Datatilsynet har indledt en undersøgelse af rollen som DPO i kommunerne. Datatilsynets undersøgelse sker som led i EDPB’s Coordinated Enforcement Framework (CEF). Formålet med CEF er at koordinere fælles aktiviteter mellem de europæiske tilsynsmyndigheder og derved harmonisere og styrke håndhævelsen af GDPR. EDPB er et uafhængigt europæisk organ, som har til opgave at sikre en ensartet anvendelse af databeskyttelsesreglerne i hele Den Europæiske Union, og som fremmer samarbejde mellem EUs databeskyttelsesmyndigheder.
Datatilsynet har valgt at afgrænse undersøgelsen til at omfatte de DPO’er, der er udpeget for landets kommuner. Baggrunden for det er bl.a., at kommunerne efter databeskyttelsesforordningen er forpligtet til at udpege en DPO, og at kommunerne i høj grad beskæftiger sig med borgerrelateret arbejde, som indebærer behandling af store mængder personoplysninger.
DPO’ens rolle
En DPO har en rådgivende og understøttende rolle i forbindelse med organisationens compliancearbejde. Herudover skal en DPO være kontaktpunkt for de registrerede og rådgive om deres rettigheder.
Formålet med undersøgelsen er at skabe et overblik over DPO’ernes arbejde og eventuelle udfordringer forbundet med det.
Datatilsynet har på denne baggrund sendt et spørgeskema ud til landets kommuner. Resultaterne fra undersøgelsen bliver samlet og analyseret både nationalt og på EU/EØS-niveau. Datatilsynet vil efter undersøgelsen evaluere behovet for bl.a. mere konkret vejledningsindsats rettet mod kommuner og deres DPO’er.
DPO-Foreningen byder undesøgelsen velkommen
Formanden for Danmarks DPO-Forening og advokat hos IFCR-Institut for Cyber Risk, Kasia Torian, byder undersøgelsen velkommen. Danmarks DPO-Forening har udarbejdet to trivselsundersøgelser over DPO’ens arbejde og påpeget udfordringer forbundet med arbejdet, såsom udfordringer i forhold til DPO’ens uafhængighed og i forhold til arbejdsgivers ulovlige instruks. Trivselsundersøgelsen viste, at der stadig er arbejdsgivere både i det offentlige og private, der udøver instruks over for DPO’er i forhold til udførelsen af deres opgaver.
I trivselsundersøgelsen vurderer DPO’er, at de sjældent eller aldrig bliver inddraget rettidigt i spørgsmål om beskyttelse af personoplysninger. Herudover er der stadig DPO’er, der mangler ressourcer til at udføre deres arbejde samt ikke kan rapportere til øverste ledelseslag.
Undersøgelsen blev i sin tid lavet, da Danmarks DPO-Forening havde modtaget henvendelser fra medlemmer, som oplevede at deres uafhængighed og kravet om, at de skulle arbejde uden instruks, blev udfordret af deres arbejdspladser. Yderligere blev drøftet blandt medlemmerne, at de arbejdede rigtig meget og ikke følte, at ledelsen prioriterede området eller afsatte nok ressourcer til det. Endeligt kunne der spores en høj medarbejderomsætning særligt blandt DPO’er.
DPO’en underlagt instruks fra arbejdsgiveren
Danmarks DPO-forening har haft to sager forelagt fra DPO’er, der var i strid med DPO’ens uafhængighed og i begge sager blev DPO’en underlagt instruks fra arbejdsgiveren i strid med databeskyttelsesforordningens artikel 38, stk. 3.
Den første sag drejede sig om, at arbejdsgiver forelagde et tilsyn, som DPO’en måtte føre og DPO’en måtte ikke føre andre tilsyn.
I den anden sag blev DPO’en bedt om at rette og ændre i sin årsrapport til ledelsen. Der var ikke tale om redaktionelle ændringer, der ikke ændrede indholdet, substansen og budskaberne i årsrapporten, der var inden for rammerne af samarbejdet. Der var tale om ændringer, der skulle tegne et bedre billede af organisationens compliance med GDPR.
Begge sager var som DPO svært at navigere i også henset til, at DPO’en sidder alene derude.
Hvis ens organisation begynder at ændre i årsrapporterne, og årsrapporterne ikke viser det korrekte billede længere, er retssikkerheden for overholdelse af GDPR væk.
Hvis der er noget så grel i årsrapporten, som øverste ledelsesniveau skal vide, for på den vis at stille den administrative ledelse til ansvar, er det problematisk, hvis årsrapporten er ændret.
Sikre de registreredes rettigheder
At DPO’en kan rapportere direkte til det øverste ledelsesniveau ved en årsrapport, er bl.a. grundet i, at en DPO ikke har instruks overfor medarbejdere i organisationen, men alene kan rådgive og anbefale i dagligdagen, men ikke kræve en foranstaltning indført. Efter vores opfattelse er uafhængigheden og agerende uden instruks en nødvendig og vigtig del og en forudsætning for arbejdet som DPO og et nødvendigt virkemiddel for at sikre de registreredes rettigheder.
Danmarks DPO-Forening har igangsat et samarbejdet med den norske og svenske DPO-Forening om udarbejdelse af en fælles trivselsundersøgelse for DPO’er.
IFCR-Institut for Cyber Risk står gerne til rådighed med support og rådgivning på vores hotline etableret i forbindelse med Datatilsynets udsendelse af spørgeskema om DPO’ernes arbejde og udfordringer til alle kommuner.
Kontakt Institut For Cyber Risk tirsdag-torsdag i uge 13, mandag-onsdag i uge 14 samt tirsdag – torsdag i uge 15, alle dage mellem 13:00-15:00 på tlf.: 51 62 85 26, hvor Kasia Torian sidder klar til at yde gratis juridisk bistand.