Skal din virksomhed have en 'data protection officer'?... og kan indkøbschefen bruges?

Klumme: Der skal ske en konkret vurdering af, hvilke data din virksomhed behandler og i hvilket omfang, før du ved, om du har brug for en data protection officer. Og det er ikke alle og enhver, der kan bruges.

Data Protection Officer er en nyskabelse, som følger med implementeringen af den nye forordning.

Det første naturlige spørgsmål må derfor være: Hvad er en data protection officer (DPO)?

En DPO er en persondataansvarlig medarbejder eller ekstern tilknyttet konsulent, som skal have særlige professionelle kvalifikationer ("ekspertviden") indenfor persondataret, og som skal føre tilsyn med virksomhedens implementering og overholdelse af reglerne i praksis.

DPO'en skal særligt konsulteres forud for design, udbud, udvikling og opsætning af systemer, som foretager automatisk behandling af persondata.

Formålet er at sikre, at principperne om privacy by design og privacy by default overholdes.

Skal din virksomhed have en DPO?
Først og fremmest skal alle offentlige myndigheder have en DPO (bortset fra domstole).

For private virksomheder vil en DPO være obligatorisk i to tilfælde.

Første tilfælde er, hvis din virksomheds kerneaktivitet består i at behandle personoplysninger.

Det vil ikke være behandling af alle slags oplysninger, men personoplysninger som efter deres karakter, anvendelsesområde eller formål kræver regelmæssig og systematisk overvågning af personer på en stor skala.

Det er til stadighed uklart, hvad der ligger i dette, men groft sagt menes der formentlig, at hvis virksomhedens behandling af personoplysninger kvantitativt og/eller kvalitativt er omfattende og betydelig, så skal virksomheden udpege en DPO.

Dernæst vil din virksomhed skulle udpege en DPO, hvis virksomhedens kerneaktivitet består af behandling af følsomme oplysninger i stor skala eller oplysninger om kriminelle forhold.

Følsomme oplysninger er informationer om personer, der afslører race og etnisk oprindelse, politiske holdninger, religiøse eller filosofiske trosretninger, fagforeningsmedlemsskab, seksualitet og genetisk og biometrisk data.

Hvilken rolle har en DPO?
Det er vigtigt, at DPO'en er tilstrækkeligt uafhængig af virksomheden.

Dette gør udpegningen særligt vanskelig i praksis.

Det vil eksempelvis som udgangspunkt ikke være muligt at udpege sin indkøbschef som DPO, da der vil være fare for, at allokeringen af ressourcer til at varetage posten som DPO vil blive nedprioriteret på bekostning af indkøbsfunktionen.

Det er også tvivlsomt, om man kan udpege virksomhedens eksterne advokat, da der består en vis økonomisk - og dermed interessemæssig - forbindelse mellem parterne, og fordi DPO'en er forpligtet til at rapportere direkte til tilsynsmyndighederne, hvilket kunne komme i karambolage med advokatens tavshedspligt.

Særligt beskyttet
Der er som udgangspunkt intet til hinder for, at DPO'en er ansat i virksomheden, blot vedkommende er særligt beskyttet mod afskedigelse og sanktionering i medfør af stillingen som DPO.

Men som nævnt ovenfor skal man være varsom med, hvilken stilling DPO'en varetager, da det nemt kan resultere i interessekonflikter.

Virksomheder vil også kunne udnævne en ekstern DPO enten alene eller i fællesskab med andre, så længe DPO'en er let tilgængelig for hver af virksomhederne.

Position i virksomheden
DPO'en er, i kraft af dennes stilling, underlagt tavshedspligt og skal rapportere direkte til den øverste ledelse i virksomheden.

Vedkommende fungerer desuden som kontaktperson mellem virksomheden og Datatilsynet samt for kunder, samarbejdspartnere og ansatte, hvis data bliver behandlet i virksomheden.

DPO'en står yderligere for at efterse, at virksomhedens persondatapolitikker bliver overholdt, og at de relevante medarbejdere modtager behørig undervisning i forbindelse hermed.

Uddannelse
En DPO skal ifølge forordningen besidde 'ekspertviden' inden for persondataret og relateret praksis. Hvad der mere konkret ligger i 'ekspertviden' og DPO'ens uddannelse i øvrigt, kan du læse mere om i en kommende klumme.

Hvad kan du gøre allerede nu?
Det kan umiddelbart virke som om, kravene i persondataforordningen ligger langt ude i fremtiden.

Men ser man på alle de krav, der stilles til private og offentlige myndigheder, er det en god idé at gå i gang allerede nu.

Det kan selvfølgelig være svært at vurdere, om din virksomhed er underlagt forpligtelsen til at udpege en DPO.

Men din virksomhed kan allerede nu drage fordel af en grundig gennemgang af processerne for behandling af persondata og det personale, herunder hvorvidt der skal udpeges en DPO, der fremover skal beskæftige sig med persondataretlige problemstillinger.

Det vil give et bedre afsæt for opfyldelse af de fremtidige persondataretlige krav.

(Tak til mine Bird & Bird kollegaer, advokatfuldmægtig Amalie Langebæk og advokat Kamilla Pierdola Mondrup for hjælp med indlægget.)

Læs også om den kommende persondata-forordning:

Ingen vej uden om "Retten til at blive glemt": Sådan skal du forholde dig

Reglerne om samtykke og cookies bliver mere indviklede: Det betyder de for dig

Lovkrav på vej om 'Privacy by Design' og 'Privacy by Default' - det kommer det at betyde for dig

Store udfordringer for it-afdelingen: Disse fire ting skal du have styr på i den nye EU-persondatalov

Hvad betyder den nye persondata-forordning for din virksomhed? Her er overblikket






Premium
Forsvarets cyberenhed advarer danske virksomheder: Vi står over for alvorlige trusler fra hackerne
Nye værktøjer. Nye ofre. Nye afpresningsmetoder. De cyberkriminelle har ikke ligget på den lade side under corona-pandemien, viser ny trusselsrapport fra Center for Cybersikkerhed.
Computerworld
Bitcoinen nåede lige at kulminere igen – men så kom krakket
Der blev sat en ny rekord for bitcoinens værdi i år – men godt 24 timer efter blev der høvlet næsten 20.000 kroner af den.
CIO
Podcast: Her er seks gode råd om ledelse og digitalisering fra danske top-CIO'er
The Digital Edge: Vi har talt med 17 af Danmarks dygtigste digitale ledere - og samlet deres seks bedste råd om digitalisering og ledelse. Få alle rådene på 26 minutter i denne episode af podcasten The Digital Edge.
Job & Karriere
Se Waoos forklaring: Derfor har selskabet fyret topchef Jørgen Stensgaard med omgående virkning
Waaos bestyrelse opsiger fiberselskabets topchef, Jørgen Stensgaard, der fratræder med omgående virkning. Se hele forklaringen fra Waao her.
White paper
Sådan øger du medarbejdertilfredshed og produktivitet
En af de mest effektive måder at øge medarbejdernes produktivitet og tilfredshed med arbejdspladsen er ved at give frit valg mellem Windows eller Mac, når der skal vælges arbejdscomputer. Samtidig mindskes presset på supporten, mens sikkerhedsniveauet højnes. Med en client-as-a-service aftale kan du lade medarbejderne selv træffe valget, men uden at uden at det behøver at være udfordrende eller ressourcekrævende for virksomheden. Eksempelvis kan du lade partneren håndtere alt fra finansiering, leverance, klargøring og implementering til support og lifecycle-management. Læs mere i denne hvidbog.