vejledning om databeskyttelses- rådgivere · ringen af, om der er tale om en behandling af...

Vejledning om databeskyttelsesraringdgivere

0

t

Vejledning om

databeskyttelses-

raringdgivere

December 2017


1

Indhold

1 Forord ____________________________________________________ 3

11 Databeskyttelsesraringdgivere ndash oslashget fokus paring ansvarlighed (rdquoaccountabilityrdquo) _____ 3

12 Andre relevante kilder ______________________________________________ 4

2 Hvad er en databeskyttelsesraringdgiver ___________________________ 5

21 Relationen mellem den dataansvarlige og databeskyttelsesraringdgiveren ________ 5

3 Privates forpligtelse til at udpege en databeskyttelsesraringdgiver ________ 6

31 Hvornaringr skal private udpege en databeskyttelsesraringdgiver _________________ 6

311 Betingelse nr 1 rdquokerneaktivitetrdquo _________________________________ 7

312 Betingelse nr 2 rdquoet stort omfangrdquo ________________________________ 8

313 Betingelse nr 3 rdquoregelmaeligssig og systematisk overvaringgningrdquo eller

rdquobehandling af foslashlsomme oplysninger eller oplysninger om strafbare forholdrdquo __ 10

32 Frivillig udnaeligvnelse af en databeskyttelsesraringdgiver ________________________ 12

33 Faeliglles databeskyttelsesraringdgiver _______________________________________ 12

34 Opsummering ______________________________________________________ 13

4 Offentlige myndigheders forpligtelse til at udpege en

databeskyttelsesraringdgiver ____________________________________ 14

41 Hvornaringr skal offentlige myndigheder udpege en databeskyttelsesraringdgiver ______ 14

42 Hvornaringr er man en offentlig myndighed _________________________________ 14

43 Faeliglles databeskyttelsesraringdgiver for offentlige myndigheder __________________ 15

Kommuner _____________________________________________________ 17

Eksempel - Ministerier og underordnede myndigheder ____________________ 18

Eksempel - Selvejende institutioner __________________________________ 19

44 Opsummering ______________________________________________________ 19

5 Databeskyttelsesraringdgiveren __________________________________ 20

51 Krav til faglige kvalifikationer ________________________________________ 20

52 Hvem kan vaeligre databeskyttelsesraringdgiver ____________________________ 20

Intern medarbejder _______________________________________________ 20

Faeliglles databeskyttelsesraringdgiver_____________________________________ 21

Ekstern medarbejder ______________________________________________ 22

53 Databeskyttelsesraringdgiverens opgaver ________________________________ 22

54 Krav til organisationen ndash rettidig og tilstraeligkkelig inddragelse af

databeskyttelsesraringdgiveren ________________________________________ 25

I hvilke tilfaeliglde skal databeskyttelsesraringdgiveren inddrages _______________ 25


2

Hvordan skal databeskyttelsesraringdgiveren inddrages ____________________ 26

Hvornaringr er inddragelsen rettidig ____________________________________ 26

Hvornaringr er inddragelsen tilstraeligkkelig ________________________________ 27

Ressourcer og adgang ____________________________________________ 27

Uafhaeligngighed __________________________________________________ 28

55 Beskyttelse af databeskyttelsesraringdgiveren _____________________________ 28

56 Opsummering ___________________________________________________ 29


3

1 Forord

Denne vejledning har til formaringl at redegoslashre for kravene i forordningen til at udpege en databe-

skyttelsesraringdgiver dennes opgaver kvalifikationer stilling og inddragelse

Databeskyttelsesforordningen og databeskyttelsesloven finder anvendelse i Danmark og resten

af EU fra den 25 maj 2018 Forordningen stiller blandt andet krav om at offentlige myndigheder

og organer er forpligtede til at udpege en databeskyttelsesraringdgiver Private er derimod kun i faring

tilfaeliglde forpligtet til at udpege en databeskyttelsesraringdgiver

I det omfang en organisation er forpligtet til at udpege en databeskyttelsesraringdgiver skal dette

senest ske fra den 25 maj 2018

Afsnit 2 omhandler en beskrivelse af databeskyttelsesraringdgiveren

Afsnit 3 omhandler hvornaringr private er forpligtet til at udpege en databeskyttelsesraringdgiver mu-

ligheden for at udpege en faeliglles databeskyttelsesraringdgiver og frivillig udnaeligvnelse af en databe-

skyttelsesraringdgiver

Afsnit 4 omhandler offentlige myndigheder og organers forpligtelse til at udpege en databeskyt-

telsesraringdgiver og muligheden for at udpege en faeliglles databeskyttelsesraringdgiver

Afsnit 5 omhandler selve funktionen som databeskyttelsesraringdgiver herunder kravene til dennes

faglige kvalifikationer stilling opgaver og inddragelse i organisationen

11 Databeskyttelsesraringdgivere ndash oslashget fokus paring ansvarlighed (rdquoaccountabilityrdquo)

Forpligtelsen til at skulle udpege en databeskyttelsesraringdgiver kan ses som et element i databe-

skyttelsesforordningens fokus paring ansvarlighed naringr det kommer til efterlevelse af databeskyttel-

sesreglerne

Alle dataansvarlige skal saringledes uanset om de er underlagt forpligtelsen til at udpege en data-

beskyttelsesraringdgiver eller ej efterleve kravene i forordningens artikel 24 der generelt fastlaeliggger

den dataansvarliges forpligtelser

Endvidere er det en forudsaeligtning for at kunne overholde de grundlaeligggende principper om be-

handling af personoplysninger i forordningens artikel 5 at alle dataansvarlige og databehandlere

har et overblik over hvilke personoplysninger der behandles og hvordan disse behandles i orga-

nisationen

Som foslashlge af princippet om ansvarlighed boslashr alle organisationer baringde private og offentlige data-

ansvarlige og databehandlere uanset om de er forpligtede til at udpege en databeskyttelsesraringd-

giver derfor tage stilling til hvor i organisationen ansvaret for og haringndteringen af databeskyttel-

sessposlashrgsmaringl boslashr ligge


4

Der kan i den forbindelse henvises til Datatilsynets vejledning om forberedelse forud for EUrsquos

databeskyttelsesforordning som er tilgaeligngelig paring tilsynets hjemmeside wwwdatatilsynetdk

Der kan ligeledes henvises til en oversigt over de oslashvrige supplerende vejledninger om databe-

skyttelsesforordningen som vil blive offentliggjort forud for at forordningen finder anvendelse

12 Andre relevante kilder

Der kan i oslashvrigt henvises til Artikel 29-gruppens udtalelser herunder om databeskyttelsesraringdgi-

verehttpeceuropaeuinformation_societynewsroomimagedocument2016-

51wp243_en_40855pdf Artikel 29-gruppen er raringdgivende og uafhaeligngig og bestaringr af en repraelig-

sentant fra hvert af medlemsstaternes tilsynsmyndighed


5

2 Hvad er en databeskyttelsesraringdgiver

En databeskyttelsesraringdgiver er en raringdgiverfunktion i en organisation der skal inddrages i alle

sposlashrgsmaringl om databeskyttelse og raringdgive om de databeskyttelsesretlige regler

Databeskyttelsesraringdgiverens funktion er at understoslashtte at den dataansvarlige overholder reg-

lerne i databeskyttelsesforordningen Databeskyttelsesraringdgiveren er en integreret del af den da-

taansvarliges organisation der efter omstaeligndighederne kan have andre opgaver for den data-

ansvarlige Databeskyttelsesraringdgiveren er altsaring ikke en del af Datatilsynet og fungerer heller

ikke som tilsynets repraeligsentant

Databeskyttelsesraringdgiveren har dog en saeligrlig stilling i forhold til Datatilsynet idet databeskyttel-

sesraringdgiveren er kontaktled til og skal samarbejde med Datatilsynet Databeskyttelsesraringdgive-

ren kan paring den maringde bla vaeligre opdateret om og tage bestik af nye afgoslashrelser vejledninger mv

Forpligtelsen til i visse tilfaeliglde at skulle udpege en databeskyttelsesraringdgiver er et element i da-

tabeskyttelsesforordningens fokus paring ansvarlighed naringr det kommer til at overholde databeskyt-

telsesreglerne

21 Relationen mellem den dataansvarlige og databeskyttelsesraringdgiveren

Det er den dataansvarlige der har ansvaret for at sikre at databeskyttelsesforordningen og da-

tabeskyttelseslovens regler overholdes

Den dataansvarlige udpeger databeskyttelsesraringdgiveren Det er databeskyttelsesraringdgiverens

opgave at raringdgive den dataansvarlige om de databeskyttelsesretlige regler og raringdgiveren kan

saringledes paring bedste vis understoslashtte en god databeskyttelse hos den dataansvarlige

Den dataansvarlige skal tage hoslashjde for databeskyttelsesraringdgiverens opfattelse af en given situ-

ation men det er den dataansvarlige der skal overholde reglerne Det er saringledes ogsaring den da-

taansvarlige der i sidste ende afgoslashr til hvilke formaringl og med hvilke hjaeliglpemidler der maring foreta-

ges behandling af personoplysninger Det er ligeledes den dataansvarlige som sanktioneres

saringfremt reglerne ikke overholdes ogsaring selvom dette skyldes ukorrekt raringdgivning fra databeskyt-

telsesraringdgiverens side


6

3 Privates forpligtelse til at udpege en

databeskyttelsesraringdgiver

I de fleste tilfaeliglde skal private ikke udpege en databeskyttelsesraringdgiver

31 Hvornaringr skal private udpege en databeskyttelsesraringdgiver

I de fleste tilfaeliglde skal den private sektor ikke udpege en databeskyttelsesraringdgiver Kun private

virksomheder der som deres kerneaktivitet behandler foslashlsomme oplysninger eller oplysninger

om strafbare forhold i et stort omfang eller foretager regelmaeligssig og systematisk overvaringgning af

personer i stort omfang er forpligtede til at udpege en databeskyttelsesraringdgiver Forpligtelsen for

private virksomheder til at udpege en databeskyttelsesraringdgiver gaeliglder baringde den dataansvarlige

og databehandleren

Det betyder at de fleste private virksomheder i Danmark der foretager rdquogaeligngsrdquo behandling af

personoplysninger herunder administration af HR-oplysninger kundeoplysninger online

bookingsystemer mv ikke er forpligtede til at udpege en databeskyttelsesraringdgiver

Konkret skal en virksomhed opfylde tre betingelser for at vaeligre forpligtet til at udpege en databe-

skyttelsesraringdgiver (se nedenfor)

Alle betingelser skal vaeligre opfyldt og en virksomhed der feks kun opfylder eacuten eller to af betin-

gelserne ud af de tre vil ikke vaeligre forpligtet til at udpege en databeskyttelsesraringdgiver

Generelt kan det bemaeligrkes om betingelserne at de knytter sig til hvilke personoplysninger man

har og hvordan disse behandles i virksomheden

Foslashlgende tre betingelser skal alle vaeligre opfyldt

1 Behandling af personoplysninger skal vaeligre

virksomhedens kerneaktivitet

2 Der skal behandles personoplysninger i et

stort omfang

3 Behandlingsaktiviteten bestaringr i regelmaeligssig

og systematisk overvaringgning af personer eller

behandlingen vedroslashrer foslashlsomme oplysnin-

ger eller oplysninger om strafbare forhold


7

311 Betingelse nr 1 rdquokerneaktivitetrdquo

Behandling af personoplysninger skal vaeligre virksomhedens kerneaktivitet Med rdquokerneaktivitetrdquo

forstarings ikke den gaeligngse behandling af personoplysninger som de fleste virksomheder foretager

Alle virksomheder behandler saringledes personoplysninger i et vist omfang for at virksomheden kan

fungere Det drejer sig navnlig om behandling af HR-oplysninger og kundeoplysninger i forbin-

delse med kontakt salg og support mv Virksomhedens behandling af disse oplysninger er en

forudsaeligtning for at virksomheden kan udoslashve sin hovedaktivitet feks udbyde tjenesteydelser

eller saeliglge et produkt

Disse almindelige behandlinger af personoplysninger udgoslashr ikke i sig selv en rdquokerneaktivitetrdquo De

kan i stedet anses for en rdquobiaktivitetrdquo idet oplysningerne behandles for at kunne understoslashtte virk-

somhedens hovedaktivitet

Naringr en virksomhed behandler personoplysninger som en biaktivitet vil virksomheden ikke vaeligre

forpligtet til at udpege en databeskyttelsesraringdgiver

Omfattet af begrebet rdquokerneaktivitetrdquo

Behandling af personoplysninger skal vaeligre virksomhedens rdquohovedaktivitetrdquo foslashr det kan anses for

omfattet af begrebet kerneaktivitet

Eksempler paring behandling der udgoslashr rdquobiaktivitetrdquo

Kundekontakt- eller support

HR-oplysninger

Salg

Kundekartotek

Online bookingsystem

Bonuskort

Behandling af klientoplysninger (revi-sorer advokater ingenioslashrer mv)

