Skal din virksomhed have en 'data protection officer'?... og kan indkøbschefen bruges?

Klumme: Der skal ske en konkret vurdering af, hvilke data din virksomhed behandler og i hvilket omfang, før du ved, om du har brug for en data protection officer. Og det er ikke alle og enhver, der kan bruges.

Annonce:

Alt om den nye persondataforordning

I de kommende uger vil Martin von Haller Grønbæk i klummen her fortælle om den nye persondataforordning og dens enkelte dele. Fokus er på, hvad der er relevant for danske virksomheder. 

Du kan læse de fire første klummer her:

Hvad betyder den nye persondata-forordning for din virksomhed? Her er overblikket

Lovkrav på vej om 'Privacy by Design' og 'Privacy by Default' - det kommer det at betyde for dig

Reglerne om samtykke og cookies bliver mere indviklede: Det betyder de for dig

Ingen vej uden om "Retten til at blive glemt": Sådan skal du forholde dig

Groft sagt menes der formentlig, at hvis virksomhedens behandling af personoplysninger kvantitativt og/eller kvalitativt er omfattende og betydelig, så skal virksomheden udpege en DPO.
Data Protection Officer er en nyskabelse, som følger med implementeringen af den nye forordning.

Det første naturlige spørgsmål må derfor være: Hvad er en data protection officer (DPO)?

En DPO er en persondataansvarlig medarbejder eller ekstern tilknyttet konsulent, som skal have særlige professionelle kvalifikationer ("ekspertviden") indenfor persondataret, og som skal føre tilsyn med virksomhedens implementering og overholdelse af reglerne i praksis.

DPO'en skal særligt konsulteres forud for design, udbud, udvikling og opsætning af systemer, som foretager automatisk behandling af persondata.

Formålet er at sikre, at principperne om privacy by design og privacy by default overholdes.

Skal din virksomhed have en DPO?
Først og fremmest skal alle offentlige myndigheder have en DPO (bortset fra domstole).

For private virksomheder vil en DPO være obligatorisk i to tilfælde.

Første tilfælde er, hvis din virksomheds kerneaktivitet består i at behandle personoplysninger.

Det vil ikke være behandling af alle slags oplysninger, men personoplysninger som efter deres karakter, anvendelsesområde eller formål kræver regelmæssig og systematisk overvågning af personer på en stor skala.

Det er til stadighed uklart, hvad der ligger i dette, men groft sagt menes der formentlig, at hvis virksomhedens behandling af personoplysninger kvantitativt og/eller kvalitativt er omfattende og betydelig, så skal virksomheden udpege en DPO.

Dernæst vil din virksomhed skulle udpege en DPO, hvis virksomhedens kerneaktivitet består af behandling af følsomme oplysninger i stor skala eller oplysninger om kriminelle forhold.

Følsomme oplysninger er informationer om personer, der afslører race og etnisk oprindelse, politiske holdninger, religiøse eller filosofiske trosretninger, fagforeningsmedlemsskab, seksualitet og genetisk og biometrisk data.

Hvilken rolle har en DPO?
Det er vigtigt, at DPO'en er tilstrækkeligt uafhængig af virksomheden.

Dette gør udpegningen særligt vanskelig i praksis.

Det vil eksempelvis som udgangspunkt ikke være muligt at udpege sin indkøbschef som DPO, da der vil være fare for, at allokeringen af ressourcer til at varetage posten som DPO vil blive nedprioriteret på bekostning af indkøbsfunktionen.

Det er også tvivlsomt, om man kan udpege virksomhedens eksterne advokat, da der består en vis økonomisk - og dermed interessemæssig - forbindelse mellem parterne, og fordi DPO'en er forpligtet til at rapportere direkte til tilsynsmyndighederne, hvilket kunne komme i karambolage med advokatens tavshedspligt.

Virksomheder vil også kunne udnævne en ekstern DPO enten alene eller i fællesskab med andre, så længe DPO'en er let tilgængelig for hver af virksomhederne.
Særligt beskyttet
Der er som udgangspunkt intet til hinder for, at DPO'en er ansat i virksomheden, blot vedkommende er særligt beskyttet mod afskedigelse og sanktionering i medfør af stillingen som DPO.

