Nye retningslinjer fra Artikel 29-gruppen vedrørende DPO'er og dataportabilitet

I forlængelse af de foreløbige retningslinjer der udkom i december 2016 har Artikel 29-gruppen nu færdiggjort deres retningslinjer på områderne vedrørende DPO'er (databeskyttelsesrådgiver) og dataportabilitet. I den forbindelse er en række nye vejledende informationer blevet fremlagt.

Data Protection Officer (DPO)

I de nye retningslinjer fremhæver Artikel 29-gruppen en række nøglepunkter i forbindelse med udpegelsen af en DPO, herunder blandt andet hvornår udpegelsen af en DPO er obligatorisk, om en DPO bliver holdt personligt ansvarlig i tilfælde af, at virksomheden ikke overholder Forordningen, hvilke kompetencer en DPO skal besidde etc.

En række af disse nøglepunkter er følgende:

Hvornår en DPO kræves udpeget

Alle offentlige myndigheder og offentligretlige organer skal udnævne en DPO med undtagelse af domstole, når de handler i deres egenskab af domstol.

Private virksomheder er forpligtet til at udnævne en DPO, hvis enten den dataansvarlige eller databehandleren har en kerneaktivitet bestående af:

• Behandling af personoplysninger, som kræver regelmæssig og systematisk overvågning af registrerede i stort omfang, eller
• Behandling i stort omfang af følsomme oplysninger eller oplysninger om strafbare forhold

Der skal kun udpeges én DPO, og det foretrækkes, at DPO’en er bosat inden for EU’s grænser. DPO’en kan støttes af et team, hvis dette er nødvendigt af hensyn til organisationens størrelse og mængden af data, der behandles.

Det er tilladt at udpege en ekstern konsulent som DPO, forudsat at kravene i henhold til Persondataforordningen overholdes, herunder reglerne om upartiskhed, tilgængelighed etc. Artikel 29-gruppen understreger i den forbindelse vigtigheden i, at vilkårene for en DPO tydeligt fremgår af kontrakten, og at parterne er nået til enighed om DPO'ens titel, status, position og opgaver.

Der kan udpeges en fælles DPO under forudsætning af, at kravene, som er nævnt ovenfor (upartiskhed, tilgængelighed, etc.), er opfyldt. En DPO skal eksempelvis være tilgængelig for alle de registrerede samt tilsynsmyndighederne. I den forbindelse påpeger Artikel 29-gruppen, at en DPO, med hjælp fra dennes eventuelle team, skal kunne kommunikere med de registrerede, herunder tale det sprog, de registrerede sandsynligvis kan tale. Artikel 29-gruppen ligger derfor op til, at en DPO i multinationale organisationer både bør være persondataeksperter og sprogkyndige, men åbner også op for, at der kan gives assistance fra et team, hvis nødvendigt, således at DPO'en altså ikke skal kunne tale alle sprog i EU. I forhold til tilgængeligheden uddybes, at dette kan opnås både ved fysisk tilstedeværelse i virksomheden eller myndigheden eller fx via en hotline. En sådan hotline skal være sikker og må ikke overvåges.

Big data et eksempel på " regelmæssig og systematisk overvågning"

Enhver form for sporing og profilering på internettet, herunder med henblik på at forudsige adfærds- og indkøbsmønstre til brug for risikostyring, data-drevne marketing aktiviteter og e-mail retargeting nævnes som eksempler på regelmæssig og systematisk overvågning. Som noget nyt får Artikel 29-gruppen altså her understreget, at alle virksomheder, der i stort omfang håndterer big data, nu vil skulle leve op til kravet om ansættelse af en DPO.

Frivilligt udpegede DPO'er

Det kan for mange virksomheder være svært at vurdere, om de er underlagt forpligtelsen til at udpege en DPO, hvorfor mange virksomheder vil ansætte en DPO for at være på den sikre side, også selvom det senere skulle vise sig, at de ikke var forpligtede til det. Artikel 29-gruppen opfordrer i deres vejledning til denne frivillige ansættelse af en DPO og bekræfter, at også frivilligt udpegede DPO’er er underlagt samme regler som de obligatoriske DPO’er.