IT-support

Eksempler paring brancher der som udgangspunkt ikke

har behandling af personoplysninger som kerneakti-

vitet

Privatskoler og doslashgninstitutioner

Forsyningsselskaber

Haringndvaeligrksfaget

Hotel- og restaurationsbranchen

Servicebranchen

Detailhandel


8

Det betyder at virksomheder hvis produkt eller tjeneste direkte bestaringr i behandling af personop-

lysninger kan anses som kerneaktivitet Det kan feks vaeligre virksomheder der udbyder marke-

tingsundersoslashgelser som er baseret paring personoplysninger eller cloud-virksomheder naringr det in-

debaeligrer lagring af personoplysninger

Paring samme maringde kan virksomheder hvis produkt eller tjeneste er uloslashseligt forbundet med be-

handlingen af personoplysninger anses for at have behandling af personoplysninger som deres

kerneaktivitet Det kan feks vaeligre forsikringsselskaber der saeliglger forsikringer til sine kunder

bla paring baggrund af personoplysninger indsamlet om kommende og nuvaeligrende kunder Et an-

det eksempel kan vaeligre privathospitaler

Virksomheder hvis kerneaktivitet bestaringr af behandling af personoplysninger skal dog ogsaring op-

fylde de to oslashvrige betingelser inden virksomheden er forpligtet til at udpege en databeskyttelses-

raringdgiver

312 Betingelse nr 2 rdquoet stort omfangrdquo

Hvis behandlingen af personoplysninger er virksomhedens kerneaktivitet er det ogsaring en betin-

gelse at behandlingen af personoplysninger sker i rdquoet stort omfangrdquo foslashr virksomheden er forplig-

tet til at udpege en databeskyttelsesraringdgiver

Artikel 29-gruppen1 anbefaler i deres udtalelse om databeskyttelsesraringdgivere at der ved vurde-

ringen af om der er tale om en behandling af personoplysninger rdquoi et stort omfangrdquo laeliggges vaeliggt

paring fire kriterier

1 Antallet af personer der behandles oplysninger om ndash enten det specifikke antal personer

eller som andel af den relevante population (befolkningen)

1 Artikel 29-gruppens udtalelse nr 162016 om rdquoGuidelines on Data Protection Officers (rsquoDPOsrsquo)rdquo (WP 243 rev01)

Eksempler paring behandling der udgoslashr rdquokerneaktivitetrdquo

Cloud-computing

Hosting af hjemmesiderdata

Privathospitaler

Forsikringsselskaber

Reklamebureauer der udbyder marke-

tingsundersoslashgelser

Soslashgemaskiner

Tele- eller internetudbydere

Applikationermobile tjenester baseret

paring personoplysninger

Stillingsbesaeligttende virksomhed


9

2 Volumen af personoplysninger ogeller de forskellige typer af personoplysninger der bli-

ver behandlet

3 Tidsperioden der behandles oplysninger i samt hvorvidt behandlingen er permanent

4 Den geografiske udstraeligkning af behandlingsaktiviteterne

Eksempel ndash mindre forsikringsselskab

Et mindre forsikringsselskab der feks kun udbyder sin forretning til en bestemt mindre landsdel

vil formentlig behandle et saring begraelignset omfang af oplysninger at det ikke kan anses for at vaeligre

i et stort omfang Det skyldes at der ikke behandles en stor maeligngde af personoplysninger om et

stort antal personer samt den begraelignsede geografiske udstraeligkning

I modsaeligtning hertil vil et landsdaeligkkende forsikringsselskab anses for at behandle personoplys-

ninger i et stort omfang baringde som foslashlge af maeligngden af oplysninger antallet af personer og den

geografiske udstraeligkning

Eksempel ndash laeliggepraksis

Behandling af patientdata i en laeliggepraksis med et begraelignset antal laeligger tilknyttet kan som foslashlge

af den begraelignsede maeligngde oplysninger der behandles heller ikke anses for at behandle per-

sonoplysninger i et stort omfang

Omvendt vil en stor laeliggepraksis med mange laeligger tilknyttet formentlig behandle en stor maeligngde

personoplysninger om deres patienter Her vil maeligngden af oplysninger der behandles medfoslashre

at der foretages behandling af personoplysninger i et stort omfang

I overvejelserne om fastlaeligggelse af stoslashrrelsen af en privat laeliggepraksisklinikhospital er det rele-

vant at foretage en vurdering af baringde antallet af patienter og af tilknyttede laeligger

Behandling af personoplysninger rdquoi et stort omfangrdquo kan saring-

ledes indebaeligre behandling af

en stor maeligngde af personoplysninger

oplysninger om et stort antal personer

lang varighed herunder permanent

stor geografisk udstraeligkning af behandlingsaktivite-

ter


10

Virksomheder hvis kerneaktivitet bestaringr af behandling af personoplysninger i et stort omfang

skal dog opfylde eacuten af de to sidste betingelser inden virksomheden er forpligtet til at udpege en


313 Betingelse nr 3 rdquoregelmaeligssig og systematisk overvaringgningrdquo eller rdquobehandling af

foslashlsomme oplysninger eller oplysninger om strafbare forholdrdquo

Virksomheder hvis kerneaktivitet bestaringr af behandling af personoplysninger i et stort omfang skal

enten

foretage regelmaeligssig og systematisk overvaringgning af registrerede personer

eller

behandle foslashlsomme oplysningeroplysninger om strafbare forhold

for at vaeligre forpligtede til at udpege en databeskyttelsesraringdgiver

Regelmaeligssig og systematisk overvaringgning af registrerede personer

Regelmaeligssig og systematisk overvaringgning af de registrerede omfatter en virksomheds sporringer

(tracking) eller profilering bla via internettet

Det kan bla omfatte drift af telenet eller services forbundet hermed profilering i forbindelse med

risikovurdering herunder kreditvurderinger vurdering af forsikringspraeligmie lokationstracking via

applikationer og adfaeligrdsbaseret annoncering

Eksempel ndash marketingsfima

Et marketingsfirma der foretager marketingsundersoslashgelser hvor der indgaringr personoplysninger i

et stort omfang og undersoslashgelsen er baseret paring adfaeligrdsbaseret annoncering er omfattet da de

foretager en regelmaeligssig og systematisk overvaringgning af de registrerede personer

Behandling af foslashlsomme oplysninger eller oplysninger om strafbare forhold

Oplysninger kan anses for foslashlsomme hvis de omhandler oplysninger om

Behandling i et stort omfang

Eksempler paring virksomheder der behandler

personoplysninger rdquoi et stort omfangrdquo

Privathospitaler

Stoslashrre forsikringsselskaber

Sporing via feks rejsekort

Soslashgemaskines behandling af

personoplysninger



11

race eller etnisk oprindelse

politisk religioslashs eller filosofisk overbevisning

fagforeningsmaeligssigt tilhoslashrsforhold

behandling af genetisk data eller biometrisk data med det formaringl entydigt at iden-

tificere en fysisk person

helbredsoplysninger

oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering

Oplysninger om strafbare forhold omfatter oplysninger om straffedomme og lovovertraeligdelser

Eksempel ndash skadesforsikringsselskaber

Skadesforsikringsselskaber kan man opdele i de selskaber der behandler foslashlsomme oplysninger

og de selskaber der ikke (eller i begraelignset omfang) behandler foslashlsomme oplysninger

For saring vidt angaringr de selskaber der ikke behandler denne type oplysninger kan naeligvnes special-

selskaber som typisk forsikrer ting (feks glasforsikring) og ikke risiko for personskader Forsik-

ringsselskaber der i begraelignset omfang jf betingelsen ovenfor behandler de omhandlede op-

lysninger vil typisk vaeligre forsikringsselskaber der tegner privatforsikringer herunder eksempelvis

indbo- og bilforsikringer eller erhvervsforsikringer for mindre virksomheder Her indhentes de

naeligvnte oplysninger i forbindelse med tegning af ulykkesforsikringer og ved behandling af per-

sonskader under ulykkesforsikringer

For saring vidt angaringr skadesforsikringsselskaber der opfylder betingelse nr 3 ndash idet de behandler

foslashlsomme oplysninger ndash kan naeligvnes specialiserede rejseforsikringsselskaber for saringvel rejsegods

som syge- og ulykkesforsikringer En betydelig del af disse selskabers forsikringer er personfor-

sikringer hvor der baringde ved tegning og ved behandlingen af personskader (ulykker og syg-

domme) indhentes foslashlsomme oplysninger Endvidere kan sygeforsikringsselskaber som daeligkker

medicin og en raeligkke andre udgifter til helbredelse naeligvnes idet der indhentes helbredsoplysnin-

ger ved optagelses- og refusionssager

Eksempel ndash HR-oplysninger

Virksomheder vil typisk behandle oplysninger om ansattes fagforeningsmaeligssige tilhoslashrsforhold

og helbredsoplysninger i forbindelse med virksomhedens HR-funktion Her er der netop tale om

foslashlsomme oplysninger men det medfoslashrer ikke i sig selv at virksomheden er forpligtet til at udpege

en databeskyttelsesraringdgiver Hertil kraeligves at behandling af personoplysninger er virksomhe-

dens kerneaktivitet og foretages i et stort omfang

Eksempler paring virksomheder der kan

opfylde alle tre betingelser

Privathospitaler

Stoslashrre forsikringssel-

skaber

Tele- eller internetud-

bydere

Marketingsfirma der

udbyder marketingsun-

dersoslashgelser

Eksempler paring virksomheder der blot op-

fylder nogle af betingelserne

Mindre privathospitaler

Mindre forsikringsselskab

Mindre laeliggepraksis

Stoslashrre virksomheder hvor

behandling af personop-

lysninger kun er en biakti-

vitet


12

Eksempel ndash Livs- og pensionsforsikringsselskaberne

Store eller middelstore forsikringsselskaber der dels tegner livs- og pensionsforsikringer for en-

keltpersoner og dels firmapensionsordninger hvor de sikrede er en virksomheds ansatte indhen-

ter og behandler foslashlsomme oplysninger isaeligr helbredsoplysninger ved saringvel tegningindmeldelse

som ved behandlingen af tab af erhvervsevne doslashdsfald sygdom mv Henset til at behandling

af personoplysninger endvidere er disse forsikringsselskabers kerneaktivitet samt at de grundet

stoslashrrelse og geografiske udstraeligkning behandler personoplysningerne i stort omfang vil de som

udgangspunkt skulle udpege en databeskyttelsesraringdgiver

Det bemaeligrkes at det er vigtigt at have sig for oslashje at der er tale om betingelser der alle skal

vaeligre opfyldt Der skal altsaring vaeligre tale om at virksomhedens kerneaktivitet er behandling i stort

omfang af foslashlsomme oplysninger eller oplysninger om strafbart forhold Eller at virksomhedens

kerneaktivitet bestaringr af behandlingsaktiviteter i stort omfang af regelmaeligssig og systematisk over-

varinggning af personer

Virksomheder der ikke er forpligtede til at udpege en databeskyttelsesraringdgiver kan med fordel

dokumentere vurderingen saring denne kan fremvises til Datatilsynet

32 Frivillig udnaeligvnelse af en databeskyttelsesraringdgiver

Private kan under alle omstaeligndigheder frivilligt vaeliglge at udpege en databeskyttelsesraringdgiver

I de tilfaeliglde hvor der frivilligt udpeges en databeskyttelsesraringdgiver gaeliglder de samme krav til

databeskyttelsesraringdgiveren som hvis virksomheden var forpligtet til at udpege en databeskyttel-

sesraringdgiver

Det betyder at kravene til databeskyttelsesraringdgiverens opgaver kvalifikationer stilling beskyt-

telse og inddragelse skal efterleves

Vaeliglger en virksomhed derimod at udpege en medarbejder der feks er compliance-raringdgiver er

virksomheden ikke forpligtet til at efterleve forordningens krav til en databeskyttelsesraringdgiver

