Indsigt

Artikel 29-gruppen løfter sløret for nye ændringer

Artikel 29-gruppen har offentliggjort sin endelige vejledning om databeskyttelsesrådgivere, ledende myndigheder og retten til dataportabilitet. Vi kigger nærmere på, hvad det betyder for virksomheder og organisationer.

Databeskyttelsesrådgivere, ledende myndigheder og dataportabilitet er blevet debatteret flittigt henover sommeren. Nu har Artikel 29-gruppen leveret nyttige præciseringer, som organisationer skal tage højde for, når de forbereder overholdelse af disse tre emner.

Databeskyttelsesrådgivere (DPO’er)
I vejledningen fremgår det blandt andet, at en DPO bør være placeret i EU for at være tilgængelig. Da kun én person kan udpeges som DPO, er det nu klart, at denne person rent faktisk kan støttes af et team. Det er interessant, at både DPO’en og/eller medlemmerne fra dennes supportteam kan være involveret på grund af en servicekontrakt. En anden bemærkelsesværdig præcisering vedrører interessekonflikter for internt udnævnte DPO'er. Som tommelfingerregel kan medarbejdere i både ledende stillinger og på lavere niveauer (hvis de beslutter formålet med og/eller midlerne til databehandling) muligvis betragtes som konfliktende, hvorfor de ikke kan udpeges som DPO. Derfor anbefales det, at organisationer, der søger at udnævne en intern DPO, omhyggeligt evaluerer de potentielle kandidaters position, opgaver og jobbeskrivelse for at afdække interessekonflikter. Derudover fastsætter Artikel 29-gruppen, at DPO’ens forpligtelse til hemmeligholdelse ikke forbyder ham/hende at kontakte og søge råd hos tilsynsmyndigheder.

Dataportabilitet
Artikel 29-gruppen skriver, at dataansvarlige bør implementere specifikke procedurer for deres databehandlere for at kunne håndtere anmodninger om dataportabilitet på tilfredsstillende vis. Det kræver omhyggeligt samarbejde fra begge parter for at sikre effektiviteten af sådanne foranstaltninger, som bedst fastholdes i passende kontraktbestemmelser og forpligtelser. Vejledningen præciserer også, at alle personoplysninger, der ikke er omfattet af den juridiske begrundelse for samtykke eller i henhold til en kontrakt såsom personoplysninger behandlet i en finansiel institution som led i dennes forpligtelser til at bekæmpe hvidvask, ikke er omfattet af dataportabilitet. Yderligere bør følgende datatyper gøres flytbare: Personoplysninger observeret fra brugeraktiviteter omfatter nu også aktivitet indsamlet af forbundne objekter ud over intelligente målere, aktivitetslogs og historik fra hjemmesidebrug eller søgeaktiviteter. Inklusionen af 'observerede' personoplysninger til også at være omfattet af retten til dataportabilitet har mødt kritik som en uberettiget udvidelse af anvendelsesområdet. Som sådan sidestilles data ikke stringent med personoplysninger 'leveret' af den registrerede.

Ledende tilsynsmyndigheder
Som en del af GDPR’s one-stop shop-mekanisme konkretiseres det, at fælles dataansvarlige indbyrdes bør definere, hvilken virksomhed, der skal hjælpe med at fastlægge den ledende tilsynsmyndighed. Mest bemærkelsesværdigt: hvor udkastet af denne vejledning inkluderer et eksempel, der viser, at en organisation vil være nødt til at rapportere brud på persondatasikkerheden til den ledende tilsynsmyndighed, er dette eksempel blevet slettet fra den endelige version. Mens dette skaber en vis usikkerhed, tyder det også på, at Artikel 29-gruppens fremtidige vejledninger vil indeholde klare retningslinjer på dette område.

DPIA
Udover de tre ovenstående emner offentliggjorde Artikel 29-gruppen sit udkast til vejledning til konsekvensanalyser vedr. databeskyttelse (DPIA), som nu er åben for offentlig høring. I sit udkast til DPIA-vejledningen giver Artikel 29-gruppen nyttig indsigt i de kriterier, der bestemmer, om udførelse af en DPIA er obligatorisk, samt hvilke hovedbudskaber der vedrører brugen af eksisterende metodikker til at gennemføre en DPIA. Interessant nok omfatter udkastet til vejledningen også Artikel 29-gruppens kriterier til en acceptabel DPIA. Det styrker formodningen om, at organisationer tillades nogen fleksibilitet i forhold til at skræddersy en DPIA-proces, forudsat at en vis grænse for kvalitet opfyldes. Organisationer, der allerede udfører disse analyser, anbefales at vurdere, om deres tilgang opfylder Artikel 29-gruppens kriterier.  

Fandt du dette nyttigt?