GDPR: Flere virksomheder skal udpege en data protection officer

Når GDPR træder i kraft næste år, er det vigtigere end nogensinde før, at private og offentlige virksomheder har styr på deres databeskyttelse. Her kan en DPO, en data protection officer, være til stor hjælp.

Data protection officer

En DPO har et særligt indblik i lovgivningen og reglerne på området for persondatabeskyttelse. Foto: Colourbox.com

I takt med at der, qua GDPR-lovgivningen, kommer strammere regler omkring databeskyttelse fra maj 2018, er det vigtigt for virksomheder i både den private og offentlige sektor at være på forkant med de nye regler,for at undgå store bøder, og her er en DPO måske vejen frem.  

Hvad er en DPO? 

Overordnet set har en DPO ansvaret for at rådgive de dataansvarlige hos en virksomhed omkring persondatabeskyttelse, da han eller hun, har et særligt indblik i lovgivningen og reglerne på området.

Den ansvarlige DPO fungerer selvstændigt og har ansvaret for at de nye GDPR-regler bliver fulgt og overholdt. Samtidig har den udpegede DPO også funktionen som kontaktperson til Datatilsynet, som kan komme på kontrolbesøg for at tjekke virksomhederne og deres datahåndtering.

En data protection officer kan også varetage områder indenfor uddannelse og oplæring af de medarbejdere, som til dagligt håndterer personfølsomme data. Det betyder alt andet lige, at man som den udnævnte DPO skal have gode kompetencer og viden i forhold til databehandling og databeskyttelse.  

Det er et EU-krav, at man udpeger en DPO

Som privat eller offentlig virksomhed, der arbejder med persondata og samtidig er dataansvarlig, er det med den nye GDPR et krav fra EU, at man udpeger en DPO.

En data protection officer kan være ansat i én virksomhed, men fungere som rådgiver og konsulent hos flere virksomheder. På den måde kan  flere virksomheder gå sammen om at være på forkant med de kommende regler om beskyttelse af data.

En DPO kan også være ansat hos de pågældende myndigheder og derfra operere i sit arbejde med at holde styr på, om offentlige instanser og virksomheder overholder de nye regler. 

Hvilke virksomheder og instanser skal have en DPO? 

Hos det offentlige er det obligatorisk, at alle myndigheder, på nær domstole, udpeger en ansvarlig DPO.

Hos private virksomheder er der som udgangspunkt to omstændigheder der vil føre til, at der skal udpeges en DPO:   

  1. Kerneaktiviteten hos virksomheden består i at behandle personoplysninger af sådan en karakter, at der regelmæssigt og systematisk foregår en overvågning af personer på en stor skala. Det vil sige, at hvis din virksomhed arbejder med store mængder af personoplysninger er det fra EU's side et krav, at der bliver udpeget en DPO. 

  2. Kerneaktiviteten hos virksomheden består i at arbejde med følsomme personoplysninger. Følsomme oplysninger er blandt andet kriminelle forhold, information, der afslører noget om race, etnisk oprindelse, seksualitet eller politisk holdning. Er disse følsomme oplysninger i spil i det daglige virke i virksomheden, skal der altså udpeges en DPO.   

Men det betyder ikke, at virksomheder, der ikke nødvendigvis falder indenfor disse to kategorier, kan se sig fri for at tage hånd om hvordan de håndterer deres data. God databeskyttelse kan nemlig have en positiv indvirkning på en virksomheds renommé og samtidig kan man undgå fremtidige bødestraffe.  

Sikkerheden og kravene til ,hvordan data og følsomme oplysninger bliver håndteret, vil kun stige i de kommende år. Så derfor kan man som privat eller offentlig virksomhed lige så godt forberede sig og tage det lange seje træk - og dermed være up front med regler og krav.  

GDPR træder i kraft 25. maj 2018

Det er vigtigt allerede nu at få styr på, hvordan EU's nye krav påvirker din virksomhed og ikke mindst, om GDPR-loven har betydning for, om der skal udpeges en data protection officer, der kan varetage og rådgive omkring de komplekse regler, der følger med. 

Hold dig opdateret ...

Tilmeld dig vores nyhedsbrev

Få værdiskabende artikler, værktøjer og inspiration til, hvordan du forankrer den digitale transformation i din virksomhed – direkte i din indbakke.