33 Faeliglles databeskyttelsesraringdgiver

En koncern har mulighed for at udpege en faeliglles databeskyttelsesraringdgiver for hele koncernen

forudsat at alle etableringer af koncernen har let adgang til databeskyttelsesraringdgiveren

Andre private dataansvarlige og databehandlere end koncerner har ogsaring mulighed for at udpege

en faeliglles databeskyttelsesraringdgiver Et konsulentfirma kan udoslashve funktionen som databeskyttel-

sesraringdgiver for flere dataansvarlige paring samme tid paring baggrund af tjenesteydelseskontrakter

Det er dog en forudsaeligtning for at private kan udpege en faeliglles databeskyttelsesraringdgiver at

databeskyttelsesraringdgiveren kan efterleve forordningens krav til vedkommende naringr opgaven loslash-


13

ses for flere private paring eacuten gang Dette maring i praksis forudsaeligtte at der feks er adgang til at kom-

munikere med databeskyttelsesraringdgiveren paring et sprog som de beroslashrte medarbejdere kan forstaring

Det maring ligeledes forudsaeligtte at der er afsat saringdanne ressourcer til databeskyttelsesraringdgiveren

at det spejler omfanget af de organisationer der skal daeligkkes Der vil derfor i praksis ikke vaeligre

noget til hinder for at feks en virksomhed udpeger en faeliglles databeskyttelsesraringdgiver paring tvaeligrs

af flere stoslashrre koncernforbundne virksomheder naringr blot de ressourcer der afsaeligttes til databe-

skyttelsesraringdgiveren i form af medarbejdere rejsebudget it-understoslashttelse mv i tilstraeligkkelig om-

fang sikrer at databeskyttelsesraringdgiveren kan moslashde sine forpligtelser

34 Opsummering

Der skal rigtig meget til foslashr en privat virksomhed er forpligtet til at udpege en da-

tabeskyttelsesraringdgiver

Helt konkret skal tre betingelser der knytter sig til en virksomheds behandling af

personoplysninger alle vaeligre opfyldt foslashr der en pligt til at udpege en databeskyt-

telsesraringdgiver

Alle virksomheder boslashr foretage en konkret vurdering af om de tre betingelser er

opfyldt Er alle tre betingelser ikke opfyldt skal der ikke udpeges en databeskyt-

telsesraringdgiver


14

4 Offentlige myndigheders forpligtelse til

at udpege en databeskyttelsesraringdgiver

Offentlige myndigheder og offentlige organer skal altid have en databeskyttelsesraringdgiver uanset

om de er dataansvarlige eller databehandlere

41 Hvornaringr skal offentlige myndigheder udpege en databeskyttelsesraringdgiver

I det omfang behandling foretages af en offentlig myndighed eller et offentligt organ skal myndig-

heden eller organet altid have en databeskyttelsesraringdgiver hvad enten de er dataansvarlige eller

databehandlere

Det betyder at der ogsaring skal udpeges en databeskyttelsesraringdgiver hvis den offentlige myndig-

hed eller organ behandler personoplysninger paring vegne af en privat eller selv outsourcer sin da-

tabehandling til en privat som ikke er forpligtet til at udpege en databeskyttelsesraringdgiver Det kan

feks vaeligre tilfaeligldet naringr offentlige myndigheder eller organer vaeliglger at overlade til en anden at

udfoslashre selve den praktiske behandling af personoplysninger paring den dataansvarliges vegne

Den eneste undtagelse hertil er domstole der ikke er forpligtede til at udpege en databeskyttel-

sesraringdgiver naringr de handler i deres egenskab af domstole

42 Hvornaringr er man en offentlig myndighed

De myndigheder der i dansk ret henregnes til den offentlige forvaltning i medfoslashr af forvaltnings-

lovens sect 1 stk 1-2 skal anses for offentlige myndigheder eller organer og er dermed forpligtede

til at udpege en databeskyttelsesraringdgiver Det fremgaringr heraf at foslashlgende virksomheder omfattes

af loven al virksomhed der udoslashves af den offentlige forvaltning og al virksomhed der udoslashves af

selvejende institutioner foreninger fonde mv der er oprettet ved lov eller i henhold til lov og

selvejende institutioner foreninger fonde mv der er oprettet paring privatretligt grundlag og som

udoslashver offentlig virksomhed af mere omfattende karakter og er undergivet intensiv offentlig regu-

lering intensivt offentlig tilsyn og intensiv offentlig kontrol

I forhold til selvejende institutioner mv oprettet paring privatretligt grundlag vil der saringledes vaeligre

nogle som omfattes af kravet om at have en databeskyttelsesraringdgiver mens andre ikke omfattes

Det vil bero paring en konkret vurdering

Selvejende institutioner mv oprettet paring privatretligt grundlag som udoslashver offentlig virksomhed

af mere omfattende karakter og er undergivet intensiv offentlig regulering intensivt offentlig tilsyn

og intensiv offentlig kontrol vil vaeligre omfattet

Det spiller endvidere ind om det offentlige har instruktionsbefoslashjelser over for institutionen om det

offentlige skal godkende institutionens vedtaeliggter og om det offentlige yder sekretariatsbistand


15

til institutionen Herudover maring man se paring om det offentlige skal godkende institutionens regn-

skaber og om institutionens drift og virksomhed er detaljeret reguleret ved regler og retningslinjer

udstedt af det offentlige Endelig kan man tage hensyn til om det offentlige overtager institutio-

nens rettigheder og forpligtelser hvis den nedlaeliggges

Eksempler paring selvejende institutioner mv der er omfattet

- Universiteter

- Institutioner hvor kommunalbestyrelsen har indgaringet overenskomst til opfyldelse af sine forplig-

telser efter lov om social service

- Gymnasieskoler

Eksempler paring selvejende institutioner og foreninger der ikke er omfattet

- Danske Regioner og KL

- Dansk Flygtningehjaeliglp

For saring vidt angaringr statslige og kommunale institutioner der er organiseret i selskabsform feks

som aktieselskab eller interessentskab vil disse umiddelbart aldrig vaeligre omfattet Dette er ogsaring

tilfaeligldet for koncessionerede selskaber og selskaber hvori staten eller en kommune er aktionaeligr

interessent eller lignende uanset om staten eller kommunen ejer selskabet 100 Det har i den

forbindelse ingen betydning hvilke aktiviteter organet udfoslashrer ligesom det ikke i sig selv kan foslashre

til et andet resultat at selskabet maringtte vaeligre oprettet ved lov eller i henhold til lov

Dog er kommunale faeligllesskaber jf sect 60 i lov om kommunernes styrelse hvortil to eller flere

kommuner overfoslashrer opgaver til selvstaeligndig varetagelse altid offentlige myndigheder Det gaeligl-

der uanset at kommunale faeligllesskaber normalt etableres som interessentskaber Det kommu-

nale faeligllesskab er selvstaeligndigt dataansvarligt og skal udpege en databeskyttelsesraringdgiver

Eksempel paring institution der er organiseret i selskabsform der ikke er omfattet

- Staten og Kommunernes Indkoslashbs Service AS

Saringfremt der ikke er tale om en offentlig myndighed eller organ skal bedoslashmmelsen af hvorvidt

man har pligt til at udpege en databeskyttelsesraringdgiver foretages i henhold til betingelserne be-

skrevet ovenfor under punkt 3 vedroslashrende privates forpligtelse til at udpege en databeskyttel-

sesraringdgiver

43 Faeliglles databeskyttelsesraringdgiver for offentlige myndigheder

Flere myndigheder eller organer vil i mange tilfaeliglde kunne have en faeliglles databeskyttelsesraringd-

giver forudsat at det er i overensstemmelse med deres organisatoriske struktur og stoslashrrelse I

den forbindelse kan det vaeligre relevant at overveje om raringdgiveren skal fungere paring baggrund af

eacuten ansaeligttelseskontrakt for to forskellige myndigheder eller to deltidskontrakter

Herudover vil en databeskyttelsesraringdgiver kunne vaeligre ansat paring en deltidskontrakt hos eacuten myn-

dighed og ansat paring baggrund af en tjenesteydelseskontrakt i en anden myndighed eller organi-

sation


16

Saringfremt flere myndigheder har en faeliglles databeskyttelsesraringdgiver er det dog en forudsaeligtning

at databeskyttelsesraringdgiveren kan efterleve kravene i databeskyttelsesforordningen til en data-

beskyttelsesraringdgiver herunder til dennes stilling opgaver uafhaeligngighed og tilgaeligngelighed mv

naringr denne loslashser opgaven for flere myndigheder paring eacuten gang

For saring vidt angaringr tilgaeligngelighed er der ikke et krav om fysisk tilstedevaeligrelse paring alle lokationer

saringfremt der anvendes en faeliglles databeskyttelsesraringdgiver De enkelte myndigheder har i den for-

bindelse mulighed for at aftale hvordan den fysiske tilgaeligngelighed i praksis kan loslashftes herunder

feks ved hjaeliglp af mail telefon internet mm Det er i relation til kravet om tilgaeligngelighed endvi-

dere vaeligrd at bemaeligrke at flere myndigheder som naeligvnt godt kan have en faeliglles raringdgiver men

at databeskyttelsesraringdgiveren skal kunne (naring at) varetage sin raringdgivningsopgave fyldestgoslashrende

for alle de myndigheder for hvilke den paringgaeligldende varetager opgaven som databeskyttelses-

raringdgiver Her kan det bla vaeligre relevant at se paring maeligngden af personoplysninger der behandles

i en given myndighed

I relation til uafhaeligngighedskriteriet bemaeligrkes at det kan vaeligre betaelignkeligt at lade visse myndig-

heder have en faeliglles databeskyttelsesraringdgiver jf nedenfor under afsnittet rdquoEksempel ndash Ministe-

rier og underordnede myndighederrdquo

Der henvises i oslashvrigt til afsnit 5 i denne vejledning

Det er endvidere et krav at der er eacuten der er personligt ansvarlig for hvervet som databeskyttel-

sesraringdgiver

Som foslashlge af kravet om at udpegningen af en faeliglles databeskyttelsesraringdgiver skal vaeligre i over-

ensstemmelse med myndigheden eller organets organisatoriske struktur og stoslashrrelse stilles der

krav til selve ansaeligttelsen af databeskyttelsesraringdgiveren

Den retlige graelignse for at dele en databeskyttelsesraringdgiver vil i et saringdan tilfaeliglde vaeligre de gaeligl-

dende standarder om offentlige ansattes bierhverv de almindelige habilitetsregler og muligheden

for at efterleve kravene i forordningen herunder tilstraeligkkelige ressourcer i forhold til at udfoslashre

hvervet


17

Kommuner

Det antages ikke at vaeligre i overensstemmelse med en offentlig myndigheds struktur eller stoslashr-

relse hvis en databeskyttelsesraringdgiver fungerer paring baggrund af eacuten ansaeligttelseskontrakt i to for-

skellige kommuner Det antages derimod omvendt at vaeligre i overensstemmelse hermed saring-

fremt raringdgiveren udoslashver sin funktion paring baggrund af to deltidskontrakter i to kommuner paring

samme tid

Eksempel ndash En kommune

En kommune vil typisk vaeligre dataansvarlig for alle de behandlinger af personoplysninger som

foretages inden for den kommunale enhedsforvaltning Derfor er en kommune ikke forpligtet til at

udpege eacuten databeskyttelsesraringdgiver for de enkelte forvaltninger men vil kunne udpege eacuten data-

beskyttelsesraringdgiver for hele kommunen

Eksempel ndash organer med selvstaeligndig kompetence paring det kommunale omraringde

Det bemaeligrkes at der paring det kommunale omraringde kan vaeligre organer som ikke er en del af den

kommunale enhedsforvaltning men har selvstaeligndig kompetence paring det kommunale omraringde

feks huslejenaeligvnet ligesom der kan vaeligre kommunale organer som er en del af enhedsforvalt-

ningen der i visse henseender har en ndash i forhold til kommunalbestyrelsen ndash selvstaeligndig kompe-

tence herunder feks skoleledere

Naringr det i lovgivningen er fastsat eller forudsat at disse organer sekretariatsbetjenes af kommu-

nen og kommunen yder sekretariatsbetjening kan organerne have faeliglles databeskyttelsesraringd-

giver med kommunen og er ikke forpligtet til selvstaeligndigt at udpege en databeskyttelsesraringdgiver

ved siden af kommunens Databeskyttelsesraringdgiverens ydelser vil i den forbindelse vaeligre en del

af sekretariatsbetjeningen

Eksempel ndash Flere kommuner

Flere kommuner vil have mulighed for at dele en databeskyttelsesraringdgiver Som udgangspunkt

vurderes det at feks en gennemsnitskommune paring omkring 45000 indbyggere godt vil kunne

dele en databeskyttelsesraringdgiver med en anden tilsvarende eller en mindre kommune eller at en

lidt stoslashrre kommune vil kunne dele med en mindre kommune hvis databeskyttelsesraringdgiveren

