Data Protection Officer – krav eller ej?

Et af de krav, der har været mest debat om i forbindelse med den kommende EU Persondataforordning, er kravet om udpegning af en Data Protection Officer (DPO), som skal sikre, at forordningens krav overholdes i virksomheden Men hvad end det er et krav eller ej, bør virksomhederne overveje konsekvenserne ved IKKE at have en DPO.

I de tidligere udkast af forordningen har kravet om en DPO været afhængig af virksomhedens størrelse eller antal af personer, som virksomheden behandlede oplysninger om. Det betød, at stort set alle virksomheder kunne se frem til at få denne nye rolle ombord i deres organisation.

Det krav er dog blevet lempet noget og er i stedet forbundet til særlige organisationstyper. Derfor er kravet nu, at følgende virksomheder skal udpege en DPO:

• Alle offentlige myndigheder (domstole er dog undtaget)

• Organisationer, hvis kerneforretning omhandler behandling af persondata som nødvendiggør systematisk og regelmæssig overvågning af de registrerede personer

• Organisationer, hvis kerneforretning omhandler behandling af ”særlige kategorier af oplysninger” om registrerede, hvilket i henhold til forordningens Artikel 9 omfatter oplysninger om race, etnicitet, religiøs eller politisk overbevisning, fagforeningsmæssig tilhørsforhold samt helbredsoplysninger og oplysninger om seksuelle forhold.

Spørgsmålet er så, om organisationstyper, som ikke er repræsenteret ovenfor, helt kan se bort fra denne nye rolle i deres arbejde medpersondatabeskyttelse? Det korte svar er: Nej.

Og hvorfor så ikke det? Fordi, lovmæssigt krav eller ej, så handler det om risiko. Risikoen for, at de oplysninger, som virksomheden ligger inde med, ikke beskyttes godt nok. Det er vigtigt at holde sig for øje, at forordningen i sin kerne jo handler om at beskytte personlige oplysninger, og om hvordan man undgår, at de oplysninger, man som virksomhed har om sine kunder eller medarbejdere, ikke falder i de forkerte hænder.

Spørgsmålet er så, hvad rolle en DPO kan spille, og hvordan kan han eller hun gøre en forskel?

Det vigtigste at have på plads er, hvem der har ansvaret. Hvis man i virksomheden ikke har taget stilling til dette, så risikerer man en situation, hvor alle tror, at den anden gør det.

Tre ting bliver derfor vigtige: Ansvar, ressourcer og placering.

For det første er virksomheden nødt til at beslutte, hvor det overordnede ansvar ligger. Hvorvidt det er hos en DPO, CISO, Compliance Officer eller lignende er ikke afgørende. Det altafgørende er, at de krav til beskyttelse af personlige oplysninger, som forordningen indeholder, skal overholdes, og derfor skal en ansvarlig udpeges.

For det andet kræver dette arbejde dedikerede ressourcer. Det er derfor heller ikke nok blot at give ”DPO-hatten” til en tilfældigt udvalgt, det er nødvendigt at sikre, at denne person har ressourcer til at håndtere opgaven, både i form af tid og penge.

For det tredje er det vigtigt at overveje, hvor i virksomheden ansvaret skal ligge. Det er ikke nok, at en ansvarlige udpeges, det er også vigtigt, at han eller hun er placeret strategisk rigtigt i virksomheden. Det betyder, at topledelsen og bestyrelsen bør være involveret. Det vil sikre, at arbejdet får det rette fokus og opmærksomhed.

Databeskyttelse kommer ikke af sig selv og kan ikke tages for givet. Hvis man som virksomhed vil gøre sig forhåbninger om at leve op til kravene i forordningen og samtidig brande sig selv som en virksomhed, der tager persondatabeskyttelse alvorligt, bør man overveje, om ikke en DPO vil være et godt første skridt.

Emilie Norsks billede
Emilie Norsk er Manager hos KPMG, hvor hun har ansvaret for Privacy og Information Protection. Hun specialiserer sig inden for operationel persondatabeskyttelse og er en af Danmarks førende eksperter inden for privacy.

Kommentarer (4)

Esben Madsen

Jeg bemærker at oplysninger om privatøkonomi ikke er med på listen, så se og hør typer kan tilsyneladende stadig lokke lavtsiddende NETS-medarbejdere i uføre uden at organisationen (NETS) påtager sig noget forebyggende ansvar?

Povl H. Pedersen

Alle virksomheder skal have samme høje grad af databeskyttelse. Denne artikel handler alene om, om der SKAL udpeges en DPO med tillidsmandslignende beskyttelse.

En DPO kan angiveligt betyde mindre bøder, og derfor kan det være at virksomheder med dårlig datasikkerhed vælger at det er billigere at have en DPO end at gøre alt for meget for at overholde reglerne.

Det vigtige er, at loven siger at man skal passe på persondata, og straffer dem der ikke gør det. Og hvis loven tolkes efter dansk praksis, så er man ikke ansvarlig hvis man bliver hacket (ondsindet person retter ?authenticated=no til ?authenticated=yes i URL'en), da systemet jo er designet sikkert, så brugerene ikke har for store adgange.

Jeg mener, at noget af det vigtigste er, at få klarlagt hvor ansvaret for hacking ligger. Er der formildende omstændigheder ? Eller er der altid en hård baseline, hvor der kan være skærpede forhold ? F.eks. dumhed som i TV5Monde hacket (de viste deres passwords på postit sedler i bagrrunden af et interview).

Hvad med et hack af Sony ? Hvordan ville det ende ?

Log ind eller opret en konto for at skrive kommentarer