Multinationale virksomheder og muligheden for fælles DPO
Persondataforordningen er trådt i kraft, og det er det nye krav om, at visse private virksomheder skal udpege en databeskyttelsesrådgiver (”DPO”) også. Reglerne giver mulighed for, at en koncern kan udnævne en fælles DPO forudsat, at alle virksomhederne har let adgang til rådgiveren. Det er dog usikkert, om virksomheder med aktiviteter i flere EU-lande kan udpege en fælles DPO, der opfylder alle forordningens krav. I nyhedsbrevet stiller vi skarpt på multinationale virksomheders muligheder for at udnævne en fælles DPO.
Hvornår skal der udpeges en DPO?
Virksomheder, hvis kerneaktiviteter enten består af omfattende databehandlingsaktiviteter, som kræver regelmæssig og systematisk overvågning, eller hvis kerneaktiviteter består af omfattende behandling af følsomme personoplysninger skal udpege en DPO. Det gælder, uanset om virksomheden er dataansvarlig eller databehandler.
Når en koncern med aktiviteter i flere EU-lande ønsker at udnævne en fælles DPO, forudsætter det, at alle forretningsenheder har let adgang til rådgiveren og at rådgiveren effektivt kan varetage sine opgaver, selvom han eller hun har ansvar for flere virksomheder.
Minimumskrav til DPO'en
En DPO udpeges først og fremmest på baggrund af sine faglige kvalifikationer og ekspertise inden for databeskyttelsesret og evnen til at udføre følgende opgaver:
- Underrette og rådgive virksomheden om forordningens forpligtelser.
- Overvåge gennemførelse og anvendelse af virksomhedens regler for beskyttelse af persondata – både fra EU og nationalt.
- Uddanne medarbejdere, der medvirker ved behandlingsaktiviteter.
- Kontrollere og rådgive virksomheden om gennemførelse og opfyldelse af DPIA.
- Samarbejde med tilsynsmyndigheden.
- Fungere som kontaktpunkt for koncernens etableringer og de registrerede datasubjekter.
Ét fælles kontaktpunkt
Udover kravene til DPO'ens kvalifikationer stilles en række krav til DPO'ens rolle, som kan få betydning for virksomhedens mulighed for at udpege en fælles DPO:
- DPO'en skal være let tilgængelig.
- Kommunikationen mellem DPO’en og den registrerede skal ske på en klar og letforståelig måde.
- DPO'en skal have kendskab til forordningen samt de relevante EU-landes nationale implementering af forordningen.
Kravet om tilgængelighed stiller ikke nødvendigvis et krav om fysisk tilstedeværelse. Det vil formenligt være muligt at opfylde kravene ved at etablere hotlines og andre tekniske løsninger, som vil blive opfattet som tilstrækkelige.
Kravet om en klar og letforståelig kommunikation er i flere sammenhænge også blevet opfattet som et krav om at kommunikere på datasubjekternes sprog. I hvert fald i de situationer, hvor virksomheden iøvrigt kommunikerer på lokalt sprog. I en virksomhed er det eksempelvis nærliggende at stille et krav om, at DPO'en kan kommunikere om medarbejdernes rettigheder under forordningen på medarbejdernes eget lokale sprog.
Kravet om, at DPO'en skal have kendskab til de nationale implementeringer af forordningen, er i flere landet blevet tolket som et krav om, at DPO'en nødvendigvis må være uddannet i de lokale regler og dermed, at det vil være vanskeligt for en fælles DPO at opfylde dette krav.
Samlet set kan det altså ikke udelukkes, at en fælles DPO kan opfylde kravene i forordningen. Men på grund af de krav, der stilles til DPO'ens rolle, vil det i praksis være vanskeligt for DPO'en at opfylde alle kravene, hvis DPO'en har ansvar for flere EU-lande.
Kan min virksomhed outsource DPO-opgaven?
En virksomhed kan også vælge at outsource DPO-opgaven til eksempelvis et advokatfirma. Det kræver selvfølgelig, at virksomheden opfylder alle forordningens krav til stilling, opgaver, uafhængighed og tilgængelighed.
IUNO mener
Virksomheder skal være opmærksomme på, at en fælles DPO opfylder forordningens krav. Det kræver, at DPO'en har kendskab til alle relevante EU-landes nationale databeskyttelsesregler og kan besvare generelle og specifikke henvendelser fra registrerede – i videst muligt omfang og under hensyn til virksomhedens ressourcer - på deres eget lokale sprog.