Eksempel - Rigspolitiets databeskyttelsesenhed

Rigspolitiet har udpeget en faeliglles databeskyttelsesraringdgiver for landets 12

politikredse og Rigspolitiet for saring vidt angaringr behandlingen af personoplys-

ninger til brug for retsharingndhaeligvelsesformaringl

Den faeliglles databeskyttelsesraringdgiver understoslashttes i den forbindelse af en cen-

tral datebeskyttelsesenhed i Rigspolitiet hvor de enkelte medarbejdere be-

sidder stort kendskab til persondateretlige og forretningsmaeligssige forhold

med relevans for enhedens opgavevaretagelse Paring denne baggrund kan da-

tabeskyttelsesraringdgiveren samlet set leve op til sine forpligtelser som databe-

skyttelsesraringdgiver i medfoslashr af lov om retsharingndhaeligvende myndigheders be-

handling af personoplysninger som er lig dem der foslashlger af databeskyttel-

sesforordningen


18

samlet set vurderes at kunne varetage opgaverne som databeskyttelsesraringdgiver Der skal saringle-

des foretages en konkret vurdering i det enkelte tilfaeliglde idet det afgoslashrende er om man som

databeskyttelsesraringdgiver kan efterleve sin funktion retmaeligssigt naringr funktionen udoslashves for flere

kommuner paring samme tid

Herudover vil to eller flere kommuner kunne oprette et kommunalt faeligllesskab til hvilket de garingr

sammen om at loslashse opgaven som databeskyttelsesraringdgiver i de deltagende kommuner

Eksempel - Regioner

En region vil typisk ogsaring vaeligre dataansvarlig for alle de behandlinger af personoplysninger der

foretages inden for regionen herunder drift af hospitaler forskning og sociale tilbud mv Hver

region vil som udgangspunkt kunne udpege eacuten databeskyttelsesraringdgiver

Eksempel - Ministerier og underordnede myndigheder

Departementer og underordnede myndigheder kan have en faeliglles databeskyttelsesraringdgiver

Dog kan der vaeligre hindringer som feks myndighedens stoslashrrelse der bevirker at man ikke kan

dele en databeskyttelsesraringdgiver Som eksempel herparing kan naeligvnes Justitsministeriet og politiet

der ikke kan have en faeliglles raringdgiver

Det skyldes at politiet anses for at vaeligre saring stor en enhed at en faeliglles databeskyttelsesraringdgiver

ikke vil kunne efterleve kravene til en databeskyttelsesraringdgiver (om bla tilgaeligngelighed) hvis

denne baringde skulle udfoslashre sin opgave for politiet som helhed og med andre myndigheder under

Justitsministeriets ressort

Dog vil politiet ndash i en ordning svarende til den ovenfor beskrevne paring retsharingndhaeligvelsesomraringdet ndash

kunne have en faeliglles databeskyttelsesraringdgiver under forordningen der udfoslashrer sin funktion for

alle politikredse

Det bemaeligrkes endvidere at forordningens krav om uafhaeligngighed skal vaeligre opfyldt for alle de

myndigheder der deler en databeskyttelsesraringdgiver

I den forbindelse ndash samt i relation til en underordnet myndigheds eventuelt saeligrlige uafhaeligngighed

ift den overordnede myndighed ndash kan der vaeligre visse situationer hvor det kan vaeligre betaelignkeligt

at lade en underordnet myndighed dele databeskyttelsesraringdgiver med et departement

Som eksempel herparing kan naeligvnes Datatilsynet og Justitsministeriets departement Dette er bla

henset til Datatilsynets funktionelle uafhaeligngighed i forhold til Justitsministeriet samt tilsynets spe-

cielle kompetence og rolle i forhold til databeskyttelsesforordningen Som et andet eksempel kan

naeligvnes Ankestyrelsens relation til (paring nuvaeligrende tidspunkt) Oslashkonomi- og Indenrigsministeriets

departement Her kan bla peges paring maeligngden og karakteren af data som behandles i Ankesty-

relsen samt styrelsens faglige uafhaeligngighed af departementet

Organisatoriske aeligndringer kan ogsaring bevirke at det i visse situationer ndash af praktiske aringrsager ndash

kan vaeligre mere oplagt for en underordnet myndighed at have sin egen databeskyttelsesraringdgiver

fremfor at dele med sit departement Hvis en underordnet myndighed saringledes har sin egen data-

beskyttelsesraringdgiver kan denne blot fortsaeligtte under samme kontrakt vilkaringr mv uanset at en


19

myndighed efter eksempelvis et regeringsskifte organisatorisk placeres under et andet ministe-

rium

Eksempel - Selvejende institutioner

I det omfang selvejende institutioner kan anses for en offentlig myndighed eller et organ vil disse

myndigheder ogsaring have mulighed for at udpege en faeliglles databeskyttelsesraringdgiver med en an-

den selvejende institution omfattet af samme lovgivning eller feks den kommune som institutio-

nen har driftsoverenskomst med i det omfang kommunen yder sekretariatsbistand til institutio-

nen

44 Opsummering

Alle offentlige myndigheder og organer skal udpege en databeskyttelsesraringdgiver

fra den 25 maj 2018

Det er i hoslashj grad muligt at udpege en faeliglles databeskyttelsesraringdgiver der funge-

rer paring vegne af flere myndigheder paring eacuten gang

Muligheden for at have en faeliglles databeskyttelsesraringdgiver begraelignses af at

denne skal kunne leve op til sine forpligtelser efter databeskyttelsesforordningen

Databeskyttelsesraringdgiveren kan understoslashttes af en enhed for at kunne udfoslashre sit

hverv i overensstemmelse med forordningens krav Dette gaeliglder uanset om da-

tabeskyttelsesraringdgiveren fungerer for eacuten myndighed eller for flere myndigheder

og organer


20

5 Databeskyttelsesraringdgiveren

51 Krav til faglige kvalifikationer

En databeskyttelsesraringdgiver skal udpeges paring baggrund af sine faglige kvalifikationer Dette

gaeliglder navnlig evnen til at udfoslashre sine opgaver som databeskyttelsesraringdgiver og ekspertise in-

den for databeskyttelsesret- og praksis

Der er ikke krav om at en databeskyttelsesraringdgiver skal have en bestemt uddannelsesmaeligssig

baggrund feks som jurist

Dermed er det op til den enkelte organisation at vurdere hvem der er bedst egnet til at varetage

stillingen som databeskyttelsesraringdgiver

Kravene til stillingen afhaelignger til en vis grad af kompleksiteten af den behandling af personop-

lysninger som den paringgaeligldende organisation foretager Dermed kan der for nogen organisatio-

ner vaeligre behov for at ansaeligtte en databeskyttelsesraringdgiver med stor erfaring inden for feltet og

i andre tilfaeliglde kan en eksisterende medarbejder paring baggrund af diverse kurser varetage funkti-

onen

Hvis der udpeges en databeskyttelsesraringdgiver fra egen organisation kan det med fordel vaeligre

en person som i forvejen har et vist kendskab til eller indsigt i haringndtering af databeskyttelses-

retlige sposlashrgsmaringl i organisationen

52 Hvem kan vaeligre databeskyttelsesraringdgiver

Som udgangspunkt kan alle som organisationen finder kvalificeret til at vaeligre databeskyttelses-

raringdgiver varetage funktionen

Foslashlgende kan derfor vaeligre databeskyttelsesraringdgivere

En intern medarbejder

En faeliglles databeskyttelsesraringdgiver for hele eller flere organisationer

En ekstern databeskyttelsesraringdgiver

Intern medarbejder

En organisation kan vaeliglge at udpege en eksisterende medarbejder som databeskyttelsesraringdgi-

ver

Det er ikke et krav at den medarbejder der varetager funktionen som databeskyttelsesraringdgiver

udoslashver sin funktion paring fuld tid


21

Dermed kan en intern medarbejder der varetager funktionen som databeskyttelsesraringdgiver ud-

foslashre andre opgaver og have andre pligter i organisationen

Saringledes kan en medarbejder der feks arbejder i IT-sektionen i en organisation godt varetage

funktionen som databeskyttelsesraringdgiver paring deltid eller 10 timer om ugen alt efter behovet i

den enkelte organisation

Det afgoslashrende er at den paringgaeligldende medarbejder fyldestgoslashrende kan udoslashve sit erhverv som

databeskyttelsesraringdgiver i organisationen

Den person der udpeges kan med fordel vaeligre en person som i forvejen har et vist kendskab

til eller indsigt i haringndtering af databeskyttelsesretlige sposlashrgsmaringl i organisationen

Selve vurderingen af hvor meget tid en medarbejder skal bruge paring fyldestgoslashrende at kunne ef-

terleve kravene til en databeskyttelsesraringdgiver i organisationen afhaelignger af en konkret vurde-

ring af behovet hos organisationen

Interne ansatte der ikke kan vaeligre databeskyttelsesraringdgiver

En databeskyttelsesraringdgiver skal baringde vaeligre uafhaeligngig og vaeligre i stand til at udoslashve uvildig raringd-

givning til organisationen

Derfor kan en databeskyttelsesraringdgiver ikke vaeligre den oslashverste IT-ansvarlige eller oslashverste HR-

ansvarlige i en organisation

Eksempel ndash virksomhed med faring ansatte

Virksomheder med faring ansatte herunder feks enkeltmandsvirksomheder vil have svaeligrt ved at

opfylde betingelsen om at en databeskyttelsesraringdgiver ikke kan vaeligre oslashverste IT-ansvarlige eller

oslashverste HR-ansvarlige i en organisation (forudsat at virksomheden i oslashvrigt opfylder betingelserne

for hvornaringr private skal udpege en databeskyttelsesraringdgiver jf naeligrmere om privates forpligtelse

under punkt 3) I en saringdan situation kan virksomheden enten benytte sig af muligheden for at

udpege en faeliglles databeskyttelsesraringdgiver eller anvende en konsulent til opgaven

