Bliv klar til den nye Persondataforordning - Del 1: Data Protection Officers
I starten af 2018 træder den nye persondataforordning i kraft, hvilket medfører en række krav til virksomhederne. I den kommende tid sætter IUNO fokus på ændringerne og forbereder virksomhederne på de nye krav. I denne uge ser vi nærmere på kravet om at udpege en Data Protection Officer (DPO) for visse private virksomheder og offentlige myndigheder.
I december 2015 blev EU-Parlamentet, Kommissionen og Rådet endelig enige om ordlyden til den nye persondataforordning, som har været næsten fire år undervejs. Den nye persondataforordning træder i kraft i Danmark og resten af EU i starten af 2018. I Danmark erstatter forordningen persondataloven.
Forordningen medfører nogle væsentlige ændringer og krav på det persondataretlige område, som virksomhederne skal være opmærksomme på. I de kommende uger sætter IUNO fokus på disse ændringer og krav, og vi lægger ud med kravet om at ansætte en Data Protection Officer (DPO).
Data Protection Officer
Pligten til at udpege en DPO gælder for alle offentlige myndigheder, der behandler persondata, med undtagelse af domstolene.
Private virksomheder har ligeledes pligt til at udpege en DPO, hvis deres kerneaktivitet omfatter behandling af persondata, som kræver regelmæssig og systematisk overvågning i større omfang, eller hvis virksomhedens kerneaktivitet består af behandling af personfølsomme oplysninger i større omfang.
Det er usikkert, hvad der ligger i betingelserne om, at databehandlingen skal udgøre virksomhedens ”kerneaktivitet” og ske ”i større omfang”, og det vil i alle tilfælde bero på en konkret vurdering, om virksomheden er forpligtet til at udpege en DPO.
Pligten til at udpege en DPO gælder endelig for virksomheder, som behandler data, der indeholder oplysninger om kriminelle forhold.
Personer, der varetager hvervet som DPO, har til opgave at informere og rådgive den dataansvarlige eller databehandleren samt sikre overholdelsen af forordningens regler i myndighedens eller virksomhedens daglige drift.
Ved udpegelsen af en DPO, skal der lægges vægt på vedkommendes faglige kvaliteter, herunder især ekspertviden om persondataret og praksis på området. En DPO kan være medarbejder hos virksomheden eller myndigheden, men det er også muligt at ansætte en ekstern DPO. Det er virksomhedens eller myndighedens opgave at sikre, at DPO’en har tilstrækkelig tid og ressourcer til at udføre sit hverv.
DPO’en skal handle uafhængigt af arbejdspladsen og dennes interesser, og en DPO er særligt beskyttet mod afskedigelse og sanktionering i forbindelse med udførelsen af sine arbejdsopgaver.
IUNO mener
Persondataforordningen har en to-årig implementeringsperiode, hvilket betyder, at reglerne først træder i kraft i starten af 2018. Virksomhederne bør dog allerede nu forberede sig på tilpasningen af de nye regler.
Virksomhederne skal først og fremmest forholde sig til, om de har pligt til at ansætte en DPO. Dernæst skal de tage stilling til, om de ønsker at udpege en DPO internt eller eksternt. Det er imidlertid vigtigt at være opmærksom på, at DPO’en skal have ”ekspertviden om persondataret”, hvilket kan opnås gennem uddannelse af medarbejderen.
Hos IUNO står vi klar med råd og vejledning vedrørende den nye persondataforordning. Vi er specialiseret i persondataret og har mulighed for at foretage en konkret vurdering af, om virksomhederne eksempelvis er forpligtet til at ansætte en DPO, ligesom vi kan varetage DPO-opgaven for virksomheden. Så tøv endelig ikke med at kontakte os, hvis du har spørgsmål.
I næste udgave ser vi nærmere på overførsel af data til tredjelande.
I december 2015 blev EU-Parlamentet, Kommissionen og Rådet endelig enige om ordlyden til den nye persondataforordning, som har været næsten fire år undervejs. Den nye persondataforordning træder i kraft i Danmark og resten af EU i starten af 2018. I Danmark erstatter forordningen persondataloven.
Forordningen medfører nogle væsentlige ændringer og krav på det persondataretlige område, som virksomhederne skal være opmærksomme på. I de kommende uger sætter IUNO fokus på disse ændringer og krav, og vi lægger ud med kravet om at ansætte en Data Protection Officer (DPO).
Data Protection Officer
Pligten til at udpege en DPO gælder for alle offentlige myndigheder, der behandler persondata, med undtagelse af domstolene.
Private virksomheder har ligeledes pligt til at udpege en DPO, hvis deres kerneaktivitet omfatter behandling af persondata, som kræver regelmæssig og systematisk overvågning i større omfang, eller hvis virksomhedens kerneaktivitet består af behandling af personfølsomme oplysninger i større omfang.
Det er usikkert, hvad der ligger i betingelserne om, at databehandlingen skal udgøre virksomhedens ”kerneaktivitet” og ske ”i større omfang”, og det vil i alle tilfælde bero på en konkret vurdering, om virksomheden er forpligtet til at udpege en DPO.
Pligten til at udpege en DPO gælder endelig for virksomheder, som behandler data, der indeholder oplysninger om kriminelle forhold.
Personer, der varetager hvervet som DPO, har til opgave at informere og rådgive den dataansvarlige eller databehandleren samt sikre overholdelsen af forordningens regler i myndighedens eller virksomhedens daglige drift.
Ved udpegelsen af en DPO, skal der lægges vægt på vedkommendes faglige kvaliteter, herunder især ekspertviden om persondataret og praksis på området. En DPO kan være medarbejder hos virksomheden eller myndigheden, men det er også muligt at ansætte en ekstern DPO. Det er virksomhedens eller myndighedens opgave at sikre, at DPO’en har tilstrækkelig tid og ressourcer til at udføre sit hverv.
DPO’en skal handle uafhængigt af arbejdspladsen og dennes interesser, og en DPO er særligt beskyttet mod afskedigelse og sanktionering i forbindelse med udførelsen af sine arbejdsopgaver.
IUNO mener
Persondataforordningen har en to-årig implementeringsperiode, hvilket betyder, at reglerne først træder i kraft i starten af 2018. Virksomhederne bør dog allerede nu forberede sig på tilpasningen af de nye regler.
Virksomhederne skal først og fremmest forholde sig til, om de har pligt til at ansætte en DPO. Dernæst skal de tage stilling til, om de ønsker at udpege en DPO internt eller eksternt. Det er imidlertid vigtigt at være opmærksom på, at DPO’en skal have ”ekspertviden om persondataret”, hvilket kan opnås gennem uddannelse af medarbejderen.
Hos IUNO står vi klar med råd og vejledning vedrørende den nye persondataforordning. Vi er specialiseret i persondataret og har mulighed for at foretage en konkret vurdering af, om virksomhederne eksempelvis er forpligtet til at ansætte en DPO, ligesom vi kan varetage DPO-opgaven for virksomheden. Så tøv endelig ikke med at kontakte os, hvis du har spørgsmål.
I næste udgave ser vi nærmere på overførsel af data til tredjelande.
Lignende
Flere medarbejdere indberetter psykisk arbejdsmiljø til Datatilsynet