IUNO anbefaler, at virksomheder, der vælger at outsource DPO-opgaven, sikrer sig, at den virksomhed, der skal varetage opgaven, opfylder alle forordningens krav, at kontrakten mellem parterne effektivt fordeler ansvaret, og at der udpeges en kontaktperson i den eksterne virksomhed, der kan føre opsyn med, at opgaverne bliver varetaget rettidigt og effektivt.
Hvornår skal der udpeges en DPO?
Virksomheder, hvis kerneaktiviteter enten består af omfattende databehandlingsaktiviteter, som kræver regelmæssig og systematisk overvågning, eller hvis kerneaktiviteter består af omfattende behandling af følsomme personoplysninger skal udpege en DPO. Det gælder, uanset om virksomheden er dataansvarlig eller databehandler.
Når en koncern med aktiviteter i flere EU-lande ønsker at udnævne en fælles DPO, forudsætter det, at alle forretningsenheder har let adgang til rådgiveren og at rådgiveren effektivt kan varetage sine opgaver, selvom han eller hun har ansvar for flere virksomheder.
Minimumskrav til DPO'en
En DPO udpeges først og fremmest på baggrund af sine faglige kvalifikationer og ekspertise inden for databeskyttelsesret og evnen til at udføre følgende opgaver:
- Underrette og rådgive virksomheden om forordningens forpligtelser.
- Overvåge gennemførelse og anvendelse af virksomhedens regler for beskyttelse af persondata – både fra EU og nationalt.
- Uddanne medarbejdere, der medvirker ved behandlingsaktiviteter.
- Kontrollere og rådgive virksomheden om gennemførelse og opfyldelse af DPIA.
- Samarbejde med tilsynsmyndigheden.
- Fungere som kontaktpunkt for koncernens etableringer og de registrerede datasubjekter.
Ét fælles kontaktpunkt
Udover kravene til DPO'ens kvalifikationer stilles en række krav til DPO'ens rolle, som kan få betydning for virksomhedens mulighed for at udpege en fælles DPO:
- DPO'en skal være let tilgængelig.
- Kommunikationen mellem DPO’en og den registrerede skal ske på en klar og letforståelig måde.
- DPO'en skal have kendskab til forordningen samt de relevante EU-landes nationale implementering af forordningen.
Kravet om tilgængelighed stiller ikke nødvendigvis et krav om fysisk tilstedeværelse. Det vil formenligt være muligt at opfylde kravene ved at etablere hotlines og andre tekniske løsninger, som vil blive opfattet som tilstrækkelige.
Kravet om en klar og letforståelig kommunikation er i flere sammenhænge også blevet opfattet som et krav om at kommunikere på datasubjekternes sprog. I hvert fald i de situationer, hvor virksomheden iøvrigt kommunikerer på lokalt sprog. I en virksomhed er det eksempelvis nærliggende at stille et krav om, at DPO'en kan kommunikere om medarbejdernes rettigheder under forordningen på medarbejdernes eget lokale sprog.
Kravet om, at DPO'en skal have kendskab til de nationale implementeringer af forordningen, er i flere landet blevet tolket som et krav om, at DPO'en nødvendigvis må være uddannet i de lokale regler og dermed, at det vil være vanskeligt for en fælles DPO at opfylde dette krav.
Samlet set kan det altså ikke udelukkes, at en fælles DPO kan opfylde kravene i forordningen. Men på grund af de krav, der stilles til DPO'ens rolle, vil det i praksis være vanskeligt for DPO'en at opfylde alle kravene, hvis DPO'en har ansvar for flere EU-lande.
Kan min virksomhed outsource DPO-opgaven?
En virksomhed kan også vælge at outsource DPO-opgaven til eksempelvis et advokatfirma. Det kræver selvfølgelig, at virksomheden opfylder alle forordningens krav til stilling, opgaver, uafhængighed og tilgængelighed.
IUNO mener
Virksomheder skal være opmærksomme på, at en fælles DPO opfylder forordningens krav. Det kræver, at DPO'en har kendskab til alle relevante EU-landes nationale databeskyttelsesregler og kan besvare generelle og specifikke henvendelser fra registrerede – i videst muligt omfang og under hensyn til virksomhedens ressourcer - på deres eget lokale sprog.
IUNO anbefaler, at virksomheder, der vælger at outsource DPO-opgaven, sikrer sig, at den virksomhed, der skal varetage opgaven, opfylder alle forordningens krav, at kontrakten mellem parterne effektivt fordeler ansvaret, og at der udpeges en kontaktperson i den eksterne virksomhed, der kan føre opsyn med, at opgaverne bliver varetaget rettidigt og effektivt.