Databeskyttelsesraringdgiverenhed

Der kan ogsaring udpeges eacuten databeskyttelsesraringdgiver for den paringgaeligldende organisation som un-

derstoslashttes af en enhed saring den paringgaeligldende kan leve op til sine forpligtelser efter forordningen jf

den ovenfor beskrevne ordning for politiet

Faeliglles databeskyttelsesraringdgiver

Saringvel private som offentlige myndigheder kan udpege en faeliglles databeskyttelsesraringdgiver af-

haeligngig af deres struktur og stoslashrrelse

Medarbejdere som ikke har det oslashverste ansvar kan vaeligre databe-

skyttelsesraringdgivere Det betyder at ledende IT-medarbejdere

compliance-officerer eller en it-sikkerheds koordinator mv kan

udoslashve funktionen som databeskyttelsesraringdgiver i organisationen


22

Ekstern medarbejder

Man kan ogsaring vaeliglge at udpege en ekstern databeskyttelsesraringdgiver Dette kan enten vaeligre en

raringdgiver (konsulentvirksomhed) saringsom en bestemt advokat eller revisor eller andre kvalifice-

rede eksterne parter Udoslashvelsen af hvervet som databeskyttelsesraringdgiver vil dog i sagens natur

alene kunne udoslashves i det omfang dette er foreneligt med eventuelle regler ndash herunder etiske

krav ndash for den relevante type af raringdgivervirksomhed mv

53 Databeskyttelsesraringdgiverens opgaver

Databeskyttelsesraringdgiveren funktion bestaringr i at raringdgive den dataansvarlige og hjaeliglpe med at

organisationen efterlever de databeskyttelsesretlige regler

En databeskyttelsesraringdgiver skal desuden prioritere sine opgaver og fokusere paring de behandlin-

ger af personoplysninger i den paringgaeligldende organisation som konkret indebaeligrer en hoslashjere ri-

siko for brud paring de databeskyttelsesretlige regler Dog skal oslashvrige databeskyttelsesretlige omraring-

der som indebaeligrer en lavere grad af risiko ikke undlades

Der er en raeligkke opgaver som databeskyttelsesraringdgiveren som minimum skal varetage Der er

dog ikke noget til hinder for at der overlades flere opgaver til databeskyttelsesraringdgiveren Da-

tabeskyttelsesraringdgiverens rolle som central raringdgivningsfigur i organisationen samt dennes op-

gaver kan med fordel beskrives naeligrmere i en (ansaeligttelses)aftale

Nedenfor foslashlger en naeligrmere beskrivelse af de opgaver som databeskyttelsesraringdgiveren som

minimum skal varetage i en organisation

Underrette og raringdgive organisationen og de ansatte om databeskyttelse

Det indebaeligrer

Konkret raringdgivning om beskyttelse af personoplysninger i organisationen samt

overvejelser og beslutninger om hvordan compliance sikres mv feks i forbin-

delse med foslashlgende

Organisationens indkoslashb af nyt IT-system

kravsspecifikationer til leverandoslashrer

udarbejdelse af organisationens data-politikker

ivaeligrksaeligttelse af behandling af personoplysninger

overvejelser om hvorvidt en given behandling af personoplysninger over-

holder de generelle behandlingsregler

Staring til raringdighed for ansatte samt ledelsen i organisationen vedroslashrende sposlashrgsmaringl

om databeskyttelse


23

Raringdgivning i forbindelse med udarbejdelse af organisationens konsekvensanaly-

ser jf afsnit 3 nedenfor

Modtage underretning om og raringdgive organisationen i forbindelse med brud paring

persondatasikkerheden

Overvaringge overholdelsen af de databeskyttelsesretlige regler i organisationen

Det indebaeligrer bla ogsaring at overvaringge

organisationens politikker om databeskyttelse

uddannelse af personale i databeskyttelse

oplysningskampagner

fordeling af ansvar

revisioner

Det skal hertil bemaeligrkes at databeskyttelsesraringdgiverens opgave med at overvaringge overholdel-

sen af de databeskyttelsesretlige regler i organisationen ikke medfoslashrer at raringdgiveren overtager

selve ansvaret for at behandlingen af personoplysninger sker i overensstemmelse med reg-

lerne Dette ansvar ligger fortsat hos den dataansvarlige

Raringdgivning i forbindelse med udarbejdelse af organisationens konsekvensanalyser

I visse tilfaeliglde skal organisationer udarbejde en konsekvensanalyse af en planlagt behandling

af personoplysninger

I de tilfaeliglde hvor en organisation har udpeget en databeskyttelsesraringdgiver skal denne raringdfoslash-

res naringr der foretages en konsekvensanalyse

Herudover skal databeskyttelsesraringdgiveren raringdgive med hensyn til konsekvensanalysen naringr

der anmodes herom

Som led i overvaringgningsopgaven kan databeskyttel-

sesraringdgiveren foretage foslashlgende

indsamle oplysninger til at identificere

behandlingsaktiviteter

informere raringdgive og komme med an-

befalinger til den dataansvarlige og da-

tabehandleren


24

I tilfaeliglde af uenighed mellem organisationen og databeskyttelsesraringdgiveren anbefales det at

det specifikt fremgaringr af selve konsekvensanalysen hvorfor databeskyttelsesraringdgiverens indstil-

ling ikke er blevet fulgt

Samarbejde med Datatilsynet paring vegne af organisationen

En organisation er forpligtet til at hoslashre Datatilsynet inden behandling hvis en konsekvensana-

lyse vedroslashrende databeskyttelse viser at behandlingen af personoplysninger vil foslashre til hoslashj ri-

siko i mangel af foranstaltninger truffet af organisation for at begraelignse risikoen

Det foslashlger af forordningen at databeskyttelsesraringdgiveren skal samarbejde med tilsynsmyndig-

heden og fungere som tilsynsmyndighedens kontaktperson Det kan feks vaeligre databeskyttel-

sesraringdgiveren der paring vegne af den dataansvarlige hoslashrer tilsynsmyndigheden

Vaeligre kontaktpunkt for tilsynsmyndigheden (Datatilsynet) angaringende alle sposlashrgsmaringl om behand-

ling af personoplysninger for de personer der behandles oplysninger om

Databeskyttelsesraringdgiveren skal inddrages af den dataansvarlige i tilfaeliglde af at konkrete kla-

gesager indbringes for Datatilsynet Databeskyttelsesraringdgiveren boslashr ligeledes orienteres naringr

Datatilsynet beslutter at gennemfoslashre et eventuelt tilsyn af den dataansvarlige

Herudover skal databeskyttelsesraringdgiveren ogsaring vaeligre i stand til at vejlede den person der be-

handles personoplysninger om Det betyder at databeskyttelsesraringdgiveren skal vaeligre i stand til

at vejlede om hvilke rettigheder den paringgaeligldende har og hvordan de kan udnyttes

Det indebaeligrer endvidere at den dataansvarlige skal give meddelelse om kontaktoplysninger paring

databeskyttelsesraringdgiveren

Det anbefales i oslashvrigt at organisationen i en funktionsbeskrivelse klart definerer hvilke opgaver

der paringhviler databeskyttelsesraringdgiveren En funktionsbeskrivelse vil goslashre det tydeligt hvornaringr

Raringdgivning i forhold til konsekvensanalyser kan bla indebaeligre raringdgiv-

ning vedroslashrende

om der skal gennemfoslashres en konsekvensanalyse

hvilken fremgangsmaringde der skal anvendes ved gennemfoslash-

relse af konsekvensanalysen

om konsekvensanalysen kan gennemfoslashres internt eller om

gennemfoslashrelsen kraeligver antagelse af ekstern bistand

hvilke sikkerhedsforanstaltninger (tekniske og organisatori-

ske) som skal anvendes for at begraelignse risici i forhold til

de registreredes rettigheder og interesser

om konsekvensanalysen er korrekt gennemfoslashrt og om

dens konklusioner er i overensstemmelse med de databe-

skyttelsesretlige regler


25

den paringgaeligldende virker som databeskyttelsesraringdgiver og i denne egenskab ikke kan instrueres

Det vil samtidig blive tydeligt hvornaringr den paringgaeligldende udfoslashrer andre opgaver i sit ordinaeligre an-

saeligttelsesforhold i organisationen

54 Krav til organisationen ndash rettidig og tilstraeligkkelig inddragelse af databeskyt-

telsesraringdgiveren

En organisation skal sikre at databeskyttelsesraringdgiveren inddrages tilstraeligkkeligt og rettidigt i

alle sposlashrgsmaringl vedroslashrende beskyttelse af personoplysninger En saringdan inddragelse boslashr ogsaring

ske paring oslashverste ledelsesmaeligssige niveau (feks ved deltagelse paring direktions- og ledelsesmoslashder)

Det anbefales at organisationen implementerer procedurer som sikrer dette

I hvilke tilfaeliglde skal databeskyttelsesraringdgiveren inddrages

Databeskyttelsesraringdgiveren skal inddrages i alle de overvejelser og vurderinger som organisa-

tionen goslashr sig for at overholde kravene i databeskyttelsesforordningen databeskyttelsesloven

og oslashvrige regler for behandling af personoplysninger

Eksempel paring sposlashrgsmaringl hvor databeskyttelsesraringdgiveren boslashr inddrages

ved overvejelser og beslutninger om hvordan organisationens compliance med

databeskyttelsesreglerne sikres

ved overvejelser i forbindelse med datasikkerhed herunder databeskyttelse gen-

nem design og standardindstillinger og

ved udarbejdelse af konsekvensanalyser

Saringfremt databeskyttelsesraringdgiveren udpeges foslashr den 25 maj 2018 kan denne inddrages i or-

ganisationens implementering af de krav der foslashlger af forordningen

Eksempel paring sposlashrgsmaringl hvor databeskyttelsesraringdgiveren ikke

skal inddrages

Konkrete vurderinger ift registreredes rettigheder

feks anmodning paring indsigt ret til at blive glemt

mv

Deltagelse i mindre praktiske eller almindelige

driftsopgaver eller driftsmaeligssige sposlashrgsmaringl knyt-

tet til opsaeligtning af it-systemer

Udarbejdelse af konkrete databehandleraftaler

Behandling af personoplysninger der finder sted i

overensstemmelse med interne regler som den da-

taansvarlige har fastsat forudsat at disse regler er

fastsat under inddragelse af databeskyttelsesraringdgi-

veren


26

Hvordan skal databeskyttelsesraringdgiveren inddrages

For at sikre at databeskyttelsesraringdgiveren inddrages tilstraeligkkeligt og rettidigt er organisationen

forpligtet til at holde databeskyttelsesraringdgiveren tilstraeligkkeligt og rettidigt orienteret om alle

sposlashrgsmaringl om beskyttelse af personoplysninger

Som tommelfingerregel skal databeskyttelsesraringdgiveren have mulighed for at vurdere overhol-

delsen af de databeskyttelsesretlige regler og komme med bemaeligrkninger eller lignende inden

en behandling af personoplysninger igangsaeligttes

Hvornaringr er inddragelsen rettidig

Databeskyttelsesraringdgiveren skal inddrages i saring god tid som det er muligt forud for ivaeligrksaeligttel-

sen af behandling af personoplysninger

Det er afgoslashrende at databeskyttelsesraringdgiveren inddrages i tide til at kunne foretage en reel

vurdering af om den paringtaelignkte behandling af personoplysninger er i overensstemmelse med de

databeskyttelsesretlige regler og dermed kan komme med kvalificerede bemaeligrkninger herom

med henblik paring at raringdgive organisationen

Eksempler paring rettidig inddragelse

Inddrages forud for beslutning om noslashdvendige

foranstaltninger i IT-systemer for at efterleve kra-

vene om databeskyttelse gennem design og stan-

dardindstillinger

Inddrages forud for udstedelse af retningslinjer og

procedurer for hvordan de databeskyttelsesret-

lige regler skal overholdes i organisationen

Inddragelse foslashr offentliggoslashrelse af udbudsmateri-

ale i en udbudsproces eller lignende

Eksempler paring ikke-rettidig inddragelse

Inddragelse af databeskyttelsesraringdgiveren efter

et nyt IT-system er faeligrdigudviklet


indkoslashb af IT-systemer (dermed ikke en del af

overvejelserne vedr kravspecifikation og databe-

skyttelse gennem design og standardindstillin-

ger)


at en konsekvensanalyse er udarbejdet


stoslashrre aeligndringer i organisationens procedurer

der vedroslashrer databeskyttelse saringsom haringndtering

af anmodninger fra registrerede personer


27

Behandlingsaktiviteter igangsat foslashr en databeskyttelsesraringdgiver udpeges

Naringr en organisation udpeger en databeskyttelsesraringdgiver vil der selvsagt vaeligre behandlinger af

personoplysninger der allerede er igangsat i organisationen

Databeskyttelsesraringdgiveren boslashr ved udpegelsen primaeligrt have fokus paring de fremadrettede com-

pliance aktiviteter Derudover kan databeskyttelsesraringdgiveren ndash ud fra en risikovurdering i for-

hold til de behandlinger som konkret indebaeligrer hoslashjere risiko ndash inddrages i organisationens

overvejelser om hvorvidt de igangvaeligrende aktiviteter overholder de databeskyttelsesretlige

regler

Hvornaringr er inddragelsen tilstraeligkkelig

Der skal ske en reel inddragelse af databeskyttelsesraringdgiveren i organisationens overvejelser

og beslutninger vedroslashrende databeskyttelse

Det indebaeligrer at organisationen skal inddrage og tage hoslashjde for databeskyttelsesraringdgiverens

bemaeligrkninger og raringdgivning i oslashvrigt samt dennes rapportering til oslashverste ledelsesniveau om

overholdelse af de databeskyttelsesretlige regler

Saringfremt databeskyttelsesraringdgiverens raringdgivning ikke foslashlges anbefales det at organisationen

dokumenterer dette i overensstemmelse med kravet om accountability

Ressourcer og adgang

Ressourcer

For at databeskyttelsesraringdgiveren rent faktisk kan udfoslashre sine opgaver er det noslashdvendigt at

organisationens tilvejebringer de noslashdvendige ressourcer til stoslashtte for databeskyttelsesraringdgive-

ren

Det er endvidere et krav at organisationen tilvejebringer de fornoslashdne ressourcer for at databe-

skyttelsesraringdgiveren kan opretholde sin ekspertise inden for omraringdet

Fastsaeligttelsen af de fornoslashdne ressourcer beror paring en konkret vurdering som afhaelignger af de

organisatoriske forhold i organisationen saringsom stoslashrrelsen antallet af behandlingsaktiviteter

kompleksiteten af behandlingen af personoplysninger samt de forbundne risici

Jo stoslashrre en organisation er des stoslashrre er behovet for ressourcer til stoslashtte for databeskyttelses-

raringdgiveren

Selve behovet for ressourcer beror paring en konkret vurde-

ring som organisationen er ansvarlig for at foretage

Som eksempler paring fornoslashdne ressourcer kan naeligvnes

Faciliteter og arbejdsredskaber

Oslashkonomiske ressourcer

Personaleressourcer og lignende


28

Adgang

Databeskyttelsesraringdgiveren skal ogsaring have adgang til organisationens personoplysninger og

den behandling af disse som organisationen foretager

Der skal vaeligre tale om en vid adgang som kan tilvejebringes efter behov

Uafhaeligngighed

Det er et grundlaeligggende krav at en databeskyttelsesraringdgiver ikke maring blive instrueret af andre

om hvordan raringdgiveren skal udfoslashre sine opgaver Der gaeliglder saringledes foslashlgende for databeskyt-


