Beskæftigelsesudvalget 2021-22
BEU Alm.del Bilag 136
Offentligt
Bekendtgørelse om fælles dataansvar i forbindelse med brug af
Arbejdstilsynets APV-værktøj
I medfør af § 72, stk. 9, i lov om arbejdsmiljø, jf. lovbekendtgørelse nr. 2062 af 16. november 2021,
som ændret ved lov nr. 2588 af 28. december 2021, fastsættes:
§ 1.
I bilag 1 fastsættes Arbejdstilsynets og virksomhedernes respektive ansvar for overholdelse
af forpligtelserne som dataansvarlige i henhold til databeskyttelsesforordningen, jf. kravene til
fælles dataansvar i databeskyttelsesforordningens artikel 26.
§ 2.
Bekendtgørelsen træder i kraft den xx. xx 2022.
Beskæftigelsesministeriet, den xx. xx 2022
NAVN
/ NAVN
 BEU, Alm.del - 2021-22 - Bilag 136: Orientering om høring af udkast til bekendtgørelse om fælles dataansvar ifm. brug af Arbejdstilsynets APV-værktøj, fra beskæftigelsesministeren
2519395_0002.png
Bilag 1
1. Indledning
1.1. Arbejdstilsynet stiller et digitalt værktøj APV-værktøjet til rådighed for virksomheder, der
anvender værktøjet i processen med at gennemføre virksomhedens arbejdspladsvurdering efter § 15
a i lov om arbejdsmiljø.
1.2. Arbejdstilsynet anvender APV-værktøjet i forbindelse med den opgave, som Arbejdstilsynet
har efter arbejdsmiljølovens § 72, stk. 1, nr. 1 og 2, der bl.a. handler om at vejlede virksomhederne
om arbejdsmiljømæssige spørgsmål og at yde yderligere vejledning til især små og mellemstore
virksomheder.
Det digitale værktøj er målrettet at yde hjælp til især små og mellemstore virksomheder til
udarbejdelse af den skriftlige arbejdspladsvurdering og til opfyldelse af lovkravet om en opfølgende
handlingsplan.
Arbejdstilsynet er dataansvarlig, da Arbejdstilsynet er ansvarlig myndighed for APV-værktøjet,
hvorfor Arbejdstilsynet også har ansvaret for at gennemføre passende tekniske og organisatoriske
foranstaltninger for at sikre et sikkerhedsniveau for APV-værktøjet, der passer til de identificerede
risici for behandlingen. Hertil kommer, at Arbejdstilsynet er dataansvarlig ved til eget formål at
stille værktøjet til rådighed og herigennem hjælpe virksomhederne til at opfylde lovkravet om
udarbejdelse af en APV og udarbejde en handlingsplan ud fra APVen.
1.3. Virksomhederne anvender APV-værktøjet i forbindelse med APV-processen. Muligheden for
at anvende fritekstfelter åbner for indsamling af f.eks. særlige kategorier af personoplysninger og
personoplysninger vedrørende strafbare forhold, jf. artikel 9 og 10 i databeskyttelsesforordningen.
Virksomhederne er ved brug af APV-værktøjet dataansvarlige for de personoplysninger, som de
behandler i forbindelse med indsamling med henblik på udarbejdelse af en APV og handleplan.
2. Fælles dataansvar
2.1. Efter databeskyttelsesforordningens artikel 26 foreligger der et fælles dataansvar, når to eller
flere dataansvarlige i fællesskab fastlægger formålene med og hjælpemidlerne til behandling.
2.2. Foreligger der et fælles dataansvar, skal de fælles dataansvarlige på en gennemsigtig måde
fastlægge deres respektive ansvar for overholdelse af forpligtelserne i henhold til
databeskyttelsesforordningen, navnlig hvad angår udøvelse af den registreredes rettigheder og deres
respektive forpligtelser til at fremlægge de oplysninger, der er omhandlet i artikel 13 og 14, ved
hjælp af en ordning imellem dem, medmindre og i det omfang de dataansvarliges respektive ansvar
er fastlagt i EU-ret eller medlemsstaternes nationale ret, som de dataansvarlige er underlagt.
2.3. Efter databeskyttelsesforordningens artikel 26, stk. 2, skal ordningen på behørig vis afspejle de
fælles dataansvarliges respektive roller og forhold til de registrerede. Det væsentligste indhold af
ordningen skal gøres tilgængeligt for de personer, der registreres oplysninger om.