Organisationer, der ikke frivilligt vælger at udnævne en DPO, anbefales at dokumentere, hvorfor organisationen ikke mener at være underlagt forpligtelsen til at have en DPO. De bagvedliggende analyser skal gemmes, da disse analyser og vurderinger kan (i) kræves udleveret af Datatilsynet og (ii) skal tages op til genovervejelse ved etableringen af enhver ny aktivitet eller tjenesteydelse. Grundet de stigende juridiske konsekvenser en sådan analyse medfører, anbefales organisationerne at være grundige i deres vurderinger.

Ansatte i visse stillinger er udelukket fra at være DPO

Forordningen indeholder krav om, at DPO’ens opgaver ikke må medføre interessekonflikter. Artikel 29-gruppen har på den baggrund identificeret to grupper af ansatte, der grundet deres stilling sandsynligvis vil skabe interessekonflikter og derfor ikke bør udnævnes til DPO:

• Interne: ledelsesstillinger (eksempelvis CEO, COO, CFO, marketingschefer, medicinaldirektører, HR-chefer og IT-chefer) og andre, der afgør til hvilket formål og med hvilke hjælpemidler, der må foretages behandling af personoplysninger.
• Eksterne: hvis en ekstern DPO (f.eks. en advokat) løbende rådgiver de dataansvarlige og databehandlerne, kan dette medføre, at vedkommende er afskåret fra at repræsentere organisationen ved domstolene i sager, der omhandler eventuelle brud på persondatareglerne.

Hvilke kompetencer en DPO skal besidde

Artikel 29-gruppen fremhæver blot listen i forordningens artikel 39, der oplister en række opgaver, som DPO'en som minimum skal varetage, fx at overvåge overholdelsen af persondataforordningen. Til dette bemærker Artikel 29-gruppen, at et højere niveau af ekspertise er påkrævet jo mere kompleks og/eller følsom personoplysninger er, eller jo større mængden af data, der behandles, er.

En DPO vil ikke blive holdt personligt ansvarlig

På dette punkt er retningslinjerne klare. Det er den dataansvarlige og databehandleren – ikke den enkelte medarbejder, inklusiv DPO'en – der bærer ansvaret for at overholde Forordningens regler.

Rollen som DPO

Artikel 29-gruppen understreger vigtigheden i, at DPO'en involveres i alle spørgsmål, der vedrører beskyttelse af personoplysninger, og at DPO'ens primære opgave er at sikre organisationens overholdelse af forordningens regler. Databehandlere og dataansvarlige kan derfor ikke vælge at undlade at involvere DPO'en i udvalgte områder, som vedrører persondatabeskyttelse. I den forbindelse skal DPO'en inddrages i alle vigtige beslutninger og bør stilles de fornødne ressourcer til rådighed, herunder support, budget, faciliteter og betaling for efteruddannelse. Hvis der opstår et sikkerhedsbrud, skal DPO'en straks underrettes herom.

Hvis ledelsen bliver uenig med en DPO

Retningslinjerne fastslår, at der ikke må gives instrukser til DPO'en om, hvordan vedkommende skal behandle en sag, hvilke resultater vedkommende skal opnå, eller om der skal rådføres med en tilsynsmyndighed. I tilfælde af at ledelsen er uenig med en DPO, bør man af hensyn til god praksis dokumentere begrundelsen for ikke at følge DPO'ens rådgivning.

En DPO kan ikke afskediges eller sanktioneres (herunder indirekte, for eksempel ved forebyggelse af karriereudvikling) for at udføre sine opgaver - dette vil udgøre et brud på forordningen.