Maring ikke som led i sin funktion som databeskyttelsesraringdgiver modtage instruks om

hvordan denne skal udfoslashre sine opgaver (eller feks om en bestemt vurdering el-

ler fortolkning af forordningen)

Maring ikke afskediges eller sanktioneres for at udfoslashre sine opgaver

Rapporterer direkte til oslashverste ledelsesniveau

Databeskyttelsesraringdgiverens interne reaktionsmuligheder er i praksis taeligt forbundne med at

ovenstaringende krav til uafhaeligngighed efterleves Idet en databeskyttelsesraringdgiver ikke har instruk-

tionsbefoslashjelser over for andre dele af den dataansvarliges organisation er det i praksis mulighe-

den for at kunne rapportere direkte til oslashverste ledelsesniveau der er raringdgiverens interne virke-

middel overfor konstaterede brud paring forordningen

Hvor det oslashverste ledelsesniveau er afhaelignger af organiseringen hos den konkrete dataansvarlige

eller databehandleren

I forhold til det private erhvervsliv fremgaringr det af selskabsloven at det er bestyrelsen der er det

centrale eller oslashverste ledelsesorgan i selskaber der baringde har en bestyrelse og en direktion Naringr

der i databeskyttelsesforordningen henvises til det oslashverste ledelsesniveau maring det i det private

forstarings i relation til den daglige drift og dermed direktionen saringfremt selskabet har baringde en besty-

relse og en direktion Det vil i praksis betyde at direktionen skal orientere bestyrelsen om vaelig-

sentlige forhold som paringpeges af databeskyttelsesraringdgiveren

For statslige myndigheder maring den oslashverste ledelse forstarings som den oslashverste administrative le-

delse

For saring vidt angaringr kommuner og regioner gaeliglder at databeskyttelsesraringdgiveren rapporterer di-

rekte til kommunalbestyrelsen henholdsvis regionsraringdet Denne rapportering forelaeliggges for kom-

munalbestyrelsen henholdsvis regionsraringdet uden den forudgaringende udvalgsbehandling som de

kommunale og regionale sager ellers normalt skal undergives Dette udelukker dog ikke at en

kommune kan indhente en erklaeligring fra oslashkonomiudvalget forinden forelaeligggelse for kommunal-

bestyrelsen

55 Beskyttelse af databeskyttelsesraringdgiveren

Funktionen som databeskyttelsesraringdgiver er beskyttet ved et forbud mod at kunne blive afskedi-

get for udfoslashrelse af opgaverne som databeskyttelsesraringdgiver


29

Usaglig afskedigelse af en databeskyttelsesraringdgiver er sanktioneret med en boslashde

Databeskyttelsesraringdgiveren vil kunne afskediges paring et sagligt grundlag efter almindelige ansaeligt-

telsesretlige regler

56 Opsummering

En databeskyttelsesraringdgiver udpeges paring baggrund af sine faglige kvalifikationer

Databeskyttelsesraringdgiveren kan baringde vaeligre en intern medarbejder en faeliglles da-

tabeskyttelsesraringdgiver for hele eller flere organisationer eller en ekstern databe-


Databeskyttelsesraringdgiveren har en raeligkke opgaver denne som minimum skal va-

retage Derudover anbefales det at man klart definerer hvilke opgaver der paringhvi-

ler databeskyttelsesraringdgiveren

En organisation skal rettidig og tilstraeligkkelig inddrage databeskyttelsesraringdgiveren

i alle sposlashrgsmaringl vedroslashrende beskyttelse af personoplysninger

Databeskyttelsesraringdgiveren nyder en saeligrlig beskyttelse mod usaglig afskedi-

gelse og kan ikke afskediges eller sanktioneres for at udfoslashre sine opgaver som

Databeskyttelsesraringdgiver

Dato

20 december 2017

Justitsministeriet

Slotsholmsgade 10

1216 Koslashbenhavn K

Telefon

72 26 84 00

Email

jmjmdk

Eksempler paring tilfaeliglde hvor en databeskyttelsesraringd-

giver kan afskediges

Ikke udfoslashrer sine arbejdsopgaver

Misligholder ansaeligttelsesforholdet

Samarbejdsvanskeligheder


30

ISBN

978-88-98564-35-7

Foto

Scanpix


1

Indhold

1 Forord ____________________________________________________ 3

11 Databeskyttelsesraringdgivere ndash oslashget fokus paring ansvarlighed (rdquoaccountabilityrdquo) _____ 3

12 Andre relevante kilder ______________________________________________ 4

2 Hvad er en databeskyttelsesraringdgiver ___________________________ 5

21 Relationen mellem den dataansvarlige og databeskyttelsesraringdgiveren ________ 5

3 Privates forpligtelse til at udpege en databeskyttelsesraringdgiver ________ 6

31 Hvornaringr skal private udpege en databeskyttelsesraringdgiver _________________ 6

311 Betingelse nr 1 rdquokerneaktivitetrdquo _________________________________ 7

312 Betingelse nr 2 rdquoet stort omfangrdquo ________________________________ 8

313 Betingelse nr 3 rdquoregelmaeligssig og systematisk overvaringgningrdquo eller

rdquobehandling af foslashlsomme oplysninger eller oplysninger om strafbare forholdrdquo __ 10

32 Frivillig udnaeligvnelse af en databeskyttelsesraringdgiver ________________________ 12

33 Faeliglles databeskyttelsesraringdgiver _______________________________________ 12

34 Opsummering ______________________________________________________ 13

4 Offentlige myndigheders forpligtelse til at udpege en

databeskyttelsesraringdgiver ____________________________________ 14

41 Hvornaringr skal offentlige myndigheder udpege en databeskyttelsesraringdgiver ______ 14

42 Hvornaringr er man en offentlig myndighed _________________________________ 14

43 Faeliglles databeskyttelsesraringdgiver for offentlige myndigheder __________________ 15

Kommuner _____________________________________________________ 17

Eksempel - Ministerier og underordnede myndigheder ____________________ 18

Eksempel - Selvejende institutioner __________________________________ 19

44 Opsummering ______________________________________________________ 19

5 Databeskyttelsesraringdgiveren __________________________________ 20

51 Krav til faglige kvalifikationer ________________________________________ 20

52 Hvem kan vaeligre databeskyttelsesraringdgiver ____________________________ 20

Intern medarbejder _______________________________________________ 20

Faeliglles databeskyttelsesraringdgiver_____________________________________ 21

Ekstern medarbejder ______________________________________________ 22

53 Databeskyttelsesraringdgiverens opgaver ________________________________ 22

54 Krav til organisationen ndash rettidig og tilstraeligkkelig inddragelse af

databeskyttelsesraringdgiveren ________________________________________ 25

I hvilke tilfaeliglde skal databeskyttelsesraringdgiveren inddrages _______________ 25


2







56 Opsummering ___________________________________________________ 29


3

1 Forord




















sesreglerne







nisationen






4











5














telsesreglerne














6










og databehandleren














stort omfang






7



















HR-oplysninger

Salg

Kundekartotek


Bonuskort


IT-support



vitet


Forsyningsselskaber



Servicebranchen

Detailhandel


8












raringdgiver












Cloud-computing


Privathospitaler




Soslashgemaskiner






9


ver behandlet


























ter


10







enten


eller


















Privathospitaler




personoplysninger



11






helbredsoplysninger




























Privathospitaler


skaber


bydere

Marketingsfirma der


dersoslashgelser









vitet


12




















sesraringdgiver














13









34 Opsummering





telsesraringdgiver



telsesraringdgiver


14








databehandlere


























15






- Universiteter



- Gymnasieskoler



















sesraringdgiver








sation


16



















sesraringdgiver







hvervet


17

Kommuner





samme tid

































sesforordningen


18







Eksempel - Regioner















alle politikredse

















19


rium






nen

44 Opsummering


fra den 25 maj 2018








og organer


20














onen











Intern medarbejder


ver




21





































22

Ekstern medarbejder




















Det indebaeligrer











om databeskyttelse


23









oplysningskampagner

fordeling af ansvar

revisioner











der anmodes herom







tabehandleren


24





































25























skal inddrages



mv









veren


26



















dardindstillinger













ger)








27








regler










Ressourcer



ren







raringdgiveren








28

Adgang




Uafhaeligngighed























delse






bestyrelsen





29




56 Opsummering













Dato

20 december 2017

Justitsministeriet

Slotsholmsgade 10


Telefon

72 26 84 00

Email

jmjmdk







30

ISBN

978-88-98564-35-7

Foto

Scanpix


2







56 Opsummering ___________________________________________________ 29


3

1 Forord




















sesreglerne







nisationen






4











5














telsesreglerne














6










og databehandleren














stort omfang






7



















HR-oplysninger

Salg

Kundekartotek


Bonuskort


IT-support



vitet


Forsyningsselskaber



Servicebranchen

Detailhandel


8












raringdgiver












Cloud-computing


Privathospitaler




Soslashgemaskiner






9


ver behandlet


























ter


10







enten


eller


















Privathospitaler




personoplysninger



11






helbredsoplysninger




























Privathospitaler


skaber


bydere

Marketingsfirma der


dersoslashgelser









vitet


12




















sesraringdgiver














13









34 Opsummering





telsesraringdgiver



telsesraringdgiver


14








databehandlere


























15






- Universiteter



- Gymnasieskoler



















sesraringdgiver








sation


16



















sesraringdgiver







hvervet


17

Kommuner





samme tid

































sesforordningen


18







Eksempel - Regioner















alle politikredse

















19


rium






nen

44 Opsummering


fra den 25 maj 2018








og organer


20














onen











Intern medarbejder


ver




21





































22

Ekstern medarbejder




















Det indebaeligrer











om databeskyttelse


23









oplysningskampagner

fordeling af ansvar

revisioner











der anmodes herom







tabehandleren


24





































25























skal inddrages



mv









veren


26



















dardindstillinger













ger)








27








regler










Ressourcer



ren







raringdgiveren








28

Adgang




Uafhaeligngighed























delse






bestyrelsen





29




56 Opsummering













Dato

20 december 2017

Justitsministeriet

Slotsholmsgade 10


Telefon

72 26 84 00

Email

jmjmdk







30

ISBN

978-88-98564-35-7

Foto

Scanpix


3

1 Forord




















sesreglerne







nisationen






4











5














telsesreglerne














6










og databehandleren














stort omfang






7



















HR-oplysninger

Salg

Kundekartotek


Bonuskort


IT-support



vitet


Forsyningsselskaber



Servicebranchen

Detailhandel


8












raringdgiver












Cloud-computing


Privathospitaler




Soslashgemaskiner






9


ver behandlet


























ter


10







enten


eller


















Privathospitaler




personoplysninger



11






helbredsoplysninger




























Privathospitaler


skaber


bydere

Marketingsfirma der


dersoslashgelser









vitet


12




















sesraringdgiver














13









34 Opsummering





telsesraringdgiver



telsesraringdgiver


14








databehandlere


























15






- Universiteter



- Gymnasieskoler



















sesraringdgiver








sation


16



















sesraringdgiver







hvervet


17

Kommuner





samme tid

































sesforordningen


18







Eksempel - Regioner















alle politikredse

















19


rium






nen

44 Opsummering


fra den 25 maj 2018








og organer


20














onen











Intern medarbejder


ver




21





































22

Ekstern medarbejder




















Det indebaeligrer











om databeskyttelse


23









oplysningskampagner

fordeling af ansvar

revisioner











der anmodes herom







tabehandleren


24





































25























skal inddrages



mv









veren


26



















dardindstillinger













ger)