 BEU, Alm.del - 2021-22 - Bilag 136: Orientering om høring af udkast til bekendtgørelse om fælles dataansvar ifm. brug af Arbejdstilsynets APV-værktøj, fra beskæftigelsesministeren
2.4. Den registrerede kan dog, uanset ordningens udformning, udøve sine rettigheder i medfør af
databeskyttelsesforordningen med hensyn til og over for den enkelte dataansvarlige.
2.5. Den ansvarsfordeling, der her fastsættes, hindrer ligeledes ikke, at tilsynsmyndigheden kan
udøve sine beføjelser over for både Arbejdstilsynet og de enkelte virksomheder.
2.6. Ved virksomhedernes anvendelse af APV-værktøjet, foreligger der et fælles dataansvar mellem
Arbejdstilsynet og de enkelte virksomheder. Ved vurderingen heraf er der bl.a. lagt vægt på, at de
behandlinger af personoplysninger, som finder sted i APV-værktøjet, sker til begge parters formål
og med fælles hjælpemidler, jf. under punkt 1.2 og 1.3.
3. Overordnet ansvarsfordeling
3.1. Som bruger af APV-værktøjet er den enkelte virksomhed ansvarlig for den behandling af
personoplysninger, som virksomheden foretager, jf. punkt 1.3, herunder korrekt indsamling og
registrering af oplysninger. Den enkelte virksomhed er ligeledes ansvarlig for iagttagelse af den
registreredes rettigheder i forhold til den behandling af personoplysninger, som virksomheden
foretager.
3.2. Som ansvarlig myndighed for APV-værktøjet er Arbejdstilsynet ansvarlig for at gennemføre
passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau for APV-
værktøjet, der passer til de identificerede risici for behandlingen.
4. Principper og behandlingshjemmel
4.1. Arbejdstilsynet og de enkelte virksomheder er hver især ansvarlige for at overholde
principperne for behandling af personoplysninger, at der forligger et gyldigt behandlingsgrundlag
og at dette kan dokumenteres.
5. Den registreredes rettigheder
5.1. De enkelte virksomheder er ansvarlig for sikringen af de registreredes rettigheder gennem
iagttagelse af nedenstående regler i databeskyttelsesforordningen:
- Oplysningspligt ved indsamling af personoplysninger hos den registrerede, jf. artikel 13.
- Oplysningspligt, når personoplysninger ikke er indsamlet hos den registrerede, jf. artikel 14.
- Den registreredes indsigtsret, jf. artikel 15.
- Ret til berigtigelse, jf. artikel 16.
- Ret til sletning (retten til at blive glemt), jf. artikel 17.
- Ret til begrænsning af behandling, jf. artikel 18.
- Underretningspligt i forbindelse med berigtigelse eller sletning af personoplysninger eller
begrænsning af behandling, jf. artikel 19.
- Ret til indsigelse mod en behandling, jf. artikel 21.
5.2. Såfremt Arbejdstilsynet modtager en anmodning eller henvendelse fra en registreret vedrørende
de forhold, der er omfattet af virksomhedernes ansvar, jf. punkt 5.1, oversender Arbejdstilsynet
hurtigst muligt denne til besvarelse hos den pågældende virksomhed.
 BEU, Alm.del - 2021-22 - Bilag 136: Orientering om høring af udkast til bekendtgørelse om fælles dataansvar ifm. brug af Arbejdstilsynets APV-værktøj, fra beskæftigelsesministeren
5.3. De enkelte virksomheder og Arbejdstilsynet er ansvarlige for at bistå hinanden i det omfang, at
dette er relevant og nødvendigt for at efterleve forpligtelserne over for de registrerede.
6. Behandlingssikkerhed og dokumentation for overholdelse af Databeskyttelsesforordningen
6.1. Arbejdstilsynet er ansvarlig for at iagttage kravet i databeskyttelsesforordningens artikel 32 om
behandlingssikkerhed. Dette indebærer, at Arbejdstilsynet under hensyntagen til det aktuelle
tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter,
omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske
personers rettigheder og frihedsrettigheder, skal gennemføre passende tekniske og organisatoriske
foranstaltninger. Det indebærer bl.a., at Arbejdstilsynet skal foretage en risikovurdering og herefter
gennemføre foranstaltninger for at begrænse de identificerede risici. Arbejdstilsynet skal være i
stand til at påvise, at tilsynets behandling af oplysningerne er i overensstemmelse med
databeskyttelsesforordningen, jf. databeskyttelsesforordningens artikel 24, stk. 1. Dette kan
eksempelvis indebære udarbejdelse af procedurer for anmodninger om indsigt eller opfyldelse af
oplysningspligten, jf. under punkt 5.1.
