Artikel 29-gruppen: Vejledninger om dataportabilitet, DPO'er og ledende tilsynsmyndighed

21 december 2016

Artikel 29-gruppen har den 16. december 2016 offentliggjort tre foreløbige vejledninger, som alle omhandler nogle af de mere omdiskuterede bestemmelser i den kommende persondataforordning. Vejledningerne er offentliggjort med henblik på, at interessenter kan komme med forslag til rettelse og tilføjelser. En mulighed som med al sandsynlighed vil blive brugt flittigt indtil endelig offentliggørelse af vejledningerne ultimo januar 2017.

 

Vejledningerne er bygget op som en uddybende FAQ, som skal afklare nogle af de spørgsmål, som hyppigst er blevet stillet i relation til emnerne: dataportabilitet, Data Protection Officers og hvordan man fastlægger den 'ledende tilsynsmyndighed', når en virksomhed, som behandler persondata, er etableret og/eller udøver virksomhed i flere forskellige medlemsstater.

 

Eksempelvis søger vejledningen om dataportabilitet at kaste lys over formuleringen "personoplysninger… som vedkommende har givet til en dataansvarlig". Der har siden offentliggørelse af teksten været tvivl om, hvad der menes med "give"; om det skal forstås "aktivt", således det kun er oplysninger, som den registrerede aktivt har givet den dataansvarlige, fx ved at indtaste navn, adresse, e-mail og kortoplysninger i forbindelse med et køb, eller om det ligeledes skal forstås "passivt", dvs. oplysninger, som den dataansvarlige selv har indsamlet i forbindelse med den registreredes brug af en enhed eller tjeneste, fx registrering over hvilke musiknumre, den registrerede har hørt via den dataansvarliges musiktjeneste, eller hvilke bøger, den registrerede har købt via en netbutik. Det umiddelbare svar ifølge vejledningen er, at det skal forstås på begge måder, men det er ikke helt entydigt.

 

Vejledningen om DPO'er er ligeledes kærkommen for de virksomheder, hvor DPO'er fremover bliver relevante. Vejledningen omhandler bl.a. problemstillingen omkring DPO'ens uafhængighed, og hvordan man sikrer, at der ikke opstår interessekonflikter, hvis DPO'en også varetager andre funktioner i virksomheden. Vejledningen kaster desuden lys over begrebet "kerneaktivitet", som er essentielt, når man skal afgøre, om man er forpligtet til at have en DPO – dette gøres bl.a. ved hjælp af eksempler og lister over de hensyn, som myndighederne vil lægge vægt på ved afgørelsen.

 

Den sidste vejledning om den ledende tilsynsmyndighed beskæftiger sig særligt med begrebet "hovedvirksomhed" og eksemplificerer begrebet gennem forskellige selskabs- og koncernstrukturer.

 

Vi følger op, når vejledningerne offentliggøres i endelig udgave.