Skal din virksomhed have en 'data protection officer'?... og kan indkøbschefen bruges?

Klumme: Der skal ske en konkret vurdering af, hvilke data din virksomhed behandler og i hvilket omfang, før du ved, om du har brug for en data protection officer. Og det er ikke alle og enhver, der kan bruges.

Data Protection Officer er en nyskabelse, som følger med implementeringen af den nye forordning.

Det første naturlige spørgsmål må derfor være: Hvad er en data protection officer (DPO)?

En DPO er en persondataansvarlig medarbejder eller ekstern tilknyttet konsulent, som skal have særlige professionelle kvalifikationer ("ekspertviden") indenfor persondataret, og som skal føre tilsyn med virksomhedens implementering og overholdelse af reglerne i praksis.

DPO'en skal særligt konsulteres forud for design, udbud, udvikling og opsætning af systemer, som foretager automatisk behandling af persondata.

Formålet er at sikre, at principperne om privacy by design og privacy by default overholdes.

Skal din virksomhed have en DPO?
Først og fremmest skal alle offentlige myndigheder have en DPO (bortset fra domstole).

For private virksomheder vil en DPO være obligatorisk i to tilfælde.

Første tilfælde er, hvis din virksomheds kerneaktivitet består i at behandle personoplysninger.

Det vil ikke være behandling af alle slags oplysninger, men personoplysninger som efter deres karakter, anvendelsesområde eller formål kræver regelmæssig og systematisk overvågning af personer på en stor skala.

Det er til stadighed uklart, hvad der ligger i dette, men groft sagt menes der formentlig, at hvis virksomhedens behandling af personoplysninger kvantitativt og/eller kvalitativt er omfattende og betydelig, så skal virksomheden udpege en DPO.

Dernæst vil din virksomhed skulle udpege en DPO, hvis virksomhedens kerneaktivitet består af behandling af følsomme oplysninger i stor skala eller oplysninger om kriminelle forhold.

Følsomme oplysninger er informationer om personer, der afslører race og etnisk oprindelse, politiske holdninger, religiøse eller filosofiske trosretninger, fagforeningsmedlemsskab, seksualitet og genetisk og biometrisk data.

Hvilken rolle har en DPO?
Det er vigtigt, at DPO'en er tilstrækkeligt uafhængig af virksomheden.

Dette gør udpegningen særligt vanskelig i praksis.

Det vil eksempelvis som udgangspunkt ikke være muligt at udpege sin indkøbschef som DPO, da der vil være fare for, at allokeringen af ressourcer til at varetage posten som DPO vil blive nedprioriteret på bekostning af indkøbsfunktionen.

Det er også tvivlsomt, om man kan udpege virksomhedens eksterne advokat, da der består en vis økonomisk - og dermed interessemæssig - forbindelse mellem parterne, og fordi DPO'en er forpligtet til at rapportere direkte til tilsynsmyndighederne, hvilket kunne komme i karambolage med advokatens tavshedspligt.

Særligt beskyttet
Der er som udgangspunkt intet til hinder for, at DPO'en er ansat i virksomheden, blot vedkommende er særligt beskyttet mod afskedigelse og sanktionering i medfør af stillingen som DPO.

Men som nævnt ovenfor skal man være varsom med, hvilken stilling DPO'en varetager, da det nemt kan resultere i interessekonflikter.

Virksomheder vil også kunne udnævne en ekstern DPO enten alene eller i fællesskab med andre, så længe DPO'en er let tilgængelig for hver af virksomhederne.

Position i virksomheden
DPO'en er, i kraft af dennes stilling, underlagt tavshedspligt og skal rapportere direkte til den øverste ledelse i virksomheden.

Vedkommende fungerer desuden som kontaktperson mellem virksomheden og Datatilsynet samt for kunder, samarbejdspartnere og ansatte, hvis data bliver behandlet i virksomheden.

DPO'en står yderligere for at efterse, at virksomhedens persondatapolitikker bliver overholdt, og at de relevante medarbejdere modtager behørig undervisning i forbindelse hermed.

