Nye EU-regler stiller krav om en Data Protection Officer

[fa icon="calendar"] 23-03-16 15:23 / Skrevet af Michael Hopp

Data_Protection_Officer_DPO.jpg

Den nye persondataforordning stiller krav om, at en række organisationer fremover skal udpege en særlig Data Protection Officer (DPO).

Hvem skal have en DPO?
Kravet om en DPO gælder for alle offentlige myndigheder på nær domstolene. For private virksomheder og organisationer er der krav om en DPO, hvis mindst et af følgende kriterier angivet i Forordningens artikel 35 er opfyldt:

 

  • Den dataansvarliges kerneaktivitet indebærer en omfattende, regelmæssig og systematisk overvågning af de registrerede
  • Den dataansvarliges kerneaktivitet indebærer en omfattende behandling af følsomme data (artikel 9) og/eller data om strafbare forhold (artikel 9a).

 

For private virksomheder og organisationer vil det bero på en konkret vurdering i forhold til ovenstående kriterier, om de er forpligtet til at udpege en DPO.

Der er i princippet ikke noget til hinder for, at en organisation vælger at udpege en DPO, selv om organisationen ikke er forpligtet til det. Hvis det vælges, skal alle krav for en DPO i forordningen overholdes.

 

Hvem kan udpeges til DPO?

En DPO skal udpeges ud fra faglige kvalifikationer, herunder særligt ekspertviden om persondataret og praksis samt kvalifikationer i forhold til at løse en række opgaver:

 

  • Rådgivning og vejledning af den dataansvarlige og dennes personale om deres forpligtelser i forhold til behandling af persondata
  • Overvågning af den dataansvarliges efterlevelse af forordningen, anden regulering af behandling af persondata samt den dataansvarliges egne politikker på området
  • Kontaktperson for Datatilsynet og de registrerede

 

 En DPO kan være en ansat i organisationen, men det er også muligt at outsource funktionen.

 

Hvad indebærer stillingen som DPO?

De opgaver, en DPO skal varetage, kan være i strid med den dataansvarliges interesser. For at sikre, at DPO'en har mulighed for at udføre sit hverv på en betryggende måde, fastsætter forordningen en række særlige krav og vilkår for stillingen som DPO:

 

  • Stillingen som DPO er en beskyttet stilling. En DPO kan ikke afskediges eller gøres til genstand for andre sanktioner som følge af sin varetagelse af hvervet som DPO
  • Stillingen som DPO er omfattet af tavshedspligt
  • DPO'en skal være uafhængig. En DPO skal ikke være underlagt instruktionsbeføjelse fra ledelsen i organisationen i udførelsen af sit hverv
  • DPO'en kan heller ikke deltage i udformningen eller den daglige udførelse af opgaver på områder, som DPO'en skal overvåge
  • DPO'en skal have adgang til at rapportere direkte til organisationens øverste ledelse
  • DPO'en skal inddrages i alle anliggender om beskyttelse af persondata og have adgang alle relevante systemer og persondata, som organisationen behandler.
  • DPO'en skal kunne trække på de nødvendige ressourcer og kompetencer (relevante værktøjer, en passende intern medarbejderstab og adgang til ekstern ekspertise)
  • DPO'en skal kunne opretholde sit kompetenceniveau - bl.a. have mulighed for at deltage i efteruddannelse i nødvendigt omfang

 

Hvad er første skridt?

Alle organisationer bør begynde med at finde ud af, om de er omfattet af kravet om udpegning af en DPO.


Er det tilfældet, bør organisationen overveje at få rollen som DPO besat relativt hurtigt. Det giver mulighed for at trække på DPO'ens rådgivning og vejledning allerede i forbindelse med det arbejde, der skal gennemføres for at sikre organisationens efterlevelse af persondataforordningen.

 

Selv om en DPO - af hensyn til sin uafhængighed - kun vil kunne rådgive og vejlede på overordnet niveau, vil involvering tidligt i processen stadig reducere risikoen for, at pågældende DPO senere vil finde behov for væsentlige ændringer af organisationens tilrettelæggelse af behandling af persondata.

 

Organisationer uden krav om DPO bør overveje, om der er behov for en rolle, som varetager en del af de opgaver, der varetages af en DPO. Og organisationen bør i givet fald overveje, hvordan disse opgaver mest hensigtsmæssigt kan tilrettelægges.

Vurder indlæg:


Handler om: It-sikkerhed, Forretning, Strategi, EU, It-politik


Michael Hopp

Skrevet af Michael Hopp

Michael Hopp er partner i Plesners TMT team og ansvarlig for rådgivning inden for persondataret, markedsføringsret og forbrugerbeskyttelse. Michael har siden 2000 beskæftiget sig indgående med persondataret, hvilket gør, at han har oparbejdet en både bred og dyb erfaring med håndtering af mange typer af persondataretlige problemstillinger. Michael er bredt anerkendt som en af de ledende, danske rådgivere på området.