Persondataforordning: Skal I have en Data Protection Officer?

Tilbyder man hosting af hjemmesider/data, eller har man søgemaskiner, er teleselskab, gennemfører markedsundersøgelser, er internetudbyder eller har apps baseret på personoplysninger, så skal man sandsynligvis have en DPO tilknyttet.

Ganske mange virksomheder er nødt til at udpege en Data Protection Officer (DPO) eller Databeskyttelsesrådgiver med persondataforordning. Det gælder fx hvis man har en app med personoplysninger eller huser et større loyalitetsprogram eller anden kundedatabase.

Det er Persondataforordning, som træder i kraft til maj næste, som medfører et krav om en Data Protection Officer (DPO) eller Databeskyttelsesrådgiver i visse virksomheder.

En DPO er en form for intern databeskyttelsesombudsmand, der skal understøtte, at virksomheden overholder reglerne i persondataforordningen.

Personen skal inddrages i alle spørgsmål, der drejer sig om databeskyttelse, og er også virksomhedens kontaktperson til Datatilsynet, skriver IT-Branchen i et indlæg i deres nyhedsbrev.

Kort fortalt skal din virksomhed have en DPO, hvis:

  • Jeres kerneaktivitet er behandling af personoplysninger,
  • Der sker behandling af personoplysninger i et stort omfang, og
  • behandlingen er regelmæssig og systematisk overvågning af personer eller
  • behandlingen omfatter følsomme oplysninger eller oplysninger om strafbare forhold.
  • Virksomheder, hvis produkt eller tjeneste direkte består i behandling af personoplysninger, vil skulle have en DPO, da deres kerneaktivitet er behandling af personoplysninger.

Man skal derfor have en DPO, hvis man som hovedaktivitet i virksomheden tilbyder eksempelvis cloud computing, hosting af hjemmesider/data, søgemaskiner, teleselskab, markedsundersøgelser, er internetudbyder eller har apps baseret på personoplysninger.

Virksomheder, hvis kerneaktivitet består af behandling af personoplysninger, skal dog også opfylde de to øvrige betingelser, førend virksomheden er forpligtet til at udpege en DPO.

Behandlingen skal nemlig også ske i et stort omfang, hvilket vil sige, at der skal være tale om en stor mængde personoplysninger, oplysninger om et stort antal personer, behandling af lang varighed og/eller stor geografisk udstrækning af behandlingsaktiviteterne.

Som eksempler på virksomheder nævner Datatilsynet i deres vejledning søgemaskiner og tele- og internetudbydere, der behandler personoplysninger i stort omfang.

Sidst, men ikke mindst, skal man også behandle data ved regelmæssig og systematisk overvågning af personer, eller man skal behandle følsomme oplysninger eller oplysninger om strafbare forhold.

Regelmæssig og systematisk overvågning af personer sker typisk, hvis man tilbyder lokalitetstracking via apps, adfærdsbaseret annoncering, e-mail retargeting, loyalitetsprogrammer eller har tilsluttede enheder som f.eks. intelligente målere.

Da en DPO skal være uafhængig og i stand til at udøve uvildig rådgivning til virksomheden, må en DPO ikke være den øverste IT-ansvarlige eller den øverste HR-ansvarlige i virksomheden, lyder det fra IT-Branchen.

Læs hele IT-Branchens indlæg her.

Læs Datatilsynets vejledning om DPO her

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (5)
Frederik Murmann

I mindre virksomheder med 2-3 ansatte så er det useriøst at man skal udpege en specifik person til at påtage sig nogle opgaver som af symbolsk karakter.

Hvad ligger der f.eks. i kravet om at man skal være uafhængig - er det overhovedet praktisk muligt hvis du er ansat?

Det skal blive spændende at følge implementationen og tilsynet af denne forordning.

Mvh,
Frederik
Direktør hos https://Lendme.dk

Alex R. Tomkiewicz

God artikel, godt med oplysning om GDPR, men måske ikke helt præcis. Men det er også svært at være præcis når der reglerne ikke er helt entydige. Man skal formentlig ikke have en DPO blot fordi man har en app med personoplysninger og Cloud Computing er et vidt begreb, så det afhænger af hvad det er. F.eks. kræver disse områder ikke DPO ifølge Datatilsynets vejledning: Kundekontakt- eller support, HR-oplysninger
, salg, kundekartotek (m.v.). Så det kræver en vurdering. Men en Cloud Computing HR-service gør formentlig. Jeg er ikke jurist, men jeg mener bestemt at GDPR er forståelig for alle IT profesionelle.

Og hvad angår mindre virksomheder med 2-3 ansatte - eller flere: At kende til databehandler-ansvar og databeskyttelse er en del af nutidens spilleregler. Hvis man ikke mener det er vigtigt eller blot er af "symbolsk karakter", så har man nok et andet og mere grundlæggende problem. Men fat mod - så svær er GDPR heller ikke. Medmindre ens forretning behandler data på en måde man ikke har lyst til at fortælle kunderne om.

Henrik Størner

Hvad ligger der f.eks. i kravet om at man skal være uafhængig - er det overhovedet praktisk muligt hvis du er ansat?

GDPR specificerer at en DPO refererer direkte til virksomhedens øverste ledelse, og han må ikke "straffes" for at udøve sine opgaver som DPO. I praksis betyder det formentlig at han/hun får samme ansættelsesmæssige beskyttelse som tillidsmænd.

Lars Juul

Jeg kan anbefale at se dokumentarfilmen "Democracy", der beretter om hvordan direktivet blev til. Herunder får man et glimt af, hvor mange ressourcer store private virksomheder bruger på lobbyvirksomhed i EU.

Man kan vælge at se det som et unyttigt bureaukratisk tiltag, men baggrunden er jo faktisk sikring af borgerrettigheder.

https://www.theguardian.com/technology/2015/nov/14/democracy-film-europe...

http://www.democracy-film.de/

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017
Jobfinder Logo
Job fra Jobfinder