27








regler










Ressourcer



ren







raringdgiveren








28

Adgang




Uafhaeligngighed























delse






bestyrelsen





29




56 Opsummering













Dato

20 december 2017

Justitsministeriet

Slotsholmsgade 10


Telefon

72 26 84 00

Email

jmjmdk







30

ISBN

978-88-98564-35-7

Foto

Scanpix


4











5














telsesreglerne














6










og databehandleren














stort omfang






7



















HR-oplysninger

Salg

Kundekartotek


Bonuskort


IT-support



vitet


Forsyningsselskaber



Servicebranchen

Detailhandel


8












raringdgiver












Cloud-computing


Privathospitaler




Soslashgemaskiner






9


ver behandlet


























ter


10







enten


eller


















Privathospitaler




personoplysninger



11






helbredsoplysninger




























Privathospitaler


skaber


bydere

Marketingsfirma der


dersoslashgelser









vitet


12




















sesraringdgiver














13









34 Opsummering





telsesraringdgiver



telsesraringdgiver


14








databehandlere


























15






- Universiteter



- Gymnasieskoler



















sesraringdgiver








sation


16



















sesraringdgiver







hvervet


17

Kommuner





samme tid

































sesforordningen


18







Eksempel - Regioner















alle politikredse

















19


rium






nen

44 Opsummering


fra den 25 maj 2018








og organer


20














onen











Intern medarbejder


ver




21





































22

Ekstern medarbejder




















Det indebaeligrer











om databeskyttelse


23









oplysningskampagner

fordeling af ansvar

revisioner











der anmodes herom







tabehandleren


24





































25























skal inddrages



mv









veren


26



















dardindstillinger













ger)








27








regler










Ressourcer



ren







raringdgiveren








28

Adgang




Uafhaeligngighed























delse






bestyrelsen





29




56 Opsummering













Dato

20 december 2017

Justitsministeriet

Slotsholmsgade 10


Telefon

72 26 84 00

Email

jmjmdk







30

ISBN

978-88-98564-35-7

Foto

Scanpix


5














telsesreglerne














6










og databehandleren














stort omfang






7



















HR-oplysninger

Salg

Kundekartotek


Bonuskort


IT-support



vitet


Forsyningsselskaber



Servicebranchen

Detailhandel


8












raringdgiver












Cloud-computing


Privathospitaler




Soslashgemaskiner






9


ver behandlet


























ter


10







enten


eller


















Privathospitaler




personoplysninger



11






helbredsoplysninger




























Privathospitaler


skaber


bydere

Marketingsfirma der


dersoslashgelser









vitet


12




















sesraringdgiver














13









34 Opsummering





telsesraringdgiver



telsesraringdgiver


14








databehandlere


























15






- Universiteter



- Gymnasieskoler



















sesraringdgiver








sation


16



















sesraringdgiver







hvervet


17

Kommuner





samme tid

































sesforordningen


18







Eksempel - Regioner















alle politikredse

















19


rium






nen

44 Opsummering


fra den 25 maj 2018








og organer


20














onen











Intern medarbejder


ver




21





































22

Ekstern medarbejder




















Det indebaeligrer











om databeskyttelse


23









oplysningskampagner

fordeling af ansvar

revisioner











der anmodes herom







tabehandleren


24





































25























skal inddrages



mv









veren


26



















dardindstillinger













ger)








27








regler










Ressourcer



ren







raringdgiveren








28

Adgang




Uafhaeligngighed























delse






bestyrelsen





29




56 Opsummering













Dato

20 december 2017

Justitsministeriet

Slotsholmsgade 10


Telefon

72 26 84 00

Email

jmjmdk







30

ISBN

978-88-98564-35-7

Foto

Scanpix


6










og databehandleren














stort omfang






7



















HR-oplysninger

Salg

Kundekartotek


Bonuskort


IT-support



vitet


Forsyningsselskaber



Servicebranchen

Detailhandel


8












raringdgiver












Cloud-computing


Privathospitaler




Soslashgemaskiner






9


ver behandlet


























ter


10







enten


eller


















Privathospitaler




personoplysninger



11






helbredsoplysninger




























Privathospitaler


skaber


bydere

Marketingsfirma der


dersoslashgelser









vitet


12




















sesraringdgiver














13









34 Opsummering





telsesraringdgiver



telsesraringdgiver


14








databehandlere


























15






- Universiteter



- Gymnasieskoler



















sesraringdgiver








sation


16



















sesraringdgiver







hvervet


17

Kommuner





samme tid

































sesforordningen


18







Eksempel - Regioner















alle politikredse

















19


rium






nen

44 Opsummering


fra den 25 maj 2018








og organer


20














onen











Intern medarbejder


ver




21





































22

Ekstern medarbejder




















Det indebaeligrer











om databeskyttelse


23









oplysningskampagner

fordeling af ansvar

revisioner











der anmodes herom







tabehandleren


24





































25























skal inddrages



mv









veren


26



















dardindstillinger













ger)








27








regler










Ressourcer



ren







raringdgiveren








28

Adgang




Uafhaeligngighed























delse






bestyrelsen





29




56 Opsummering













Dato

20 december 2017

Justitsministeriet

Slotsholmsgade 10


Telefon

72 26 84 00

Email

jmjmdk







30

ISBN

978-88-98564-35-7

Foto

Scanpix


7



















HR-oplysninger

Salg

Kundekartotek


Bonuskort


IT-support



vitet


Forsyningsselskaber



Servicebranchen

Detailhandel


8












raringdgiver












Cloud-computing


Privathospitaler




Soslashgemaskiner






9


ver behandlet


























ter


10







enten


eller


















Privathospitaler




personoplysninger



11






helbredsoplysninger




























Privathospitaler


skaber


bydere

Marketingsfirma der


dersoslashgelser









vitet


12




















sesraringdgiver














13









34 Opsummering





telsesraringdgiver



telsesraringdgiver


14








databehandlere


























15






- Universiteter



- Gymnasieskoler



















sesraringdgiver








sation


16



















sesraringdgiver







hvervet


17

Kommuner





samme tid

































sesforordningen


18







Eksempel - Regioner















alle politikredse

















19


rium






nen

44 Opsummering


fra den 25 maj 2018








og organer


20














onen











Intern medarbejder


ver




21





































22

Ekstern medarbejder




















Det indebaeligrer











om databeskyttelse


23









oplysningskampagner

fordeling af ansvar

revisioner











der anmodes herom







tabehandleren


24





































25























skal inddrages



mv









veren


26



















dardindstillinger













ger)








27








regler










Ressourcer



ren







raringdgiveren








28

Adgang




Uafhaeligngighed























delse






bestyrelsen





29




56 Opsummering













Dato

20 december 2017

Justitsministeriet

Slotsholmsgade 10


Telefon

72 26 84 00

Email

jmjmdk







30

ISBN

978-88-98564-35-7

Foto

Scanpix


8












raringdgiver












Cloud-computing


Privathospitaler




Soslashgemaskiner






9


ver behandlet


























ter


10







enten


eller


















Privathospitaler




personoplysninger



11






helbredsoplysninger




























Privathospitaler


skaber


bydere

Marketingsfirma der


dersoslashgelser









vitet


12




















sesraringdgiver














13









34 Opsummering





telsesraringdgiver



telsesraringdgiver


14








databehandlere


























15






- Universiteter



- Gymnasieskoler



















sesraringdgiver








sation


16



















sesraringdgiver







hvervet


17

Kommuner





samme tid

































sesforordningen


18







Eksempel - Regioner















alle politikredse

















19


rium






nen

44 Opsummering


fra den 25 maj 2018








og organer


20














onen











Intern medarbejder


ver




21





































22

Ekstern medarbejder




















Det indebaeligrer











om databeskyttelse


23









oplysningskampagner

fordeling af ansvar

revisioner











der anmodes herom







tabehandleren


24





































25























skal inddrages



mv









veren


26



















dardindstillinger













ger)








27








regler










Ressourcer



ren







raringdgiveren








28

Adgang




Uafhaeligngighed























delse






bestyrelsen





29




56 Opsummering













Dato

20 december 2017

Justitsministeriet

Slotsholmsgade 10


Telefon

72 26 84 00

Email

jmjmdk







30

ISBN

978-88-98564-35-7

Foto

Scanpix


9


ver behandlet


























ter


10







enten


eller


















Privathospitaler




personoplysninger



11






helbredsoplysninger




























Privathospitaler


skaber


bydere

Marketingsfirma der


dersoslashgelser









vitet


12




















sesraringdgiver














13









34 Opsummering





telsesraringdgiver



telsesraringdgiver


14








databehandlere


























15






- Universiteter



- Gymnasieskoler



















sesraringdgiver








sation


16



















sesraringdgiver







hvervet


17

Kommuner





samme tid

































sesforordningen


18







Eksempel - Regioner















alle politikredse

















19


rium






nen

44 Opsummering


fra den 25 maj 2018








og organer


20














onen











Intern medarbejder


ver




21





































22

Ekstern medarbejder




















Det indebaeligrer











om databeskyttelse


23









oplysningskampagner

fordeling af ansvar

revisioner











der anmodes herom







tabehandleren


24





































25























skal inddrages



mv









veren


26



















dardindstillinger













ger)








27








regler










Ressourcer



ren







raringdgiveren








28

Adgang




Uafhaeligngighed























delse






bestyrelsen





29




56 Opsummering













Dato

20 december 2017

Justitsministeriet

Slotsholmsgade 10


Telefon

72 26 84 00

Email

jmjmdk







30

ISBN

978-88-98564-35-7

Foto

Scanpix


10







enten


eller


















Privathospitaler




personoplysninger



11






helbredsoplysninger




























Privathospitaler


skaber


bydere

Marketingsfirma der


dersoslashgelser









vitet


12




















sesraringdgiver














13









34 Opsummering





telsesraringdgiver



telsesraringdgiver


14








databehandlere


























15






- Universiteter



- Gymnasieskoler



















sesraringdgiver








sation


16



















sesraringdgiver







hvervet


17

Kommuner





samme tid

































sesforordningen


18







Eksempel - Regioner















alle politikredse

















19


rium






nen

44 Opsummering


fra den 25 maj 2018








og organer


20














onen











Intern medarbejder


ver




21





































22

Ekstern medarbejder




















Det indebaeligrer











om databeskyttelse


23









oplysningskampagner

fordeling af ansvar

revisioner











der anmodes herom







tabehandleren


24





































25























skal inddrages



mv









veren


26



















dardindstillinger













ger)








27








regler










Ressourcer



ren







raringdgiveren








28

Adgang




Uafhaeligngighed























delse






bestyrelsen





29




56 Opsummering













Dato

20 december 2017

Justitsministeriet

Slotsholmsgade 10


Telefon

72 26 84 00

Email

jmjmdk







30

ISBN

978-88-98564-35-7

Foto

Scanpix


11






helbredsoplysninger




























Privathospitaler


skaber


bydere

Marketingsfirma der


dersoslashgelser









vitet


12




















sesraringdgiver














13









34 Opsummering





telsesraringdgiver



telsesraringdgiver


14








databehandlere


























15






- Universiteter



- Gymnasieskoler



















sesraringdgiver








sation


16



















sesraringdgiver







hvervet


17

Kommuner





samme tid

































sesforordningen


18







Eksempel - Regioner















alle politikredse

















19


rium






nen

44 Opsummering


fra den 25 maj 2018








og organer


20














onen











Intern medarbejder


ver




21





































22

Ekstern medarbejder




















Det indebaeligrer











om databeskyttelse


23









oplysningskampagner

fordeling af ansvar

revisioner











der anmodes herom







tabehandleren


24





































25























skal inddrages



mv









veren


26



















dardindstillinger













ger)








