Indsigt

Artikel 29-gruppen udgiver GDPR-vejledning om tre hovedemner

Den 13. december 2016 vedtog Artikel 29-gruppen sin første vejledning om emner, der behandles i GDPR. Retningslinjerne omhandler tre hovedkrav fra GDPR (artikel 37-39), der rejser mange spørgsmål vedrørende implementeringen heraf:

  • Udnævnelse af en databeskyttelsesrådgiver
  • Retten til at overføre personoplysninger fra én tjeneste til en anden (dataportabilitet) 
  • Hvordan man finder ud af, hvilken databeskyttelseslov der skal være den gældende, når der er tale om databehandling på tværs af landegrænser.

Databeskyttelsesrådgivere
Hvad angår rollen som databeskyttelsesrådgiver, følger dokumentet strukturen og indholdet af de relevante artikler i GDPR (artikel 37-39), som beskriver tre tilfælde, hvor det er obligatorisk at udnævne en databeskyttelsesrådgiver.

For det første er det obligatorisk at have en databeskyttelsesrådgiver, når der er tale om en offentlig myndighed eller et offentligt organ. Det er op til medlemslandene at afgøre, hvornår der er tale om lige præcis det.

For det andet kan det være nødvendigt at have en databeskyttelsesrådgiver, når den dataansvarliges eller databehandlerens kerneaktiviteter består i at udføre aktiviteter, der kræver regelmæssig og systematisk overvågning af de registrerede i stort omfang. Da dette krav er ret omstændeligt, har Artikel 29-gruppen opdelt det i forskellige afsnit ud fra hovedkoncepterne.

Navnlig præciseres det, at udtrykket ”kerneaktiviteter” betyder virksomhedens primære aktiviteter og aktiviteter, der hænger ”uløseligt” sammen med disse kerneaktiviteter. Anvendelsen af udtrykket ”i stort omfang” synes at have til formål at udelukke virksomheder, der har få registrerede, kun behandler en lille mængde data og er begrænset ift. den periode, de må behandle oplysningerne inden for, eller ift. det territoriale anvendelsesområde.

Uanset denne præcisering foretaget af Artikel 29-gruppen ser det ud til, at det igen er op til den enkelte virksomhed at vurdere, hvorvidt deres behandlingsaktiviteter kan ses som værende udført "i stort omfang". Hvad angår "regelmæssig og systematisk overvågning", ser det ud til, at Artikel 29-gruppen holder øje med de virksomheder, der har profilering og sporing som jævnlige aktiviteter.

For det tredje vil der også være krav om en databeskyttelsesrådgiver, hvis den dataansvarliges eller databehandlerens kerneaktiviteter består i behandling i stort omfang af særlige kategorier af data og personlige oplysninger om strafferetlige domme og lovovertrædelser. Arbejdsgruppen har bekræftet, at denne artikel skal forstås som "og/eller", hvilket vil sige, at behandling af kun den ene af disse to kategorier af persondata kan gøre, at kravet skal opfyldes.
En databeskyttelsesrådgiver skal under alle omstændigheder som minimum udføre de opgaver, der er fastsat i artikel 39 i GDPR. Det er i denne sammenhæng vigtigt at bemærke, at databeskyttelsesrådgiveren ikke skal stå for at foretage konsekvensanalyser vedrørende databeskyttelse, men kun forventes at yde rådgivning til den dataansvarlige vedrørende dennes praktiske opgaver. Det er heller ikke meningen, at databeskyttelsesrådgiveren skal føre fortegnelser, men kan i praksis hjælpe den dataansvarlige med dette.

Desuden anbefaler Arbejdsgruppen, at virksomheder, der behandler persondata, foretager en dokumenteret vurdering af, hvorvidt de anser det for obligatorisk at udnævne en databeskyttelsesrådgiver, medmindre det er indlysende, at en sådan udnævnelse ikke er obligatorisk. Hvis en virksomhed frivilligt skulle udnævne en databeskyttelsesrådgiver, vil de samme krav i GDPR gælde, medmindre det præciseres over for alle interessenter i alle offentlige meddelelser, at denne persons funktion ikke er den samme som en formel databeskyttelsesrådgiver efter GDPR, men eksempelvis en CPO eller Privacy Officer.