Men som nævnt ovenfor skal man være varsom med, hvilken stilling DPO'en varetager, da det nemt kan resultere i interessekonflikter.

Virksomheder vil også kunne udnævne en ekstern DPO enten alene eller i fællesskab med andre, så længe DPO'en er let tilgængelig for hver af virksomhederne.

Position i virksomheden
DPO'en er, i kraft af dennes stilling, underlagt tavshedspligt og skal rapportere direkte til den øverste ledelse i virksomheden.

Vedkommende fungerer desuden som kontaktperson mellem virksomheden og Datatilsynet samt for kunder, samarbejdspartnere og ansatte, hvis data bliver behandlet i virksomheden.

DPO'en står yderligere for at efterse, at virksomhedens persondatapolitikker bliver overholdt, og at de relevante medarbejdere modtager behørig undervisning i forbindelse hermed.

Uddannelse
En DPO skal ifølge forordningen besidde 'ekspertviden' inden for persondataret og relateret praksis. Hvad der mere konkret ligger i 'ekspertviden' og DPO'ens uddannelse i øvrigt, kan du læse mere om i en kommende klumme.

Hvad kan du gøre allerede nu?
Det kan umiddelbart virke som om, kravene i persondataforordningen ligger langt ude i fremtiden.

Men ser man på alle de krav, der stilles til private og offentlige myndigheder, er det en god idé at gå i gang allerede nu.

Det kan selvfølgelig være svært at vurdere, om din virksomhed er underlagt forpligtelsen til at udpege en DPO.

Men din virksomhed kan allerede nu drage fordel af en grundig gennemgang af processerne for behandling af persondata og det personale, herunder hvorvidt der skal udpeges en DPO, der fremover skal beskæftige sig med persondataretlige problemstillinger.

Det vil give et bedre afsæt for opfyldelse af de fremtidige persondataretlige krav.

(Tak til mine Bird & Bird kollegaer, advokatfuldmægtig Amalie Langebæk og advokat Kamilla Pierdola Mondrup for hjælp med indlægget.)

Læs også om den kommende persondata-forordning:

Ingen vej uden om "Retten til at blive glemt": Sådan skal du forholde dig

Reglerne om samtykke og cookies bliver mere indviklede: Det betyder de for dig

Lovkrav på vej om 'Privacy by Design' og 'Privacy by Default' - det kommer det at betyde for dig

Store udfordringer for it-afdelingen: Disse fire ting skal du have styr på i den nye EU-persondatalov

Hvad betyder den nye persondata-forordning for din virksomhed? Her er overblikket






Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...

Computerworld
Ny bil i 2030? Mercedes-Benz har allerede bygget den ... og den kører på 10 MacBooks
Mercedes-Benz F015 ligner ikke noget, du kan finde på hylderne hos nogen bilforhandler. Den stålgrå maskine med de indbydende former er da også mere en vision og et rullende eksperiment end en bil, du kan bruge til noget. Og så er den fyldt med MacBooks under motorhjelmen.
CIO
Morten Mogensens firma blev forsøgt svindlet, men snød selv svindleren: "Vi tager det som en oplevelse"
Dansk virksomhed blev bedt om af sende 100.000 kroner til en hemmelig konto via en mail, der var afsendt som en besked fra direktøren til regnskabsafdelingen. Phishing-forsøget blev opdaget, og direktøren og regnskabschefen tog en fiffig hævn.
Comon
Manden bag verdens største torrent-site anholdt
Den formodede hjerne bag verdens største torrentsite KickassTorrents er blevet anholdt i Danmarks naboland Polen. Herfra forsøger amerikanske myndigheder at få ham udleveret til retsforfølgelse i USA. Læs her, hvad han står anklaget for.
Channelworld
Nordmænd køber dansk software-hus - medarbejderne bliver
Norske Amesto Solutions har købt det det danske CRM-firma Adwiza, der har haft svært ved at opnå tilstrækkelig lønsomhed. Men det skal der laves om på nu, lyder det fra Norge.
White paper
DRaaS (Disaster Recovery as a service) - Sådan !
Læs i dette white paper, hvad Veeam Cloud Connect tilbyder