27








regler










Ressourcer



ren







raringdgiveren








28

Adgang




Uafhaeligngighed























delse






bestyrelsen





29




56 Opsummering













Dato

20 december 2017

Justitsministeriet

Slotsholmsgade 10


Telefon

72 26 84 00

Email

jmjmdk







30

ISBN

978-88-98564-35-7

Foto

Scanpix


12




















sesraringdgiver














13









34 Opsummering





telsesraringdgiver



telsesraringdgiver


14








databehandlere


























15






- Universiteter



- Gymnasieskoler



















sesraringdgiver








sation


16



















sesraringdgiver







hvervet


17

Kommuner





samme tid

































sesforordningen


18







Eksempel - Regioner















alle politikredse

















19


rium






nen

44 Opsummering


fra den 25 maj 2018








og organer


20














onen











Intern medarbejder


ver




21





































22

Ekstern medarbejder




















Det indebaeligrer











om databeskyttelse


23









oplysningskampagner

fordeling af ansvar

revisioner











der anmodes herom







tabehandleren


24





































25























skal inddrages



mv









veren


26



















dardindstillinger













ger)








27








regler










Ressourcer



ren







raringdgiveren








28

Adgang




Uafhaeligngighed























delse






bestyrelsen





29




56 Opsummering













Dato

20 december 2017

Justitsministeriet

Slotsholmsgade 10


Telefon

72 26 84 00

Email

jmjmdk







30

ISBN

978-88-98564-35-7

Foto

Scanpix


13









34 Opsummering





telsesraringdgiver



telsesraringdgiver


14








databehandlere


























15






- Universiteter



- Gymnasieskoler



















sesraringdgiver








sation


16



















sesraringdgiver







hvervet


17

Kommuner





samme tid

































sesforordningen


18







Eksempel - Regioner















alle politikredse

















19


rium






nen

44 Opsummering


fra den 25 maj 2018








og organer


20














onen











Intern medarbejder


ver




21





































22

Ekstern medarbejder




















Det indebaeligrer











om databeskyttelse


23









oplysningskampagner

fordeling af ansvar

revisioner











der anmodes herom







tabehandleren


24





































25























skal inddrages



mv









veren


26



















dardindstillinger













ger)








27








regler










Ressourcer



ren







raringdgiveren








28

Adgang




Uafhaeligngighed























delse






bestyrelsen





29




56 Opsummering













Dato

20 december 2017

Justitsministeriet

Slotsholmsgade 10


Telefon

72 26 84 00

Email

jmjmdk







30

ISBN

978-88-98564-35-7

Foto

Scanpix


14








databehandlere


























15






- Universiteter



- Gymnasieskoler



















sesraringdgiver








sation


16



















sesraringdgiver







hvervet


17

Kommuner





samme tid

































sesforordningen


18







Eksempel - Regioner















alle politikredse

















19


rium






nen

44 Opsummering


fra den 25 maj 2018








og organer


20














onen











Intern medarbejder


ver




21





































22

Ekstern medarbejder




















Det indebaeligrer











om databeskyttelse


23









oplysningskampagner

fordeling af ansvar

revisioner











der anmodes herom







tabehandleren


24





































25























skal inddrages



mv









veren


26



















dardindstillinger













ger)








27








regler










Ressourcer



ren







raringdgiveren








28

Adgang




Uafhaeligngighed























delse






bestyrelsen





29




56 Opsummering













Dato

20 december 2017

Justitsministeriet

Slotsholmsgade 10


Telefon

72 26 84 00

Email

jmjmdk







30

ISBN

978-88-98564-35-7

Foto

Scanpix


15






- Universiteter



- Gymnasieskoler



















sesraringdgiver








sation


16



















sesraringdgiver







hvervet


17

Kommuner





samme tid

































sesforordningen


18







Eksempel - Regioner















alle politikredse

















19


rium






nen

44 Opsummering


fra den 25 maj 2018








og organer


20














onen











Intern medarbejder


ver




21





































22

Ekstern medarbejder




















Det indebaeligrer











om databeskyttelse


23









oplysningskampagner

fordeling af ansvar

revisioner











der anmodes herom







tabehandleren


24





































25























skal inddrages



mv









veren


26



















dardindstillinger













ger)








27








regler










Ressourcer



ren







raringdgiveren








28

Adgang




Uafhaeligngighed























delse






bestyrelsen





29




56 Opsummering













Dato

20 december 2017

Justitsministeriet

Slotsholmsgade 10


Telefon

72 26 84 00

Email

jmjmdk







30

ISBN

978-88-98564-35-7

Foto

Scanpix


16



















sesraringdgiver







hvervet


17

Kommuner





samme tid

































sesforordningen


18







Eksempel - Regioner















alle politikredse

















19


rium






nen

44 Opsummering


fra den 25 maj 2018








og organer


20














onen











Intern medarbejder


ver




21





































22

Ekstern medarbejder




















Det indebaeligrer











om databeskyttelse


23









oplysningskampagner

fordeling af ansvar

revisioner











der anmodes herom







tabehandleren


24





































25























skal inddrages



mv









veren


26



















dardindstillinger













ger)








27








regler










Ressourcer



ren







raringdgiveren








28

Adgang




Uafhaeligngighed























delse






bestyrelsen





29




56 Opsummering













Dato

20 december 2017

Justitsministeriet

Slotsholmsgade 10


Telefon

72 26 84 00

Email

jmjmdk







30

ISBN

978-88-98564-35-7

Foto

Scanpix


17

Kommuner





samme tid

































sesforordningen


18







Eksempel - Regioner















alle politikredse

















19


rium






nen

44 Opsummering


fra den 25 maj 2018








og organer


20














onen











Intern medarbejder


ver




21





































22

Ekstern medarbejder




















Det indebaeligrer











om databeskyttelse


23









oplysningskampagner

fordeling af ansvar

revisioner











der anmodes herom







tabehandleren


24





































25























skal inddrages



mv









veren


26



















dardindstillinger













ger)








27








regler










Ressourcer



ren







raringdgiveren








28

Adgang




Uafhaeligngighed























delse






bestyrelsen





29




56 Opsummering













Dato

20 december 2017

Justitsministeriet

Slotsholmsgade 10


Telefon

72 26 84 00

Email

jmjmdk







30

ISBN

978-88-98564-35-7

Foto

Scanpix


18







Eksempel - Regioner















alle politikredse

















19


rium






nen

44 Opsummering


fra den 25 maj 2018








og organer


20














onen











Intern medarbejder


ver




21





































22

Ekstern medarbejder




















Det indebaeligrer











om databeskyttelse


23









oplysningskampagner

fordeling af ansvar

revisioner











der anmodes herom







tabehandleren


24





































25























skal inddrages



mv









veren


26



















dardindstillinger













ger)








27








regler










Ressourcer



ren







raringdgiveren








28

Adgang




Uafhaeligngighed























delse






bestyrelsen





29




56 Opsummering













Dato

20 december 2017

Justitsministeriet

Slotsholmsgade 10


Telefon

72 26 84 00

Email

jmjmdk







30

ISBN

978-88-98564-35-7

Foto

Scanpix


19


rium






nen

44 Opsummering


fra den 25 maj 2018








og organer


20














onen











Intern medarbejder


ver




21





































22

Ekstern medarbejder




















Det indebaeligrer











om databeskyttelse


23









oplysningskampagner

fordeling af ansvar

revisioner











der anmodes herom







tabehandleren


24





































25























skal inddrages



mv









veren


26



















dardindstillinger













ger)








27








regler










Ressourcer



ren







raringdgiveren








28

Adgang




Uafhaeligngighed























delse






bestyrelsen





29




56 Opsummering













Dato

20 december 2017

Justitsministeriet

Slotsholmsgade 10


Telefon

72 26 84 00

Email

jmjmdk







30

ISBN

978-88-98564-35-7

Foto

Scanpix


20














onen











Intern medarbejder


ver




21





































22

Ekstern medarbejder




















Det indebaeligrer











om databeskyttelse


23









oplysningskampagner

fordeling af ansvar

revisioner











der anmodes herom







tabehandleren


24





































25























skal inddrages



mv









veren


26



















dardindstillinger













ger)








27








regler










Ressourcer



ren







raringdgiveren








28

Adgang




Uafhaeligngighed























delse






bestyrelsen





29




56 Opsummering













Dato

20 december 2017

Justitsministeriet

Slotsholmsgade 10


Telefon

72 26 84 00

Email

jmjmdk







30

ISBN

978-88-98564-35-7

Foto

Scanpix


21





































22

Ekstern medarbejder




















Det indebaeligrer











om databeskyttelse


23









oplysningskampagner

fordeling af ansvar

revisioner











der anmodes herom







tabehandleren


24





































25























skal inddrages



mv









veren


26



















dardindstillinger













ger)








27








regler










Ressourcer



ren







raringdgiveren








28

Adgang




Uafhaeligngighed























delse






bestyrelsen





29




56 Opsummering













Dato

20 december 2017

Justitsministeriet

Slotsholmsgade 10


Telefon

72 26 84 00

Email

jmjmdk







30

ISBN

978-88-98564-35-7

Foto

Scanpix


22

Ekstern medarbejder




















Det indebaeligrer











om databeskyttelse


23









oplysningskampagner

fordeling af ansvar

revisioner











der anmodes herom







tabehandleren


24





































25























skal inddrages



mv









veren


26



















dardindstillinger













ger)








27








regler










Ressourcer



ren







raringdgiveren








28

Adgang




Uafhaeligngighed























delse






bestyrelsen





29




56 Opsummering













Dato

20 december 2017

Justitsministeriet

Slotsholmsgade 10


Telefon

72 26 84 00

Email

jmjmdk







30

ISBN

978-88-98564-35-7

Foto

Scanpix


23









oplysningskampagner

fordeling af ansvar

revisioner











der anmodes herom







tabehandleren


24





































25























skal inddrages



mv









veren


26



















dardindstillinger













ger)








27








regler










Ressourcer



ren







raringdgiveren








28

Adgang




Uafhaeligngighed























delse






bestyrelsen





29




56 Opsummering













Dato

20 december 2017

Justitsministeriet

Slotsholmsgade 10


Telefon

72 26 84 00

Email

jmjmdk







30

ISBN

978-88-98564-35-7

Foto

Scanpix


24





































25























skal inddrages



mv









veren


26



















dardindstillinger













ger)








27








regler










Ressourcer



ren







raringdgiveren








28

Adgang




Uafhaeligngighed























delse






bestyrelsen





29




56 Opsummering













Dato

20 december 2017

Justitsministeriet

Slotsholmsgade 10


Telefon

72 26 84 00

Email

jmjmdk







30

ISBN

978-88-98564-35-7

Foto

Scanpix


25























skal inddrages



mv









veren


26



















dardindstillinger













ger)








27








regler










Ressourcer



ren







raringdgiveren








28

Adgang




Uafhaeligngighed























delse






bestyrelsen





29




56 Opsummering













Dato

20 december 2017

Justitsministeriet

Slotsholmsgade 10


Telefon

72 26 84 00

Email

jmjmdk







30

ISBN

978-88-98564-35-7

Foto

Scanpix


26



















dardindstillinger













ger)








27








regler










Ressourcer



ren







raringdgiveren








28

Adgang




Uafhaeligngighed























delse






bestyrelsen





29




56 Opsummering













Dato

20 december 2017

Justitsministeriet

Slotsholmsgade 10


Telefon

72 26 84 00

Email

jmjmdk







30

ISBN

978-88-98564-35-7

Foto

Scanpix


27








regler










Ressourcer



ren







raringdgiveren








28

Adgang




Uafhaeligngighed























delse






bestyrelsen





29




56 Opsummering













Dato

20 december 2017

Justitsministeriet

Slotsholmsgade 10


Telefon

72 26 84 00

Email

jmjmdk







30

ISBN

978-88-98564-35-7

Foto

Scanpix


28

Adgang




Uafhaeligngighed























delse






bestyrelsen





29




56 Opsummering













Dato

20 december 2017

Justitsministeriet

Slotsholmsgade 10


Telefon

72 26 84 00

Email

jmjmdk







30

ISBN

978-88-98564-35-7

Foto

Scanpix


29




56 Opsummering













Dato

20 december 2017

Justitsministeriet

Slotsholmsgade 10


Telefon

72 26 84 00

Email

jmjmdk







30

ISBN

978-88-98564-35-7

Foto

Scanpix


30

ISBN

978-88-98564-35-7

Foto

Scanpix

vejledning om databeskyttelses- rådgivere · ringen af, om der er tale om en behandling af...

Documents