Dataportabilitet
Den anden vejledning omhandler retten til dataportabilitet. Denne ret sigter mod at øge den registreredes kontrol over egne persondata ved at forpligte den dataansvarlige til at give den registrerede sine persondata tilbage i et almindeligt anvendt, maskinlæsbart format eller til at overføre dem direkte til en anden dataansvarlig.

Retten til dataportabilitet finder anvendelse på persondata, som den registrerede har ”givet”, hvor behandlingen er baseret på samtykke eller er nødvendig for at kunne opfylde en kontrakt. Artikel 29-gruppen fortolker ”givet” bredere, end hvad observatører i branchen havde forventet, da det ikke kun omfatter data, som den registrerede aktivt og forsætligt har givet, men også data, som genereres og indsamles i forbindelse med brugernes aktiviteter. Kun udledte eller afledte data såsom en kundes kreditscore kan ses som værende uden for anvendelsesområdet.

På spørgsmålet om, hvorvidt data, der påvirker den immaterielle ejendomsret, hører ind under anvendelsesområdet, svarer Artikel 29-gruppen, at misbrug af retten mhp. at afsløre eksempelvis forretningshemmeligheder ikke kan tolereres. Det skal dog også understreges, at en potentiel forretningsrisiko ikke i sig selv er en gyldig grund til at afvise en anmodning om dataportabilitet.

Artikel 29-gruppen kommer med en vigtig advarsel om, at den dataansvarlige er forpligtet til at svare på anmodningen, uanset om svaret er positivt eller ej. Den dataansvarlige har kun ret til at afvise anmodningen, hvis denne har gyldige grunde til det.

Databehandling på tværs af landegrænser
Den tredje vejledning, handler om udnævnelse af den ledende tilsynsmyndighed. Den ledende tilsynsmyndighed skal stå for at koordinere tilsynsmyndigheders aktiviteter, når flere EU-lande er involveret – enten fordi den dataansvarlige/databehandleren er etableret i flere EU-lande, eller hvis det er sandsynligt, at dens aktiviteter i høj grad vil påvirke registrerede i flere EU-lande end ét.

For at identificere den ledende tilsynsmyndighed i et europæisk land for en en dataansvarlig, har Artikel 29-gruppen udarbejdet en tjekliste bestående af tre trin.

  1. Hvis den dataansvarlige/databehandleren kun er etableret i ét EU-land, vil den ledende tilsynsmyndighed være i det land, hvor virksomheden har sit hovedkontor. 
  2. Hvis den dataansvarlige har sit hovedkontor i EU vil denne have beslutningsbeføjelser. 
  3. Hvis hovedkontoret ikke har beslutningsbeføjelser, vil den ledende tilsynsmyndighed blive pålagt de lokationer, hvor der foregår lignende behandlinger.

En lignende tilgang er indført, hvad databehandlere angår. Hovedvirksomheden, dvs. stedet for databehandlerens centrale administration i EU, bliver den afgørende faktor. Hvis både en dataansvarlig og en databehandler er involveret, er det altid den dataansvarlige, som er med til at identificere den ledende tilsynsmyndighed. Hvis der er tale om en gruppe af virksomheder, er der yderligere kriterier at tage hensyn til.

2017
Disse vejledende dokumenter, som Artikel 29-gruppen har udgivet, er kun de første ud af flere vejledninger, som virksomhederne og de offentlige myndigheder har ventet på længe. I sin handlingsplan for 2017 har Artikel 29-gruppen forpligtet sig til at leve op til sin handlingsplan for 2016. Herunder at udarbejde retningslinjer for certificering og behandling, der sandsynligvis vil medføre en høj risiko, inden for data beskyttelse (DPIA) og for udstedelse af administrative bøder.

Artikel 29-gruppen har i resten af 2017 planer om at komme med yderligere oplysninger om samtykke og profilering, gennemsigtighed, overførsler af data til tredjelande samt anmeldelse af brud på persondatasikkerheden. Gruppen har desuden til hensigt at arrangere et nyt ”FabLab”, som er en interaktiv workshop, for at få indblik i, hvad de forskellige GDPR-interessenter har af holdninger.

Fandt du dette nyttigt?