Dataportabilitet

Retten til dataportabilitet er et af de meget ambitiøse elementer i den nye persondataforordning. For første gang er det påkrævet af alle dataansvarlige på tværs af alle industrier at udlevere personoplysninger til den registrerede – eller overføre dem direkte til konkurrenterne – i et struktureret, gængs og maskinlæsbart format.

Retningslinjerne kaster lys på en række af de hidtidige usikkerheder omkring dataportabilitetsrettigheden ved at fremhæve følgende:

Dataportabilitet udvider retten til indsigt og giver de registrerede mere kontrol over egne personoplysninger

Dataansvarlige er i forvejen forpligtet til at give den registrerede indsigt i, om den dataansvarlige behandler den pågældendes personoplysninger og i givet fald hvilke. Dataportabilitet udgør en styrkelse af denne rettighed, idet den dataansvarlige nu skal udlevere personoplysningerne i et almindelig anvendt og maskinlæsbart format. Rettigheden gør det muligt for de registrerede at have mere kontrol med deres egne personoplysninger, idet det f.eks. er nemmere at skifte mellem service udbydere, som fx banker, sociale medieplatforme, osv.

Dataportabilitet finder anvendelse på et mindre sæt af personoplysninger

Hvor indsigtsretten finder anvendelse på alle personoplysninger, er det kun følgende personoplysninger, som retten til dataportabilitet vedrører:

• Personoplysninger, der behandles elektronisk;
• Personoplysninger, som den dataansvarlige har indhentet fra den registrerede; og
• Personoplysninger, der behandles med hjemmel i den registreredes samtykke eller i henhold til en kontrakt med den registrerede.

Hvad angår personoplysninger indhentet fra den registrerede, har Artikel 29-gruppen udtalt, at det inkluderer oplysninger, som den registrerede aktivt og bevidst har leveret. Dette omfatter også observeret data, herunder søgningshistorik, trafik og lokaliseringsdata samt oplysninger fra fitness trackers.

Data, som tjenesteyderen udleder af ovennævnte oplysninger, f.eks. personalisering, anbefalinger eller profiler oprettet i forbindelse med risikostyring og finansielle regler (f.eks. i forbindelse ved kreditvurderinger eller for at overholde hvidvaskningsreglerne), er ikke "leveret" af den enkelte og falder uden for anvendelsesområdet for dataportabilitet. Der sondres derfor mellem data, der direkte er leveret eller indsamlet, og data, som efterfølgende udledes af de indsamlede personoplysninger.

Artikel 29-gruppen ser tydeligvis denne brede fortolkning som nødvendig for at sikre, at retten til dataportabilitet benyttes korrekt i en tid, hvor IoT (Internet of Things) bliver mere og mere udbredt.

Når personoplysningerne relaterer sig til mere end én person

Artikel 29-gruppen mener ikke, at den dataansvarlige er forhindret i at udlevere personoplysningerne, blot fordi de relaterer sig til flere individer. Den originale udbyder er dermed ikke forpligtet til at sikre, at den nye udbyder eller vedkommende, som anmoder om overførslen, ikke krænker andre individers ret til beskyttelse af personoplysninger. Dette er en sag for modtageren af personoplysninger, som i kraft af dennes selvstændige rolle som databehandler er forpligtet til at overholde persondatareglerne.

Derimod er den originale udbyder ansvarlig for sikkerheden af personoplysningerne, mens den porteres til den registrerede eller en anden udbyder.

Overførsel af personoplysninger "uden hindring" og "hvis teknisk muligt"

Dataportabilitet er både en ret til at modtage personoplysninger i et indbyrdes kompatibelt format, som den registrerede kan overføre til en anden dataansvarlig "uden hindring", og en ret til at få overført ens personoplysninger direkte fra en dataansvarlig til en anden, når dette er teknisk muligt.

