Skal din virksomhed have en 'data protection officer'?... og kan indkøbschefen bruges?

Klumme: Der skal ske en konkret vurdering af, hvilke data din virksomhed behandler og i hvilket omfang, før du ved, om du har brug for en data protection officer. Og det er ikke alle og enhver, der kan bruges.

Data Protection Officer er en nyskabelse, som følger med implementeringen af den nye forordning.

Det første naturlige spørgsmål må derfor være: Hvad er en data protection officer (DPO)?

En DPO er en persondataansvarlig medarbejder eller ekstern tilknyttet konsulent, som skal have særlige professionelle kvalifikationer ("ekspertviden") indenfor persondataret, og som skal føre tilsyn med virksomhedens implementering og overholdelse af reglerne i praksis.

DPO'en skal særligt konsulteres forud for design, udbud, udvikling og opsætning af systemer, som foretager automatisk behandling af persondata.

Formålet er at sikre, at principperne om privacy by design og privacy by default overholdes.

Skal din virksomhed have en DPO?
Først og fremmest skal alle offentlige myndigheder have en DPO (bortset fra domstole).

For private virksomheder vil en DPO være obligatorisk i to tilfælde.

Første tilfælde er, hvis din virksomheds kerneaktivitet består i at behandle personoplysninger.

Det vil ikke være behandling af alle slags oplysninger, men personoplysninger som efter deres karakter, anvendelsesområde eller formål kræver regelmæssig og systematisk overvågning af personer på en stor skala.

Det er til stadighed uklart, hvad der ligger i dette, men groft sagt menes der formentlig, at hvis virksomhedens behandling af personoplysninger kvantitativt og/eller kvalitativt er omfattende og betydelig, så skal virksomheden udpege en DPO.

Dernæst vil din virksomhed skulle udpege en DPO, hvis virksomhedens kerneaktivitet består af behandling af følsomme oplysninger i stor skala eller oplysninger om kriminelle forhold.

Følsomme oplysninger er informationer om personer, der afslører race og etnisk oprindelse, politiske holdninger, religiøse eller filosofiske trosretninger, fagforeningsmedlemsskab, seksualitet og genetisk og biometrisk data.

Hvilken rolle har en DPO?
Det er vigtigt, at DPO'en er tilstrækkeligt uafhængig af virksomheden.

Dette gør udpegningen særligt vanskelig i praksis.

Det vil eksempelvis som udgangspunkt ikke være muligt at udpege sin indkøbschef som DPO, da der vil være fare for, at allokeringen af ressourcer til at varetage posten som DPO vil blive nedprioriteret på bekostning af indkøbsfunktionen.

Det er også tvivlsomt, om man kan udpege virksomhedens eksterne advokat, da der består en vis økonomisk - og dermed interessemæssig - forbindelse mellem parterne, og fordi DPO'en er forpligtet til at rapportere direkte til tilsynsmyndighederne, hvilket kunne komme i karambolage med advokatens tavshedspligt.

Særligt beskyttet
Der er som udgangspunkt intet til hinder for, at DPO'en er ansat i virksomheden, blot vedkommende er særligt beskyttet mod afskedigelse og sanktionering i medfør af stillingen som DPO.

Men som nævnt ovenfor skal man være varsom med, hvilken stilling DPO'en varetager, da det nemt kan resultere i interessekonflikter.

Virksomheder vil også kunne udnævne en ekstern DPO enten alene eller i fællesskab med andre, så længe DPO'en er let tilgængelig for hver af virksomhederne.

Position i virksomheden
DPO'en er, i kraft af dennes stilling, underlagt tavshedspligt og skal rapportere direkte til den øverste ledelse i virksomheden.

Vedkommende fungerer desuden som kontaktperson mellem virksomheden og Datatilsynet samt for kunder, samarbejdspartnere og ansatte, hvis data bliver behandlet i virksomheden.

DPO'en står yderligere for at efterse, at virksomhedens persondatapolitikker bliver overholdt, og at de relevante medarbejdere modtager behørig undervisning i forbindelse hermed.

Uddannelse
En DPO skal ifølge forordningen besidde 'ekspertviden' inden for persondataret og relateret praksis. Hvad der mere konkret ligger i 'ekspertviden' og DPO'ens uddannelse i øvrigt, kan du læse mere om i en kommende klumme.

Hvad kan du gøre allerede nu?
Det kan umiddelbart virke som om, kravene i persondataforordningen ligger langt ude i fremtiden.

Men ser man på alle de krav, der stilles til private og offentlige myndigheder, er det en god idé at gå i gang allerede nu.

Det kan selvfølgelig være svært at vurdere, om din virksomhed er underlagt forpligtelsen til at udpege en DPO.

Men din virksomhed kan allerede nu drage fordel af en grundig gennemgang af processerne for behandling af persondata og det personale, herunder hvorvidt der skal udpeges en DPO, der fremover skal beskæftige sig med persondataretlige problemstillinger.

Det vil give et bedre afsæt for opfyldelse af de fremtidige persondataretlige krav.

(Tak til mine Bird & Bird kollegaer, advokatfuldmægtig Amalie Langebæk og advokat Kamilla Pierdola Mondrup for hjælp med indlægget.)

Læs også om den kommende persondata-forordning:

Ingen vej uden om "Retten til at blive glemt": Sådan skal du forholde dig

Reglerne om samtykke og cookies bliver mere indviklede: Det betyder de for dig

Lovkrav på vej om 'Privacy by Design' og 'Privacy by Default' - det kommer det at betyde for dig

Store udfordringer for it-afdelingen: Disse fire ting skal du have styr på i den nye EU-persondatalov

Hvad betyder den nye persondata-forordning for din virksomhed? Her er overblikket






Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...

Computerworld
Dansk sikkerhedsfirma slår alarm: "Jeg har fundet et atomkraftværk, hvor man kunne hæve strålingsniveauet og et fængsel, hvor fængselsdørene kan åbnes fra en server"
Dansk sikkerhedsfirma finder hidtil ukendt fejl, der kan udløse en katastrofe, hvis data havner i de forkerte hænder. Men der findes en løsning.
CIO
CIO i Energinet.dk: Sådan får vi bedre it-sikkerhed hos danske energiselskaber
Interview: Morten Gade Christensen, CIO i Energinet.dk og Årets CIO i Danmark i 2016, har en klar idé om, hvordan den danske energisektor kan få et bedre sikkerhedsniveau.
Comon
25.000 danskere gået i kuponsvindel-fælde på Facebook på blot seks timer: "Det spredte sig som en steppebrand"
Fakta, Netto, Aldi, Lidl, Lego og flere andre varemærker bliver lige nu udnyttet i forbindelse med kuponsvindel på Facebook, og danskerne klikker i hobetal. Læs hvad der sker, hvis du klikker.
Channelworld
Dansk hosting-direktør: På disse tre områder banker danske hosting-firmaer Microsoft og Amazon af banen
Den danske hostingbranche er godt polstret til at modstå konkurrencen fra globale cloud-spillere som Amazon og Microsoft. Her er tre grunde til, at danske hostingudbydere ikke blæser omkuld i konkurrencen.
White paper
Støt produktiviteten med virtuelt samarbejde
Virtuelle samarbejdsløsninger kan være med til at øge produktivitet og samarbejde internt i virksomheden og eksternt med kunder og samarbejdspartnere. Bliv klogere på collaboration i dette White paper, skrevet af Computerworld.