Databeskyt­telses­forordningen - Udfordringerne for kommunerne

Publiceret i: Ret & Indsigt
Udgave: 03/2017

Databeskyttelsesforordningen - Udfordringerne for kommunerne

Justitsministeriets betænkning om databeskyttelsesforordningen gennemgår de kommende ændringer for databeskyttelse. I denne artikel ser vi på tre emner fra en kommunal synsvinkel.

Justitsministeriet udsendte sidst i maj 2017 betænkningen om data­beskyttelses­forordningen og de retlige rammer for dansk lovgivning. Forordningen får virkning fra 25. maj 2018.

Forordningen indebærer nye krav til kommunerne, eksempelvis skal alle kommuner udpege en databeskyttelses­rådgiver (DPO). Dette og andre nye krav i forordningen rejser flere spørgsmål om, hvordan kommuner kan indrette sig for at leve op til forordningen. Betænkningen giver ikke klare svar på alle spørgsmål, og Justitsministeriet har varslet mere konkrete vejledninger i den kommende tid.

Databeskyttelsesrådgiver (DPO)

Hver kommune skal udpege en DPO. DPO’ens funktion er bl.a. at rådgive om persondataretlige spørgsmål internt i kommunen. Når DPO’en udfører den opgave, må han eller hun ikke være underlagt instruktionsbeføjelse fra nogen. Det følger direkte af forordningen.

Det følger også af forordningen, at DPO’en skal referere direkte til det øverste ledelsesniveau. I en kommune er kommunalbestyrelsen det øverste ledelsesniveau. Det fremgår af Justits­ministeriets betænkning, at forordningen i en kommunal kontekst derfor må forstås sådan, at DPO’en skal referere direkte til kommunalbestyrelsen uden forudgående udvalgsbehandling. Det fremgår også, at Økonomi- og Indenrigs­ministeriet efter konkret vurdering vil meddele dispensation til, at DPO’en kan placeres direkte under kommunalbestyrelsen i den kommunale organisation, jf. kommune­styrelses­lovens § 65 c.

Anmeldelse af brud på datasikkerheden

Forordningen indfører et krav om, at hændelser, hvor der sker brud på persondatasikkerheden, skal anmeldes til tilsynsmyndigheden, som for kommunerne vil være Datatilsynet. Brud på persondatasikkerheden kan f.eks. være hændelser, hvor CPR-numre eller andre personoplysninger ved en fejl bliver offentliggjort eller videregivet til uvedkommende.

Anmeldelsen skal ske uden unødig forsinkelse og senest 72 timer efter, at den dataansvarlige (her kommunen) har konstateret hændelsen. Med anmeldelsen skal bl.a. følge en beskrivelse af karakteren af hændelsen, og hvilke tiltag der er iværksat for at begrænse mulige skadevirkninger for de personer, som oplysningerne vedrører.

Det tager tid at få beskrevet alle oplysninger, som kræves med anmeldelsen, og oplysningerne kan derfor også sendes trinvist til Data­tilsynet. Men ifølge betænkningen skal der helt særlige grunde til, før fristen kan overskrides. Det vil derfor være en god idé, at der i kommunen fastlægges konkrete procedurer for, hvordan anmeldelsesforpligtelsen skal håndteres, så fristen kan overholdes.

Fortegnelser over behandlingsaktiviteter

Forordningen indfører også et krav om, at dataansvarlige skal føre interne lister over behandlingsaktiviteter.

For kommuner vil der ifølge betænkningen være tale om, at kravet erstatter det gældende krav i persondataloven om, at offentlige myndigheder skal anmelde visse behandlinger til Datatilsynet (persondatalovens §§ 43-46). Derfor vil kommunerne i vidt omfang kunne tage udgangspunkt i de anmeldelser, de allerede har indsendt til Datatilsynet, for fremadrettet at opfylde kravet om at føre interne fortegnelser.

Tilmeld dig vores nyhedsbrev

x

NYHEDSBREV!

Tilmeld dig Hortens nyhedsbrev og få nyheder, tilbud om gratis arrangementer og gode råd om jura. Vi sender ud, når der er aktuelle nyheder, arrangementer og kurser.