Spørgsmål

Skal kommunalt ejede forsyninger have en databeskyttelsesrådgiver?

Skal private/forbrugerejede forsyninger have en databeskyttelsesrådgiver?

Svar

Hverken kommunalt ejede forsyninger eller private/forbrugerejede forsyninger skal have en databeskyttelsesrådgiver.

DANVAs vurdering

Både kommunalt ejede- og private/forbrugerejede forsyninger er private i forhold til persondataforordningen, 2016/679

I de fleste tilfælde vil forsyningen ikke være forpligtet til at ansætte eller tilknytte en databeskyttelsesrådgiver.

Datatilsynet har i sin vejledning om databeskyttelsesrådgivere præciseret, at private er forpligtiget til at have en databeskyttelsesrådgiver, hvis tre betingelser er opfyldt:

  1. Behandling af personoplysninger skal være en kerneaktivitet
  2. Personoplysninger behandles i et stort omfang
  3. Behandlingsaktiviteten består i systematisk og regelmæssig overvågning af personer/ behandlingen vedrører personfølsomme oplysninger eller oplysninger om strafbare forhold

Betingelserne knyttes til, hvilke oplysninger forsyningen har, og hvordan de bliver behandlet.

Med ”kerneaktivitet”” forstås ikke den gængse behandling af personoplysninger, som de fleste virksomheder foretager. 

Forsyninger vil behandle data som en biaktivitet.

Typisk vil hverken kommunalt ejede forsyningsselskaber eller private forsyninger vil således efter DANVAs vurdering behandle (følsomme oplysninger) personoplysninger som deres kerneaktivitet i et stort omfang.

Hverken kommunalt ejede forsyninger eller private/forbrugerejede forsyninger vil derfor være forpligtet til at have en databeskyttelsesrådgiver. Omtalen er begrebet ”kerneakvititet” findes side 7 i vejledningen.

Selvom forsyningerne ikke er forpligtet til at ansætte eller udpege en databeskyttelsesrådgiver skal den resterende del af forordningen overholdes, hvilket hænger sammen med, at 

forsyninger behandler persondata.

Databeskyttelsesrådgivere kan udnævnes frivilligt. I så fald gælder de samme regler for rådgiverens rolle, som hvis det var et krav at udnævne en databeskyttelsesrådgiver.

DANVA vurderer at det vil være de færreste vandselskaber der kan drage store fordele af at udpege en databeskyttelsesrådgiver.

Som et lille kuriosum kan nævnes, at udbydelse af produkter med henblik på videresalg af persondataoplysninger er et forhold, der kan have indflydelse på om et vand- eller spildevandsselskab skal udpege en databeskyttelsesrådgiver. Det fremgår af Justitsministeriets Betænkning  1565, der ligger her (bind 1 af 2).

Der kan udnævnes en fælles databeskyttelsesrådgiver for flere selskaber.

Vejledningen kan tilgås her.

Persondataforordningen træder i kraft 25. maj 2018.