Alt du bør vide om en DPO
I forlængelse af databeskyttelsesforordning bliver det for flere virksomheder (både private og offentlige) et krav at udpege en såkaldt Data Protection Officer (DPO). Forordningen er vedtaget og den får virkning fra maj 2018. Såfremt din virksomhed lever op til en række krav, er det derfor ikke et spørgsmål om hvis, men om når, din virksomhed skal udpege en DPO. I dette indlæg ser vi nærmere på forordningen, DPO’ens rolle og de kriterier, som I skal opfylde, for at I kan undlade at udpege en.
Kort om forordningen
Der er sket meget siden persondatadirektivet, og den nye forordnings primære funktion er at bringe behandling af persondata ind i vores nye digitale tidsalder, hvor cyberkriminalitet og brugen af sociale medier er emner, som vi dagligt i højere eller mindre grad forholder os til. På en lang række områder bliver kravene til europæiske virksomheder derfor både konkretiseret og skærpet. Magtfordelingen imellem virksomhed og enkeltperson forskydes, og det bliver nu muligt for en person at kræve, alle data vedrørende sig selv udleveret og slettet permanent. ”Retten til at blive glemt” bliver en integreret del af forordningen, og jo flere brugere I har, desto tungere en byrde kan det ligge på jeres organisation, såfremt I ikke får skitseret automatiske arbejdsgange til håndtering af anmodninger, inden forordningen får virkning fra maj 2018. DPO'ens rolle bliver bl.a. at føre tilsyn med, at virksomheden overholder alle gældende regler på området.
Skal din virksomhed have en DPO?
Først og fremmest gælder det, at alle offentlige myndigheder skal have en DPO – undtaget herfra er domstole.
Private virksomheder skal i to tilfælde udnævne en DPO. For det første, hvis virksomhedens kerneaktivitet består af at behandle personoplysninger, skal virksomheden have en DPO. Formuleringen er i forordningen ret åben, og det er derfor endnu uvist, hvad der præcist menes, men groft sagt menes der formentligt, at hvis virksomhedens behandling af personoplysninger er omfattende og betydelig, skal virksomheden have en DPO.
For det andet skal virksomheden have en DPO, hvis virksomhedens kerneaktivitet består i behandling af følsomme oplysninger i stor skala eller oplysninger om kriminelle forhold. Følsomme oplysninger er informationer om personer, der afslører race- eller etnisk oprindelse, politiske holdninger, religiøse eller filosofiske trosretninger, medlemskab af fagforeninger, seksualitet og genetisk og biometrisk data.
DPO'ens funktioner
DPO'ens ansvarsområde er helt konkret, at sørge for at behandling af persondata sker i henhold til gældende lovgivning. Det er DPO'en, der sørger for, at medarbejderne modtager privacy awareness. Dette kan fx ske ved, at medarbejderne kommer på kursus en gang om året, som DPO'en står for. En del af DPO'ens funktion er også at være bindeled imellem Datatilsynet og jeres virksomhed. Skulle Datatilsynet anmode om oplysninger fra jeres virksomhed, er det DPO'en der skal dokumentere processer og udlevere disse. Jf. den nye forordning skal brud på persondatasikkerheden anmeldes senest efter 72 timer.
Intern eller ekstern DPO
I forordningen er der hverken krav om, at DPO'en skal være ansat i virksomheden eller have sin daglige gang på matriklen. DPO'en må derfor gerne være en ekstern konsulent, der bliver kaldt ind efter behov. Vigtigt er det dog, at DPO'en har kendskab til jeres forretning, kan rådgive om at optimere jeres processer i henhold til forordningen, og at vedkommende kan formå at kommunikere klart og tydeligt både internt og eksternt.
Konsekvenser
Konsekvenserne ved at bryde forordningen er til at tage og føle på for alle virksomheder. Myndighederne får med indførslen af den nye forordning mulighed for at idømme bøder i størrelsesordener, der aldrig tidligere er set herhjemme. Afhængigt af forseelsen kan en virksomhed idømmes en bøde på op til 20 millioner euro eller op til 4 % af virksomhedens globale omsætning, afhængigt af hvilket beløb der er størst. Det er derfor yderst vigtigt at træde varsomt, når det kommer til den nye forordning og bruge perioden op til ikrafttrædelsen med fornuft, så man undgår at stå dagen før og først der skal finde sin DPO.
Hør mere om datasikkerhed, brug af sikre krypterede e-mails, digitalisering og udformning af en sikkerhedspolitik til din virksomhed.