6.2. Arbejdstilsynet er ansvarlig for iagttagelse af reglen om databeskyttelse gennem design og
databeskyttelse gennem standardindstillinger i databeskyttelsesforordningens artikel 25.
6.3. For den del af behandlingen, som knytter sig til den enkelte virksomheds anvendelse af APV-
værktøjet, er den enkelte virksomhed ansvarlig for at iagttage kravet i
databeskyttelsesforordningens artikel 32 om behandlingssikkerhed. Dette indebærer, at den enkelte
virksomhed, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og
den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende
sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, skal gennemføre
passende tekniske og organisatoriske foranstaltninger, herunder foranstaltninger, der sikrer, at alene
brugere med et arbejdsbetinget behov har adgang til APV-værktøjet. Det indebærer bl.a., at den
enkelte virksomhed skal foretage en risikovurdering og herefter gennemføre foranstaltninger for at
begrænse de identificerede risici. Den enkelte virksomhed skal være i stand til at påvise, at
virksomhedens behandling af oplysningerne er i overensstemmelse med
databeskyttelsesforordningen, jf. databeskyttelsesforordningens artikel 24, stk. 1. Dette kan
eksempelvis indebære udarbejdelse af procedurer for videresendelse af anmodninger om indsigt
eller opfyldelse af oplysningspligten til Arbejdstilsynet, jf. under punkt 5.2.
7. Anvendelse af databehandlere og eventuelle underdatabehandlere
7.1. Arbejdstilsynet er berettiget til at anvende databehandlere og eventuelle underdatabehandlere i
tilknytning til APV-værktøjet.
7.2. Ved anvendelse af databehandlere og eventuelle underdatabehandlere er Arbejdstilsynet
ansvarlig for at efterleve kravene i databeskyttelsesforordningens artikel 28.
Arbejdstilsynet er herefter bl.a. forpligtet til:
- Alene at anvende databehandlere, der kan stille de fornødne garantier for, at de gennemfører
de passende tekniske og organisatoriske sikkerhedsforanstaltninger på en sådan måde, at
behandling opfylder kravene i databeskyttelsesforordningen og sikrer beskyttelse af den
registreredes rettigheder.
 BEU, Alm.del - 2021-22 - Bilag 136: Orientering om høring af udkast til bekendtgørelse om fælles dataansvar ifm. brug af Arbejdstilsynets APV-værktøj, fra beskæftigelsesministeren
-
-
-
At sikre, at der foreligger en gyldig databehandleraftale mellem Arbejdstilsynet og
databehandleren.
At sikre, at der foreligger en gyldig underdatabehandleraftale mellem databehandleren og en
eventuel underdatabehandler.
At sikre, at der i relevant omfang føres tilsyn med anvendte databehandlere og eventuelle
underdatabehandlere.
7.3 Hvis oplysningerne behandles af databehandlere, skal Arbejdstilsynet efter anmodning fra
virksomhederne oplyse om indholdet af aftalerne med databehandlerne, herunder om eventuelle
underdatabehandlere.
7.4. Hvis oplysningerne behandles af databehandlere og eventuelle underdatabehandlere, jf. pkt.
7.1, skal Arbejdstilsynet efter anmodning fra virksomhederne oplyse om resultatet af gennemførte
tilsyn og initiativer i anledning heraf, jf. pkt. 7.2.
8. Fortegnelse
8.1. Arbejdstilsynet er ansvarlig for at iagttage kravet i databeskyttelsesforordningens artikel 30 om
fortegnelser. Dette indebærer, at Arbejdstilsynet f.eks. sikrer, at der føres en fortegnelse over de
sikkerhedsforanstaltninger, der er en del af APV-værktøjet.
8.2. Arbejdstilsynet orienterer efter anmodning Datatilsynet om indholdet af ovennævnte
fortegnelser.
8.3. Den enkelte virksomhed skal
eventuelt på baggrund af indholdet i fortegnelsen hos
Arbejdstilsynet
udarbejde egne fortegnelser over de behandlingsaktiviteter, der er omfattet af
denne bekendtgørelse.
