Telenor får millionbøde for ikke-uafhængig databeskyttelsesrådgiver
Det norske Datatilsyn har pålagt Telenor ASA en bøde på fire millioner kroner for manglende organisatoriske foranstaltninger og utilstrækkelige retningslinjer for virksomhedens databeskyttelsesrådgiver (DPO).
Hvis din organisation eller myndighed har en DPO, er særligt én ting i afgørelsen interessant at være opmærksom på: Dokumentation af uafhængighed.
Afgørelsen sætter fokus på to afgørende områder af DPO-ansvaret
Det norske Datatilsyn kommer med sin afgørelse, fordi tilsynet konstaterede, at Telenor ikke havde dokumenteret DPO’ens uafhængighed og mulige interessekonflikter samt en manglende rapporteringslinje til øverste ledelsesniveau.
Der er to ting, du skal tage med dig fra afgørelsen:
- Din interne DPO skal være uafhængig af mulige interessekonflikter mellem DPO-rollen og medarbejderens andre opgaver
- Du skal kunne dokumentere, at du har vurderet DPO’ens uafhængighed og egnethed
Det er krav, at en DPO er uafhængig
Det er et krav ifølge databeskyttelsesforordningen, at hvis du som dataansvarlig eller databehandler har en DPO, så skal DPO’en være uafhængig. Det vil sige, at du som dataansvarlig eller databehandler har pligt til at sørge for, at organisationen eller myndighedens DPO ikke pålægges opgaver, der kan resultere i interessekonflikter.
Et eksempel på en interessekonflikt i DPO’ens roller
Interessekonflikten kan eksempelvis opstå, hvis DPO’en er IT-chef med ansvaret for IT-sikkerheden i organisationen eller myndigheden.
Som IT-chef har personen ansvar for at implementere og drive systemer, hvor der behandles personoplysninger – altså træffe beslutninger om "hvordan" og "hvorfor" data behandles. Men som DPO skal vedkommende føre tilsyn med netop disse beslutninger og sikre, at behandlingen sker i overensstemmelse med GDPR.
Det skaber altså en klar interessekonflikt, fordi DPO’en i praksis skal kontrollere sine egne beslutninger og handlinger, hvilket underminerer DPO’ens uafhængighed og funktion som uafhængig tilsynsførende. Derfor kan det i nogle situationer være en fordel at vælge en ekstern DPO.
Derudover ligger der også et beskyttelseshensyn overfor organisationen eller myndighedens DPO, da man ikke ønsker, at en DPO kan blive mødt med ansættelsesretlige konsekvenser på baggrund af sine vurderinger.
Telenor havde pligt til at dokumentere sin vurdering af DPO’ens egnethed
Datatilsynet lagde desuden vægt på, at Telenor er forpligtet til at kunne dokumentere sin vurdering af DPO’ens rolle. Som dataansvarlig eller databehandler har du nemlig ansvaret for at dokumentere, at DPO’en er uafhængig, og hvordan dette sikres i praksis.
Det vil sige, at du skal kunne bevise, at du har udarbejdet en vurdering af, om personen er egnet som DPO i henhold til dennes øvrige opgaver og ansvar i organisationen eller virksomheden.
Undgå disse faldgruber, når du skal vælge intern eller ekstern DPO
Der er nogle faldgruber, du skal være opmærksom på, når du vurderer, om I skal bruge en intern eller ekstern DPO:
- En DPO skal være uafhængig. Det betyder bl.a., at denne funktion skal være klart adskilt fra de funktioner, der kan komme i modstrid med DPO’ens kontrolfunktion. Det betyder, at en DPO eksempelvis ikke må være informationssikkerhedschef samtidig med DPO-rollen. Så selvom der er væsentlige ressourcer at spare ved at give en intern medarbejder DPO-kasketten på, skal du sikre dig, at personen er uvildig, og at du kan dokumentere dette.
- Husk dokumentation. Når du vælger en intern DPO, skal du kunne dokumentere, at du har vurderet, at DPO’en er egnet til rollen i forhold til medarbejderens andre opgaver og ansvarsområder – formålet er at undgå interessekonflikter.