Artikel 29-gruppen har i retningslinjerne præciseret, at en "hindring" kan udgøre enhver juridisk, teknisk eller økonomisk hindring, som en dataansvarlig har skabt for at undlade eller forsinke adgang, overførsel eller genbrug af personoplysninger. Dette inkluderer gebyrer, manglende anvendelse af indbyrdes kompatible formater, overdrevne forsinkelser, bevidst tilsløring eller unødig akkreditering. Artikel 29-gruppen anerkender dog, at der kan være legitime hindringer, herunder hvor det er nødvendigt af hensyn til sikkerheden eller beskyttelsen af andres rettigheder. Hertil nævnes, at der i mangel af industristandarder kan anvendes almindelige filformater, såsom XML. Dette udgør et tilstrækkeligt indbyrdes kompatibelt format.

Hvad angår "teknisk muligt", har Artikel 29-gruppen præciseret, at en direkte overførsel er teknisk mulig, når kommunikation mellem to systemer er mulig på en sikret måde, og når det modtagende system er teknisk i stand til at modtage de indkomne personoplysninger. Den oprindelige dataansvarlige har således ingen pligt til at oprette eller vedtage kompatible behandlingssystemer – det er snarere den modtagende databehandler, der skal have et kompatibelt system for at gennemføre en direkte overførsel. I tilfælde af at virksomheder er forhindret i at gennemføre en direkte overførsel, skal dette begrundes over for den registrerede, der har anmodet om overførslen.

Databehandlerens forpligtelser

Retten til dataportabilitet forpligter som udgangspunkt kun den dataansvarlige, der har pligt til, under visse betingelser, at udlevere og overføre den registreredes personoplysninger til en anden dataansvarlig. Databehandlerne vil imidlertid også have kontraktuelle forpligtelser til at assistere den dataansvarlige med at gøre personoplysningerne tilgængelige ved hjælp af fornødne tekniske og organisatoriske foranstaltninger. Artikel 29-gruppen har på den baggrund konkluderet, at den dataansvarlige bør implementere specifikke procedurer i samarbejde med databehandleren for at håndtere anmodninger fra de registrerede om at få deres personoplysninger overført.

Sektorspecifikke adgangs- og portabilitetsrettigheder har forrang

Artikel 29-gruppen har i retningslinjerne understreget, at når retten til dataportabilitet er i konflikt med andre adgangs- og portabilitetskrav i sektor-specifikke EU-regler eller medlemslandenes lovgivning, finder retten til dataportabilitet i henhold til forordningen ikke anvendelse, medmindre den, der anmoder herom, ønsker at benytte sig af rettigheden. I så fald må den dataansvarlige tage konkret stilling til samspillet mellem de konkurrerende rettigheder i hver enkelt sag.

Begrænsninger i retten til dataportabilitet

I henhold til Persondataforordningen må dataportabilitet ikke krænke andre individers rettigheder, men samtidig må det ikke resultere i, at den dataansvarlige nægter at udlevere alle de efterspurgte personoplysninger til den registrerede. I den forbindelse udtaler Artikel 29-gruppen, at en potentiel forretningsmæssig risiko ikke kan retfærdiggøre, at virksomheder nægter at foretage dataportabilitet.

Artikel 29-gruppens anbefalinger

For at implementere retten til dataportabilitet på tilstrækkelig vis har Artikel 29-gruppen i retningslinjerne anbefalet virksomheder og organisationer at:

• Udvikle indbyrdes kompatible dataformater;
• Udvikle API'er (Application Programming Interface - en softwaregrænseflade, der tillader et stykke software at interagere med andet software) for at gøre det lettere at portere personoplysninger fra en udbyder til en anden;
• Forklare den enkelte, hvad forskellen er mellem de personoplysninger, der er tilgængelige ved anmodning om indsigt, og de personoplysninger, der er tilgængelige ved anmodning om dataportabilitet;
• Tilvejebringe portaler eller værktøjer, der giver den enkelte mulighed for at vælge personoplysninger til portering og fravælge oplysninger om andre;
• Udvikle værktøjer til at indhente samtykke fra andre, hvis data er inkluderet i en anmodning om dataportabilitet.