Alt du bør vide om en DPO

I forlængelse af databeskyttelsesforordning bliver det for flere virksomheder (både private og offentlige) et krav at udpege en såkaldt Data Protection Officer (DPO). Forordningen er vedtaget og den får virkning fra maj 2018. Såfremt din virksomhed lever op til en række krav, er det derfor ikke et spørgsmål om hvis, men om når, din virksomhed skal udpege en DPO. I dette indlæg ser vi nærmere på forordningen, DPO’ens rolle og de kriterier, som I skal opfylde, for at I kan undlade at udpege en.

Kort om forordningen

Der er sket meget siden persondatadirektivet, og den nye forordnings primære funktion er at bringe behandling af persondata ind i vores nye digitale tidsalder, hvor cyberkriminalitet og brugen af sociale medier er emner som vi dagligt i højere eller mindre grad forholder os til. På en lang række områder bliver kravene til europæiske virksomheder derfor både konkretiseret og skærpet. Magtfordelingen imellem virksomhed og enkeltperson forskydes, og det bliver nu muligt for en person at kræve, alle data vedrørende sig selv udleveret og slettet permanent. ”Retten til at blive glemt” bliver en integreret del af forordningen, og jo flere brugere I har, desto tungere en byrde kan det ligge på jeres organisation, såfremt I ikke får skitseret automatiske arbejdsgange til håndtering af anmodninger, inden forordningen får virkning fra maj 2018. DPOens rolle bliver bl.a. at føre tilsyn med, at virksomheden overholder alle gældende regler på området.

Skal din virksomhed have en DPO?

Først og fremmest gælder det, at alle offentlige myndigheder skal have en DPO – undtaget herfra er domstole.

Private virksomheder skal i to tilfælde udnævne en DPO. For det første, hvis virksomhedens kerneaktivitet består af i at behandle personoplysninger, skal virksomheden have en DPO. Formuleringen er i forordningen ret åben, og det er derfor endnu uvist, hvad der præcist menes, men groft sagt menes der formentligt, at hvis virksomhedens behandling af personoplysninger er omfattende og betydelig, skal virksomheden have en DPO.

For det andet skal virksomheden have en DPO, hvis virksomhedens kerneaktivitet består i behandling af følsomme oplysninger i stor skala eller oplysninger om kriminelle forhold. Følsomme oplysninger er informationer om personer, der afslører race- eller etnisk oprindelse, politiske holdninger, religiøse eller filosofiske trosretninger, medlemskab af fagforeninger, seksualitet og genetisk og biometrisk data.

DPOens funktioner

DPOens ansvarsområde er helt konkret, at sørge for at behandling af persondata sker i henhold til gældende lovgivning. Det er DPOen, der sørger for, at medarbejderne modtager privacy awareness. dette kan fx ske ved, at medarbejderne kommer på kursus en gang om året, som DPOen står for. En del af DPOens funktion er også at være bindeled imellem Datatilsynet og jeres virksomhed. Skulle Datatilsynet anmode om oplysninger fra jeres virksomhed, er det DPOen der skal dokumentere processer og udlevere disse. Jf. den nye forordning skal brud på persondatasikkerheden anmeldes senest efter 72 timer.

Intern eller ekstern DPO

I forordningen er der hverken krav om, at DPOen skal være ansat i virksomheden eller have sin daglige gang på matriklen. DPOen må derfor gerne være en ekstern konsulent, der bliver kaldt ind efter behov. Vigtigt er det dog, at DPOen har kendskab til jeres forretning, kan rådgive om at optimere jeres processer i henhold til forordningen, og at vedkommende kan formå at kommunikere klart og tydeligt både internt og eksternt.

Konsekvenser

Konsekvenserne ved at bryde forordningen er til at tage og føle på for alle virksomheder. Myndighederne får med indførslen af den nye forordning mulighed for at idømme bøder i størrelsesordener, der aldrig tidligere er set herhjemme. Afhængigt af forseelsen kan en virksomhed idømmes en bøde på op til 20 millioner euro eller op til 4 procent af virksomhedens globale omsætning, afhængigt af hvilket beløb der er størst. Det er derfor yderst vigtigt at træde varsomt, når det kommer til den nye forordning og bruge perioden op til ikrafttrædelsen med fornuft, så man undgår at stå dagen før og først der skal finde sin DPO.

Læs mere om GDPR 

keyboard_arrow_up