Spørgsmål

Skal kommunalt ejede forsyninger have en databeskyttelsesrådgiver?

Skal private/forbrugerejede forsyninger have en databeskyttelsesrådgiver?

Svar

Hverken kommunalt ejede forsyninger eller private/forbrugerejede forsyninger skal have en databeskyttelsesrådgiver.

DANVAs vurdering

Både kommunalt ejede- og private/forbrugerejede forsyninger er private i forhold til persondataforordningen, 2016/679

I de fleste tilfælde vil forsyningen ikke være forpligtet til at ansætte eller tilknytte en databeskyttelsesrådgiver.

Datatilsynet har i sin vejledning om databeskyttelsesrådgivere præciseret, at private er forpligtiget til at have en databeskyttelsesrådgiver, hvis tre betingelser er opfyldt:

  1. Behandling af personoplysninger skal være en kerneaktivitet
  2. Personoplysninger behandles i et stort omfang
  3. Behandlingsaktiviteten består i systematisk og regelmæssig overvågning af personer/ behandlingen vedrører personfølsomme oplysninger eller oplysninger om strafbare forhold

Betingelserne knyttes til, hvilke oplysninger forsyningen har, og hvordan de bliver behandlet.

Med ”kerneaktivitet”” forstås ikke den gængse behandling af personoplysninger, som de fleste virksomheder foretager. 

Forsyninger vil behandle data som en biaktivitet.

Typisk vil hverken kommunalt ejede forsyningsselskaber eller private forsyninger vil således efter DANVAs vurdering behandle (følsomme oplysninger) personoplysninger som deres kerneaktivitet i et stort omfang.

Hverken kommunalt ejede forsyninger eller private/forbrugerejede forsyninger vil derfor være forpligtet til at have en databeskyttelsesrådgiver. Omtalen er begrebet ”kerneakvititet” findes side 7 i vejledningen.

Selvom forsyningerne ikke er forpligtet til at ansætte eller udpege en databeskyttelsesrådgiver skal den resterende del af forordningen overholdes, hvilket hænger sammen med, at 

forsyninger behandler persondata.

Databeskyttelsesrådgivere kan udnævnes frivilligt. I så fald gælder de samme regler for rådgiverens rolle, som hvis det var et krav at udnævne en databeskyttelsesrådgiver.

DANVA vurderer at det vil være de færreste vandselskaber der kan drage store fordele af at udpege en databeskyttelsesrådgiver.

Som et lille kuriosum kan nævnes, at udbydelse af produkter med henblik på videresalg af persondataoplysninger er et forhold, der kan have indflydelse på om et vand- eller spildevandsselskab skal udpege en databeskyttelsesrådgiver. Det fremgår af Justitsministeriets Betænkning  1565, der ligger her (bind 1 af 2).

Der kan udnævnes en fælles databeskyttelsesrådgiver for flere selskaber.

Vejledningen kan tilgås her.

Persondataforordningen træder i kraft 25. maj 2018.

 

Disclaimer

DANVAs vurderinger af de juridiske problemstillinger er tænkt som sparring/vejledning, som kan anvendes i forsyningernes egen sagsbehandling. Vurderingerne er foretaget med afsæt i gældende lovgivning og praksis på tidspunktet for vurderingen, og der tages således forbehold for eventuelle, senere lovændringer og/eller ændring af rets- og administrativ praksis. DANVA påtager sig herefter intet ansvar for eventuelle tab eller skader som følge af det publicerede materiale under ”Spørgsmål & Svar” eller tredjemands brug heraf, hvad enten dette skyldes fejl og uhensigtsmæssigheder i eller manglende opdatering af materialet eller andre årsager.