Persondataforordningen Data Protection Officer. Advokat, Marie Albæk Jacobsen

Transkript

1 Persondataforordningen Data Protection Officer Advokat, Marie Albæk Jacobsen

2 2 Data Protection Officer - DPO Data Protection Officer (DPO) Databeskyttelsesrådgiver Ny bestemmelse - har ikke tidligere været et krav i Danmark efter persondataloven Kravene håndhæves fra 25. maj 2018 Persondataforordningens artikel fastsætter krav til Hvem, der skal udpege en DPO Hvem, der kan udpeges som DPO D P O e n s stilling D P O e n s opgaver

3 3 Udpegning af DPO Hvilke organisationer (både dataansvarlige og databehandlere) skal have en DPO? Offentlige myndigheder (undtagen domstole) Private virksomheder, hvis kerneaktivitet består af omfattende databehandling, som kræver regelmæssig og systematisk overvågning af den registrerede i stort omfang Private virksomheder, hvis kerneaktivitet består af behandling i stort omfang af følsomme personoplysninger eller oplysninger om straffedomme og straffelovsovertrædelser National ret eller EU-ret (specielle områder) kan fastsætte andre krav til udpegning af DPO Øvrige organisationer kan udpege DPO

4 4 Hvem kan udpeges som DPO? Udpegning skal ske på grundlag af: Faglige kvalifikationer og ekspertise inden for persondatalovgivning og praksis Evner til at udføre de opgaver, som forordningen fastlægger Viden om tekniske krav til privacy og datasikkerhed Konkret viden om den behandling af personoplysninger, der pågår i organisationen Evnen til at udføre impact assessments, audits, indgå i drøftelser, udarbejde dokumentation og analyser Evnen til at kommunikere effektivt med alle, herunder eksterne parter Kan være en intern medarbejder hos den dataansvarlige eller ekstern tredjepart Fælles DPO Koncern kan udpege én fælles DPO alle skal have let adgang til D P O e n Flere offentlige myndigheder/organer kan udpege fælles DPO i overensstemmelse med struktur og størrelse

5 5 Krav til DPO ens stilling Den dataansvarlige/databehandleren skal sikre, at: D P O e n tilstrækkeligt og rettidigt inddrages i alle spørgsmål vedrørende beskyttelse af personoplysninger D P O e n støttes i udførelsen af sine opgaver gennem tilvejebringelse af nødvendige ressourcer til gennemførelse af opgaver, opretholdelse af DPO s ekspertise og adgang til personoplysninger og behandlingsaktiviteter D P O e n ikke modtager instrukser vedrørende udførelsen af sine opgaver (uafhængighed) D P O e n s eventuelle andre opgaver/pligter ikke medfører interessekonflikt D P O e n er underlagt tavshedspligt eller fortrolighed vedrørende udførelsen af sine opgaver D P O e n må ikke afskediges eller straffes af den dataansvarlige/databehandleren for at udføre sine opgaver D P O e n rapporterer direkte til det øverste ledelsesniveau D P O e n kan kontaktes af registrerede i alle spørgsmål vedr. behandling af deres oplysninger og udøvelse af deres rettigheder i henhold til forordningen

6 6 DPO ens opgaver DPO en skal som minimum varetage følgende opgaver: Underrette og rådgive dataansvarlige/databehandlere/ansatte om forpligtelser i henhold til forordningen og andre bestemmelser vedr. databeskyttelse (EU/nationalt) Overvåge overholdelse af forordningen, EU/nationale regler om databeskyttelse og den dataransvarliges/databehandlerens politikker om beskyttelse af personoplysninger, herunder fordeling af ansvar oplysningskampagner uddannelse af det personale, der medvirker ved behandlingsaktiviteter og de tilhørende revisioner Rådgive i forbindelse med Data Protection Impact Assessment og dens efterfølgende opfyldelse Samarbejde med tilsynsmyndigheden Være kontaktpunkt for tilsynsmyndigheden i relation til spørgsmål vedr. behandling og høre tilsynsmyndigheden, når hensigtsmæssigt, om eventuelle andre spørgsmål DPO en skal tage behørigt hensyn til risikoen forbundet med behandlingsaktiviteter under udførelsen af sine opgaver (karakter, omfang, kontekst, formål)

7 7 Eksempler på opgaver Sætte fokus på privacy awareness Gennemføre træning/uddannelse af medarbejdere Udarbejde og implementere privacy politikker og procedurer Sparring og rådgivning om persondataretlige forhold Samarbejde med relevante stakeholders i organisationen Gennemføre Data Protection Impact Assessments Etablere kontakt til tilsynsmyndigheden Administrere forholdet til databehandlere Besvare henvendelser fra registrerede Overvåge compliance og gennemføre audits Vedligeholde dokumentation Administrere hændelser og brud på persondatasikkerheden Underretninger til tilsynsmyndigheden

8 8 Ressourceforbrug Estimeret ressourceforbrug på opgaver for DPO en ved opstart: Løbende opdatering af politikker/processer, kontrol/stikprøver Kontrol og opdatering Vurdering af sikkerhedsniveau (delt med IT), iværksættelse af sikkerhedsmæssige tiltag, sikkerhedsbrud Vurdering af leverandører/databehandlere, opfølgning databehandleraftale, henvendelser fra registrerede, notifikationer/korrespondance med datatilsynet, Vurdering af nye tiltag, produkter, systemer, løsninger, mv., gennemgang af aftaler, udarbejdelse af impactassessments, forhandling med tredjeparter Sikkerhed Tredjeparter og Datatilsynet Rådgivning og sparring Inddeling i medarbejderkategorier, udarbejdelse af uddannelsesmateriale, afholdelse af kursus/træningsforløb, Udarbejdelse og implementering af persondatapolitikker, fx HR, IT, sikkerhedsbrud, indsigtsanm odninger og sletning, fastlæggelse og im plem entering af processer, fx aftalegennemgang, valg af databehandler, ImpactAssessments Awareness og uddannelse Politikker og processer

9 9 Konklusion DPO en har mange funktioner og opgaver, herunder særligt at Være med til at træffe beslutning om organisationens complianceniveau/risikoniveau Rådgive og vejlede generelt og konkret Sikre complianceniveauet løbende gennem opdatering og kontrol, herunder i forhold til ny lovgivning, nye retningslinjer, ny praksis, mv. (både generelt og indenfor relevant branche/sektor) Fordele ved at udpege DPO en nu: Opbygge indgående kendskab til organisationens behandling af personoplysninger Påbegynde awareness programmer, mv., så kendskab kan udbredes i organisationen Skaffe sig det relevante netværk intern og eksternt inden forordningen håndhæves fra 25. maj 2018

10 10 Kontakt Marie Albæk Jacobsen Advokat Aarhus IP & Technology T M E [email protected] København Danmark Aarhus Danmark Shanghai Kina T