- Der er forskel på udgifterne. Hvor en ekstern DPO kan virke dyr på kort sigt, fordi det er en ny udgift i budgettet, så kan en intern DPO være omkostningstung over tid pga. uddannelseskrav, personaleudgiften og kravet om uafhængighed mellem personens forskellige roller i virksomheden.
- Prioriter løbende undervisning. En intern DPO kan mangle tilstrækkelig ekspertise i databeskyttelsesret og praksis - især når GDPR-landskabet ændrer sig hurtigt. Sørg derfor for løbende undervisning af din interne DPO. Vi tilbyder en række forskellige arrangementer, som din interne DPO kan bruge til faglig udvikling og sparring - se f.eks. vores muligheder, sparring eller GDPR-netværk i både Nordjylland og Midtjylland.
- Intern DPO kræver ekstra ressourcer. Når du har en intern DPO, der samtidig skal passe en stilling med andre opgaver, kan det være svært for medarbejderen at løfte DPO-rollen på tilstrækkelig vis på grund af de andre opgaver. Sørg derfor for at allokere ekstra ressourcer og tid til den interne DPO.
Få værdi og sikkerhed med en ekstern DPO
-
” Vi er glade for vores eksterne DPO-samarbejde og for at have en sparringspartner, som er til at få fat på, og som kan ”oversætte” de lidt komplekse GDPR-regler, så vi har bedre mulighed for at overholde dem i praksis. ”
Peter Ydesen, Teknisk Chef hos Hirtshals Havn
-
” Ved at vælge en ekstern DPO har vi ikke kun opfyldt loven. Vi har også fået adgang til en ekspertise og viden, der er med til at styrke vores organisation. ”
Sine Kjær, Stabschef, Økonomi- og Personaleforvaltningen
-
” HjulmandKaptains oplæg om grundlæggende GDPR var rigtig godt, og deres store svarvillighed på alle vores spørgsmål har givet os et langt bedre fundament for det fortsatte fokus på GDPR i afdelingen og ikke mindst et fælles sprog. Så det var helt perfekt. ”
Funktionschef hos en uddannelsesinstitution
Lad os styrke din organisation som ekstern DPO
Skal vi være ekstern DPO for din organisation eller virksomhed?
Med os som DPO får du en specialist med mange års erfaring i netop rollen som ekstern DPO. Vi er uafhængige, har indgående kendskab til databeskyttelsesret, og vi er altid opdateret på området, så du er sikret ny viden.
Du kan læse mere om vores DPO-arbejde her, men du er også velkommen til at række direkte ud til os, hvis vi skal afklare dine muligheder sammen. Husk, den første samtale er altid uforpligtende.
Vores specialister i databeskyttelse
Nyheder
Se flere-
Nyhed09.04.2025
Telenor får millionbøde for ikke-uafhængig databeskyttelsesrådgiver
Læs nyhed
-
Nyhed08.04.2025
Reglerne for udpegelse af kurator strammes efter ”Den sorte svane”
Læs nyhed
-
Nyhed02.04.2025
Har ansatte i fleksjob ret til pension?
Læs nyhed
-
Nyhed28.03.2025
Nye ændringer i ligestillingsloven og ligebehandlingsloven
Læs nyhed
-
Case28.03.2025
Sæby Fiske-Industri fik 100 % medhold i entreprisesag til millioner
Se case
-
Nyhed25.03.2025
Nu er det muligt at få en afsluttet arbejdsskadesag genoptaget
Læs nyhed
-
Case13.03.2025
HjulmandKaptain har rådgivet Vækst-Invest vedrørende investering
Se case
-
Nyhed03.03.2025
Ny EU-dom: Enerettigheder er ikke automatisk nok til at begrunde direkte kontrakt-tildeling
Læs nyhed
-
Nyhed27.02.2025
Kapitalkravet for anpartsselskaber er halveret til DKK 20.000
Læs nyhed
Tilmeld dig
HjulmandKaptains
Få nyheder, invitationer til arrangementer, gode råd og viden om jura inden for de fagområder, der interesserer dig.