Persondataforordning: Skal I have en Data Protection Officer?

5 kommentarer.  Hop til debatten
Tilbyder man hosting af hjemmesider/data, eller har man søgemaskiner, er teleselskab, gennemfører markedsundersøgelser, er internetudbyder eller har apps baseret på personoplysninger, så skal man sandsynligvis have en DPO tilknyttet.
person
/hm hm@version2.dk
19. oktober 2017 kl. 10:02
errorÆldre end 30 dage
person
/hm hm@version2.dk
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Ganske mange virksomheder er nødt til at udpege en Data Protection Officer (DPO) eller Databeskyttelsesrådgiver med persondataforordning. Det gælder fx hvis man har en app med personoplysninger eller huser et større loyalitetsprogram eller anden kundedatabase.

Det er Persondataforordning, som træder i kraft til maj næste, som medfører et krav om en Data Protection Officer (DPO) eller Databeskyttelsesrådgiver i visse virksomheder.

En DPO er en form for intern databeskyttelsesombudsmand, der skal understøtte, at virksomheden overholder reglerne i persondataforordningen.

Personen skal inddrages i alle spørgsmål, der drejer sig om databeskyttelse, og er også virksomhedens kontaktperson til Datatilsynet, skriver IT-Branchen i et indlæg i deres nyhedsbrev.

Artiklen fortsætter efter annoncen

Kort fortalt skal din virksomhed have en DPO, hvis:

  • Jeres kerneaktivitet er behandling af personoplysninger,
  • Der sker behandling af personoplysninger i et stort omfang, og
  • behandlingen er regelmæssig og systematisk overvågning af personer eller
  • behandlingen omfatter følsomme oplysninger eller oplysninger om strafbare forhold.
  • Virksomheder, hvis produkt eller tjeneste direkte består i behandling af personoplysninger, vil skulle have en DPO, da deres kerneaktivitet er behandling af personoplysninger.

Man skal derfor have en DPO, hvis man som hovedaktivitet i virksomheden tilbyder eksempelvis cloud computing, hosting af hjemmesider/data, søgemaskiner, teleselskab, markedsundersøgelser, er internetudbyder eller har apps baseret på personoplysninger.

Virksomheder, hvis kerneaktivitet består af behandling af personoplysninger, skal dog også opfylde de to øvrige betingelser, førend virksomheden er forpligtet til at udpege en DPO.

Behandlingen skal nemlig også ske i et stort omfang, hvilket vil sige, at der skal være tale om en stor mængde personoplysninger, oplysninger om et stort antal personer, behandling af lang varighed og/eller stor geografisk udstrækning af behandlingsaktiviteterne.

Artiklen fortsætter efter annoncen

Jobs

Dine job
Vis alle

Som eksempler på virksomheder nævner Datatilsynet i deres vejledning søgemaskiner og tele- og internetudbydere, der behandler personoplysninger i stort omfang.

Sidst, men ikke mindst, skal man også behandle data ved regelmæssig og systematisk overvågning af personer, eller man skal behandle følsomme oplysninger eller oplysninger om strafbare forhold.

Regelmæssig og systematisk overvågning af personer sker typisk, hvis man tilbyder lokalitetstracking via apps, adfærdsbaseret annoncering, e-mail retargeting, loyalitetsprogrammer eller har tilsluttede enheder som f.eks. intelligente målere.

Da en DPO skal være uafhængig og i stand til at udøve uvildig rådgivning til virksomheden, må en DPO ikke være den øverste IT-ansvarlige eller den øverste HR-ansvarlige i virksomheden, lyder det fra IT-Branchen.

Læs hele IT-Branchens indlæg her.

Læs Datatilsynets vejledning om DPO her

5 kommentarer.  Hop til debatten

Jobs

Dine job
Vis alle
Fortsæt din læsning
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
5
Lars Juul
20. oktober 2017 kl. 14:05

Jeg kan anbefale at se dokumentarfilmen "Democracy", der beretter om hvordan direktivet blev til. Herunder får man et glimt af, hvor mange ressourcer store private virksomheder bruger på lobbyvirksomhed i EU.

Man kan vælge at se det som et unyttigt bureaukratisk tiltag, men baggrunden er jo faktisk sikring af borgerrettigheder.

https://www.theguardian.com/technology/2015/nov/14/democracy-film-european-data-protection-privacy-debate

http://www.democracy-film.de/

  • more_vert
    • insert_linkKopier link
3
Alex R. Tomkiewicz
19. oktober 2017 kl. 18:03

God artikel, godt med oplysning om GDPR, men måske ikke helt præcis. Men det er også svært at være præcis når der reglerne ikke er helt entydige. Man skal formentlig ikke have en DPO blot fordi man har en app med personoplysninger og Cloud Computing er et vidt begreb, så det afhænger af hvad det er. F.eks. kræver disse områder ikke DPO ifølge Datatilsynets vejledning: Kundekontakt- eller support, HR-oplysninger , salg, kundekartotek (m.v.). Så det kræver en vurdering. Men en Cloud Computing HR-service gør formentlig. Jeg er ikke jurist, men jeg mener bestemt at GDPR er forståelig for alle IT profesionelle.

Og hvad angår mindre virksomheder med 2-3 ansatte - eller flere: At kende til databehandler-ansvar og databeskyttelse er en del af nutidens spilleregler. Hvis man ikke mener det er vigtigt eller blot er af "symbolsk karakter", så har man nok et andet og mere grundlæggende problem. Men fat mod - så svær er GDPR heller ikke. Medmindre ens forretning behandler data på en måde man ikke har lyst til at fortælle kunderne om.

  • more_vert
    • insert_linkKopier link
1
Frederik Murmann
19. oktober 2017 kl. 15:10

I mindre virksomheder med 2-3 ansatte så er det useriøst at man skal udpege en specifik person til at påtage sig nogle opgaver som af symbolsk karakter.

Hvad ligger der f.eks. i kravet om at man skal være uafhængig - er det overhovedet praktisk muligt hvis du er ansat?

Det skal blive spændende at følge implementationen og tilsynet af denne forordning.

Mvh, Frederik Direktør hos https://Lendme.dk

  • more_vert
    • insert_linkKopier link