikke som led i sin funktion som databeskyttelsesraringdgiver modtage instruks om
hvordan denne skal udfoslashre sine opgaver (eller feks om en bestemt vurdering el-
ler fortolkning af forordningen)
Maring ikke afskediges eller sanktioneres for at udfoslashre sine opgaver
Rapporterer direkte til oslashverste ledelsesniveau
Databeskyttelsesraringdgiverens interne reaktionsmuligheder er i praksis taeligt forbundne med at
ovenstaringende krav til uafhaeligngighed efterleves Idet en databeskyttelsesraringdgiver ikke har instruk-
tionsbefoslashjelser over for andre dele af den dataansvarliges organisation er det i praksis mulighe-
den for at kunne rapportere direkte til oslashverste ledelsesniveau der er raringdgiverens interne virke-
middel overfor konstaterede brud paring forordningen
Hvor det oslashverste ledelsesniveau er afhaelignger af organiseringen hos den konkrete dataansvarlige
eller databehandleren
I forhold til det private erhvervsliv fremgaringr det af selskabsloven at det er bestyrelsen der er det
centrale eller oslashverste ledelsesorgan i selskaber der baringde har en bestyrelse og en direktion Naringr
der i databeskyttelsesforordningen henvises til det oslashverste ledelsesniveau maring det i det private
forstarings i relation til den daglige drift og dermed direktionen saringfremt selskabet har baringde en besty-
relse og en direktion Det vil i praksis betyde at direktionen skal orientere bestyrelsen om vaelig-
sentlige forhold som paringpeges af databeskyttelsesraringdgiveren
For statslige myndigheder maring den oslashverste ledelse forstarings som den oslashverste administrative le-
delse
For saring vidt angaringr kommuner og regioner gaeliglder at databeskyttelsesraringdgiveren rapporterer di-
rekte til kommunalbestyrelsen henholdsvis regionsraringdet Denne rapportering forelaeliggges for kom-
munalbestyrelsen henholdsvis regionsraringdet uden den forudgaringende udvalgsbehandling som de
kommunale og regionale sager ellers normalt skal undergives Dette udelukker dog ikke at en
kommune kan indhente en erklaeligring fra oslashkonomiudvalget forinden forelaeligggelse for kommunal-
bestyrelsen
55 Beskyttelse af databeskyttelsesraringdgiveren
Funktionen som databeskyttelsesraringdgiver er beskyttet ved et forbud mod at kunne blive afskedi-
get for udfoslashrelse af opgaverne som databeskyttelsesraringdgiver
Vejledning om databeskyttelsesraringdgivere
29
Usaglig afskedigelse af en databeskyttelsesraringdgiver er sanktioneret med en boslashde
Databeskyttelsesraringdgiveren vil kunne afskediges paring et sagligt grundlag efter almindelige ansaeligt-
telsesretlige regler
56 Opsummering
En databeskyttelsesraringdgiver udpeges paring baggrund af sine faglige kvalifikationer
Databeskyttelsesraringdgiveren kan baringde vaeligre en intern medarbejder en faeliglles da-
tabeskyttelsesraringdgiver for hele eller flere organisationer eller en ekstern databe-
skyttelsesraringdgiver
Databeskyttelsesraringdgiveren har en raeligkke opgaver denne som minimum skal va-
retage Derudover anbefales det at man klart definerer hvilke opgaver der paringhvi-
ler databeskyttelsesraringdgiveren
En organisation skal rettidig og tilstraeligkkelig inddrage databeskyttelsesraringdgiveren
i alle sposlashrgsmaringl vedroslashrende beskyttelse af personoplysninger
Databeskyttelsesraringdgiveren nyder en saeligrlig beskyttelse mod usaglig afskedi-
gelse og kan ikke afskediges eller sanktioneres for at udfoslashre sine opgaver som
Databeskyttelsesraringdgiver
Dato
20 december 2017
Justitsministeriet
Slotsholmsgade 10
1216 Koslashbenhavn K
Telefon
72 26 84 00
jmjmdk
Eksempler paring tilfaeliglde hvor en databeskyttelsesraringd-
giver kan afskediges
Ikke udfoslashrer sine arbejdsopgaver
Misligholder ansaeligttelsesforholdet
Samarbejdsvanskeligheder
Vejledning om databeskyttelsesraringdgivere
30
ISBN
978-88-98564-35-7
Foto
Scanpix
Vejledning om databeskyttelsesraringdgivere
29
Usaglig afskedigelse af en databeskyttelsesraringdgiver er sanktioneret med en boslashde
Databeskyttelsesraringdgiveren vil kunne afskediges paring et sagligt grundlag efter almindelige ansaeligt-
telsesretlige regler
56 Opsummering
En databeskyttelsesraringdgiver udpeges paring baggrund af sine faglige kvalifikationer
Databeskyttelsesraringdgiveren kan baringde vaeligre en intern medarbejder en faeliglles da-
tabeskyttelsesraringdgiver for hele eller flere organisationer eller en ekstern databe-
skyttelsesraringdgiver
Databeskyttelsesraringdgiveren har en raeligkke opgaver denne som minimum skal va-
retage Derudover anbefales det at man klart definerer hvilke opgaver der paringhvi-
ler databeskyttelsesraringdgiveren
En organisation skal rettidig og tilstraeligkkelig inddrage databeskyttelsesraringdgiveren
i alle sposlashrgsmaringl vedroslashrende beskyttelse af personoplysninger
Databeskyttelsesraringdgiveren nyder en saeligrlig beskyttelse mod usaglig afskedi-
gelse og kan ikke afskediges eller sanktioneres for at udfoslashre sine opgaver som
Databeskyttelsesraringdgiver
Dato
20 december 2017
Justitsministeriet
Slotsholmsgade 10
1216 Koslashbenhavn K
Telefon
72 26 84 00
jmjmdk
Eksempler paring tilfaeliglde hvor en databeskyttelsesraringd-
giver kan afskediges
Ikke udfoslashrer sine arbejdsopgaver
Misligholder ansaeligttelsesforholdet
Samarbejdsvanskeligheder
Vejledning om databeskyttelsesraringdgivere
30
ISBN
978-88-98564-35-7
Foto
Scanpix