Svar
En offentlig forvaltning er underlagt reglerne i den generelle forordning om databeskyttelse, når personoplysninger om enkeltpersoner behandles. Det er de nationale myndigheders ansvar at bistå regionale og lokale myndigheder i forberedelserne til indførelsen af den generelle forordning om databeskyttelse.
De fleste personoplysninger, som offentlige forvaltninger opbevarer, bliver normalt behandlet på baggrund af en retlig forpligtelse eller i det omfang, det er nødvendigt for at udføre opgaver vedrørende samfundsinteresser eller udøvelsen af offentlig myndighed, som den offentlige forvaltning er pålagt.
Ved behandling af personoplysninger skal en offentlig forvaltning overholde en række hovedprincipper, som for eksempel:
- rimelig og lovlig behandling
- formålsbegrænsning
- dataminimering og dataopbevaring.
Ved behandling af personoplysninger på et retligt grundlag, bør den pågældende lovgivning som udgangspunkt allerede sikre, at principperne overholdes (f.eks. datatyper, lagringsperiode og passende sikkerhedsforanstaltninger).
Inden behandling af personoplysninger skal enkeltpersonerne informeres om behandlingen, herunder til hvilke formål, de indsamlede typer af oplysninger, modtagerne og databeskyttelsesrettighederne.
En offentlig forvaltning er pålagt at udpege en databeskyttelsesrådgiver. En fælles databeskyttelsesrådgiver kan udpeges og deles af flere offentlige organer, eller opgaverne kan outsources til en ekstern databeskyttelsesrådgiver. Den offentlige forvaltning skal desuden sikre, at der er iværksat passende tekniske og organisatoriske foranstaltninger til at sikre personoplysningerne. Hvis dele af behandlingen outsources til en ekstern organisation (en såkaldt »databehandler«), skal der være en kontrakt eller et andet juridisk dokument, som garanterer, at databehandleren tilvejebringer tilstrækkelige garantier for iværksættelsen af passende tekniske og organisatoriske foranstaltninger, der opfylder standarderne i den generelle forordning om databeskyttelse.
Hvis de opbevarede personoplysninger videregives hændeligt eller ulovligt til uautoriserede modtagere, eller hvis de midlertidigt er utilgængelige eller ændres, skal databeskyttelsesmyndigheden informeres om bruddet på sikkerheden uden unødig forsinkelse og senest 72 timer efter, at den offentlige forvaltning blev opmærksom på bruddet. Den offentlige forvaltning skal muligvis også informere enkeltpersonerne om bruddet på sikkerheden.
Yderligere oplysninger om offentlige forvaltningers forpligtelser i henhold til den generelle forordning om databeskyttelse findes i afsnittet »Virksomheder og organisationer«.