DPO eller ej? Langt de fleste virksomheder kan undvære en Data Protection Officer

1 kommentar.  Hop til debatten
Justitsministeriet løfter nu sløret for, hvordan EU's databeskyttelsesforordning skal fortolkes.
Reportage10. februar 2017 kl. 05:13
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

EU's databeskyttelsesforordning indfører fra næste år kravet om, at bestemte virksomheder ansætter en databeskyttelsesansvarlig - eller DPO. Men langt de fleste virksomheder kan godt undlade at slå stillingen op i første omgang.

Sådan lyder beskeden fra Justitsministeriet, som i går, torsdag, afslørede dele af det foreløbige arbejde med at fortolke forordningen og implementere den i dansk lov. Se præsentationen her.

Kravet om en DPO har længe været præget af uklarhed. Men til trods for den store opmærksomhed DPO-kravet har fået blandt virksomheder og jurister, vil det kun gælde et fåtal, mener Justitsministeriet ud fra den foreløbige fortolkning af EU-reglerne.

»Man kan frivilligt vælge at have en DPO,« fortæller Anders Lotterup, der er chefkonsulent i Justitsministeriets databeskyttelseskontor.

Artiklen fortsætter efter annoncen

»Men for langt de fleste virksomheder vil det ikke være et krav,« understreger han på et stormøde, som torsdag blev afholdt i København. Stormødet, som ministeriet har arrangeret, inviterede virksomheder til at komme og høre, hvor langt i processen statens jurister er kommet.

DPO

Hvem kan være DPO? DPO'en kan findes internt, men der må ikke være en interessekonflikt. Dvs. DPO'en må ikke samtidig være it-chef, HR-chef eller en anden post med øvre ansvar for at behandle persondata. En koncern kan vælge en fælles DPO eller virksomheder kan vælge en ekstern person - som en jurist eller revisor - til opgaven.

Hvilken uddannelse kræver det? Der er ikke noget krav om specifik uddannelse - man behøver fx ikke være jurist. Man skal dog have juridske kompetencer inden for databeskyttesesret og en hvis erfaring, men de krævede kompetencer afhænger af kompleksiteten af virksomheden.

Hvad skal DPO'en lave? DPO'en har en rådgivnings- og overvågningsrolle, og fungerer som kontaktperson for dem, hvis data virksomheden behandler. DPO'en rapporterer direkte til øverste ledelsesniveau og skal inddrages i alle spørgsmål ang. databeskyttelse i tide, så man kan tage højde for rådgivningen.

Kerneaktivitet

Den danske version af forordningen understreger, at der først er krav om en DPO, hvis behandling af persondata er en del af din virksomheds kerneaktivitet.

På stormødet kunne Anders Lotterup uddybe, hvad man skal forstå ved den formulering.

»Her taler vi om virksomheder, hvis produkt er uløseligt forbundet med behandling af persondata,« siger Anders Lotterup.

Det kan for eksempel være diverse cloud-tjenester og udbydere af marketingsundersøgelser. Og også forsikringsselskaber og privathospitaler, fordi forretningen her er meget tæt forbundet med behandling af persondata.

Men med kerneaktivitet forstås ikke almindelige aktiviteter som salg, HR-databehandling, kundekontakt, it-support og så videre. I de discipliner betragtes behandlingen af persondata generelt som en biaktivitet, forklarer Anders Lotterup, der også understreger, at kravet om DPO gælder for alle offentlige organisationer.

»Det bliver hverdagskost i det offentlige, men ikke i det private,« siger han.

Ingen grønspættebog

Selv virksomheder, der har bygget forretningen op på at behandle persondata, skal ikke nødvendigvis ud og hyre en DPO.

Dels kommer det an på hvor meget data der behandles - fx vurderet udfra antallet af berørte personer og tiden, hvor data opbevares. Her kan en privatpraktiserende læge for eksempel godt undvære udgiften, mens et privathospital med flere tusind patienter må udpege en DPO.

Endelig siger reglerne, at data enten skal være følsomme eller indsamles systematisk - det kunne som eksempel gælde et forsikringsselskab.

»Der skal meget til før DPO er et krav,« siger Anders Lotterup og fortsætter:

»Men man skal stadig huske, at man skal kunne påvise, at man overholder af forordningen.«

Justitsministeriet vil til april publicere en større vejledning til, hvordan forordningen skal fortolkes. Dokumentet skal udgøre det juridiske grundlag for det lovforslag, som formelt gør forordningen til en del af dansk lov.

Virksomheder skal dog ikke forvente at få svar på alle spørgsmål, siger Jakob Lundsager, der er kontorchef i Justitsministeriet.

»Det bliver ingen grønspættebog,« siger han og fortsætter:

»Der vil opstå mange situationer, som ikke er adresseret i publikationen. Men den bliver det juridiske fundament, som vi kan arbejde videre ud fra.«

Opdateret 13. februar med link til Justitsministeriets præsentation.

1 kommentar.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
1
10. februar 2017 kl. 08:29

Det bliver spændende at læse, hvilke forslag Justitsministeriet kommer frem til vedrørende sanktionsmuligheder overfor offentlige myndigheder og eget embedsværk. EU's persondataforordning overlader dette vigtige emne til de enkelte medlemslande, og det er nok her de store forskelle mellem landende kommer frem. Persondataforordningen efterlader ingen tvivl om de mange og alvorlige sanktioner der kan og vil blive taget i anvendelse overfor private virksomheder og enkeltpersoner. Men det overlades til de enkelte medlemslande selv at afgøre, hvordan de nationale offentlige myndigheder og embedsværket skal sanktioneres i tilfælde af sjusk og mangelfuld varetagelse af befolkningens tvangslagrede og personfølsomme oplysninger i deres varetægt.