Uddannelse
En DPO skal ifølge forordningen besidde 'ekspertviden' inden for persondataret og relateret praksis. Hvad der mere konkret ligger i 'ekspertviden' og DPO'ens uddannelse i øvrigt, kan du læse mere om i en kommende klumme.

Hvad kan du gøre allerede nu?
Det kan umiddelbart virke som om, kravene i persondataforordningen ligger langt ude i fremtiden.

Men ser man på alle de krav, der stilles til private og offentlige myndigheder, er det en god idé at gå i gang allerede nu.

Det kan selvfølgelig være svært at vurdere, om din virksomhed er underlagt forpligtelsen til at udpege en DPO.

Men din virksomhed kan allerede nu drage fordel af en grundig gennemgang af processerne for behandling af persondata og det personale, herunder hvorvidt der skal udpeges en DPO, der fremover skal beskæftige sig med persondataretlige problemstillinger.

Det vil give et bedre afsæt for opfyldelse af de fremtidige persondataretlige krav.

(Tak til mine Bird & Bird kollegaer, advokatfuldmægtig Amalie Langebæk og advokat Kamilla Pierdola Mondrup for hjælp med indlægget.)

Læs også om den kommende persondata-forordning:

Ingen vej uden om "Retten til at blive glemt": Sådan skal du forholde dig

Reglerne om samtykke og cookies bliver mere indviklede: Det betyder de for dig

Lovkrav på vej om 'Privacy by Design' og 'Privacy by Default' - det kommer det at betyde for dig

Store udfordringer for it-afdelingen: Disse fire ting skal du have styr på i den nye EU-persondatalov

Hvad betyder den nye persondata-forordning for din virksomhed? Her er overblikket






Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...

Premium
Udbetaling Danmark skal forhandle om mulig kompensation med Netcompany til efteråret
Interview: Inden årsskiftet står det klart, om Netcompany skal kompensere Udbetaling Danmark for de startvanskeligheder, der har været i forbindelse med det nye boligstøttesystem. "Jeg kan hverken be- eller afkræfte, at vi kommer til at bede om et pengebeløb fra Netcompany," lyder det fra Søren Eismark, underdirektør i ATP, som står bag Udbetaling Danmark.
Computerworld
Ny-opdaget malware blokerer programmer som forsøger at slette den: Særligt windows 10 er ramt
En ny type malware er blevet opfanget, der både overvåger din computer og generer falske reklameindtægter til bagmændende. Og så har den en forkærlighed for Windows 10.
CIO
Henrik Jeberg om at arbejde i Silicon Valley: "Er du dygtig nok får du tilbud der får en til at falde ned af stolen."
Henrik Jeberg bor i San Francisco og er direktør i Hampleton Partners, der rådgiver om opkøb med særligt fokus på teknologi. Hør ham fortælle om forskellen på Danmark og Silicon Valley - og om nogle af de vilde forhold der hersker i verdens ubestridte tech-hovedstad.
Job & Karriere
KMD opsagde tryghedsaftaler med medarbejderne få måneder før 300 medarbejdere blev outsourcet til IBM
KMD har i løbet af foråret opsagt to såkaldte tryghedsaftaler med en del af selskabets medarbejdere. Når aftalerne stopper ved udgangen af 2018, er de pågældende medarbejdere ikke længere berettiget til særlig godtgørelse. Det kan få konsekvenser, hvis IBM som forventet skærer i antallet af de 300 KMD-medarbejdere, som selskabet overtager.
White paper
Står din infrastruktur i vejen for virksomhedens udvikling? … her er de 10 vigtigste overvejelser
Oplever du, at din virksomheds it-infrastruktur er en stopklods for udviklingen af forretningen, digitalisering og konkurrencekraft? Måske er svaret hyperkonvergeret infrastruktur, hvor software og hardware smelter sammen i én konkurrencedygtig enhed, som er nem at administrere. Men der er 10 meget vigtige overvejelser at gøre sig, før man vælger en løsning. Læs dette whitepaper fra Lenovo og bliv klædt bedre på til at vælge rigtigt. 10 Key Considerations for Selecting Hyper-Converged Infrastructure - What to Know Before You Choose a Solution, Lenovo, 18 sider på engelsk.