9. Anmeldelse af brud på persondatasikkerheden til Datatilsynet
9.1. Arbejdstilsynet er ansvarlig for efterlevelsen af databeskyttelsesforordningens artikel 33 om
anmeldelse af brud på persondatasikkerheden til Datatilsynet.
9.2. Den enkelte virksomhed er dog ansvarlig for efterlevelsen af databeskyttelsesforordningens
artikel 33 om anmeldelse af brud på persondatasikkerheden til Datatilsynet, hvis et brud på
persondatasikkerheden skyldes egen uberettiget anvendelse af APV-værktøjet. I et sådant tilfælde er
Arbejdstilsynet forpligtet til at bistå virksomheden med nødvendige oplysninger.
10. Underretning om brud på persondatasikkerheden til den registrerede
10.1. Den enkelte virksomhed er ansvarlig for iagttagelsen af databeskyttelsesforordningens artikel
34 om underretning til den registrerede om brud på persondatasikkerheden. I et sådant tilfælde er
Arbejdstilsynet forpligtet til at bistå virksomheden med nødvendige oplysninger.
10.2. Arbejdstilsynet er ansvarlig for iagttagelsen af databeskyttelsesforordningens artikel 34
vedrørende underretning om brud på persondatasikkerheden til den registrerede, der skyldes forhold
hos Arbejdstilsynet.
 BEU, Alm.del - 2021-22 - Bilag 136: Orientering om høring af udkast til bekendtgørelse om fælles dataansvar ifm. brug af Arbejdstilsynets APV-værktøj, fra beskæftigelsesministeren
11. Konsekvensanalyse vedrørende databeskyttelse og forudgående høring
11.1. Arbejdstilsynet er ansvarlig for iagttagelsen af kravet i databeskyttelsesforordningens artikel
35 om konsekvensanalyse vedrørende databeskyttelse. Dette indebærer, at Arbejdstilsynet forud for
behandlingen skal foretage en analyse af de påtænkte behandlingsaktiviteters konsekvenser for
beskyttelse af personoplysninger, hvis en type behandling, navnlig ved brug af nye teknologier og i
medfør af sin karakter, omfang, sammenhæng og formål, sandsynligvis vil indebære en høj risiko
for fysiske personers rettigheder og frihedsrettigheder.
11.2. Arbejdstilsynet er ligeledes forpligtet til at iagttage kravet i databeskyttelsesforordningens
artikel 36 om forudgående høring af tilsynsmyndigheden, når kravet om høring finder anvendelse.
12. Overførsel af personoplysninger til tredjelande eller internationale organisationer
12.1. Arbejdstilsynet er ansvarlig for iagttagelsen af kravene i databeskyttelsesforordningens kapitel
V, hvis der sker overførsel af personoplysninger til tredjelande eller internationale organisationer.
12.2. Den enkelte virksomhed er ansvarlig for iagttagelsen af kapitel V, såfremt overførslen af
personoplysninger til et tredjeland eller en international organisation sker i forbindelse med
virksomhedens anvendelse af APV-værktøjet eller på virksomhedens foranledning.
13. Klager
13.1. Den enkelte virksomhed og Arbejdstilsynet er hver især ansvarlig for behandling af eventuelle
klager fra registrerede, hvis klagerne omhandler overtrædelse af bestemmelser i
databeskyttelsesforordningen, for hvilken virksomhederne eller Arbejdstilsynet efter denne
bekendtgørelse er ansvarlig.
13.2. Hvis en virksomhed eller Arbejdstilsynet modtager en klage, som rettelig bør behandles af den
anden part, sendes klagen til denne part snarest muligt.
13.3. Hvis en virksomhed eller Arbejdstilsynet modtager en klage, hvor en del af klagen rettelig bør
behandles af den anden part, sendes denne del af klagen til besvarelse hos denne part snarest muligt.
13.4. Den registrerede skal, i forbindelse med en virksomheds eller Arbejdstilsynets oversendelse af
en klage eller en del heraf til den anden part, oplyses om det væsentligste indhold af denne
bekendtgørelse.
14. Orientering af den anden part
14.1. Arbejdstilsynet og de enkelte virksomheder orienterer hinanden om væsentlige forhold, der
har betydning for de behandlinger og det system, der er omfattet af denne bekendtgørelse.