DPO ens rolle i praksis 13. Juni 2016 Advokat Lars Japp Haslund
2 DPO ens rolle i praksis 1 2 3 4 ROCKWOOL Group Data Privacy Compliance project DPO hvornår og hvorfor DPO ens rolle i praksis
1 ROCKWOOL Group ROCKWOOL GROUP Part of the solution in more ways than you can imagine Insulation business Systems business Building insulation Acoustic ceilings and wall systems Industrial & technical insulation for process industry, marine External cladding systems and offshore Horticultural substrate solutions Customised solutions for industrial applications Engineered fibres solutions e.g. for the automotive industry Wall systems (External Thermal Insulation Composite Systems) Noise and vibration control 3
1 ROCKWOOL Group ROCKWOOL GROUP The world s leading supplier of innovative stone wool products and systems IN NUMBERS STONE WOOL FACTORIES COUNTRIES WE OPERATE IN EMPLOYEES WORLDWIDE 28 4 37 App10,600
2 Data Privacy Compliance project 5 W H Y Build a Privacy Compliance Setup in Group to support integrity focus, avoid loss of brand value/pr risks and also avoid financial and legal risks. Integrity ensure legal and ethical compliance with privacy regulation W H A T International data transfer - Implementation of Binding Corporate Rules (BCRs) Digitalisation - will be a cornerstone in increased digitalization of organisation Ready for GDPR - needs no further introduction W H E N 2015 2016 2017 2018 25. Maj 2018
3 DPO hvornår og hvorfor 6 DPO skal, vil eller bør virksomheden have én? 1. Skal organisation have en DPO efter GDPR? 2. Bør organisationen alligevel have en? Vil organisationen af andre kommercielleforretningshensyn? 3. BCR: medfører krav om DPO! 4. Catch 22: Beslut DPO så tidligt i processen som muligt. Muliggør at DPO kan være med i arbejdet med at kortlægge behandlingsaktiviteter og få baggrundsviden. 5. HR og medarbejder fastholdelse privacy is the new black 6. Hvis større (global) virksomhed, vil DPO uanset om det hviler på GDPR eller BCR ikke meningsfuldt være et one man band. 7. Måske har du som DPO en allerede kollegaer ude i koncernen, da DPO er lovpligtigt visse steder eller giver fordele i fht. tilsynsprocesser. 8. Måske skal rollen outsources? Måske bare for visse enheder?
4 DPO ens rolle i praksis 7 DPO i praksis = multi-talent?! Uanset om DPO sidder i IT, Legal, HR så får du brug for alle dine talenter 1. Projektleder budgetter, leverancer og eksterne leverandører mv i implementering 2. Driftsansvarlig post-implementering for data privacy område 3. Stakeholder management med respekt for the cultural prism i globale organisationer 4. DPO skal være kendt og respekteret i organisationen. Både i C-suite og i alle øvrige samarbejdsrelationer 5. Faglig reference for Global DPO-organisation 6. Trusted advisor (Være kreativ og forretningsorienteret) og watch dog for data privacy 7. Bistå med DPIA 8. Undervise og træne kollegaer. Sætte fokus på privacy awareness 9. Følge regulatoriske ændringer såvel som ændringer i best practices vedr. informationssikkerhed 10. Rapportere, dokumentere og kontrollere politikker og processer 11. Administrere hændelser, brud på persondatasikkerheden og underretninger af tilsynsmyndigheden 12. Sikre egen løbende uddannelse i persondataret, IT sikkerhed og compliance management.
8 Kontakt Lars Japp Haslund Senior Associate, Attorney-at-law (CIPP/E) Copenhagen IP & Technology T +45 72 27 34 52 M +45 25 26 34 52 E lajh@bechbruun.com København Danmark Aarhus Danmark Shanghai Kina T +45 72 27 00 00 www.bechbruun.com
BACKUP SLIDES 9
10 Forordningens DPO-krav Person med ekspertise i databeskyttelsesret og -praksis bistå den dataansvarlige eller databehandleren med at overvåge, at forordningen overholdes internt (præambel pkt. 97) Sådanne DPO er bør, uanset om de er ansat hos den dataansvarlige eller ej, være i stand til at udøve deres hverv på uafhængig vis (præambel pkt. 97) Informationsforpligtelsen efter artikel 13 og 14 omfatter også kontaktoplysninger for den eventuelle DPO Dataansvarliges og databehandleres fortegnelse over behandlingsaktiviteter skal også omfatte navn og kontaktoplysninger for evt. DPO (artikel 30, stk. 1, litra a og stk. 2, litra a) Anmeldelse af sikkerhedsbrud til tilsynsmyndigheden skal angive navn og kontaktoplysninger for DPO en (eller et andet kontaktpunkt) (artikel 33, stk. 3, litra b) I forbindelse med gennemførelse af konsekvensanalyse vedr. databeskyttelse (PIA) er den dataansvarlige forpligtet til at rådføre sig med DPO en (artikel 35) I situationer, hvor der er krav om forudgående høring af tilsynsmyndigheden skal DPO ens kontaktoplysninger angives, hvis det er relevant (artikel 36)
11 Udpegning af DPO Hvilke organisationer (både dataansvarlige og databehandlere) skal have en DPO (artikel 37)? Offentlige myndigheder (undtagen domstole) Private virksomheder, hvis kerneaktivitet består af omfattende databehandling, som kræver regelmæssig og systematisk overvågning af den registrerede i stort omfang Private virksomheder, hvis kerneaktivitet består af behandling i stort omfang af følsomme personoplysninger eller oplysninger om straffedomme og straffelovsovertrædelser Koncern kan udpege én fælles DPO alle etableringer have let adgang til DPO en Flere offentlige myndigheder/organer kan udpege fælles DPO i overensstemmelse med struktur og størrelse National ret eller EU-ret (specielle områder) kan fastsætte andre krav til udpegning af DPO Øvrige organisationer kan udpege DPO medlemsstaterne kan lave særregler Alle organisationer bør forankre arbejdet med persondata hos en DPO/databeskyttelsesansvarlig
12 Generelle krav vedr. DPO Udpegning på grundlag af faglige kvalifikationer og ekspertise inden for persondatalovgivning og -praksis samt evner til at udføre opgaver oplistet i forordningens artikel 39 Kan både være medarbejder hos den dataansvarlige og ekstern Kontaktoplysninger på DPO en skal offentliggøres og meddeles til tilsynsmyndigheden DPO en skal tilstrækkeligt og rettidigt inddrages i alle spørgsmål vedrørende beskyttelse af personoplysninger DPO en skal støttes i udførelsen af sine opgaver tilvejebringelse af nødvendige ressourcer til gennemførelse af opgaver, opretholdelse af DPO s ekspertise og adgang til personoplysninger og behandlingsaktiviteter DPO en skal være de registreredes point of contact i alle spørgsmål vedr. behandling af deres oplysninger og udøvelse af deres rettigheder i henhold til forordningen
13 Generelle krav vedr. DPO Den dataansvarlige/databehandleren sikre, at DPO en ikke modtager instrukser vedr. udførelsen af sine opgaver Ikke afskediges eller straffes af dataansvarlig/databehandler for at udføre sine opgaver (ikke en egentlig beskyttet stilling) Rapportere direkte til øverste ledelsesniveau (C-level stilling (CPO)) DPO en underlagt tavshedspligt/fortrolighed vedrørende udførelsen af sine opgaver (i overensstemmelse med EU-ret/lovgivningen i en medlemsstat) DPO en kan udføre andre opgaver/pligter sikre mod interessekonflikt BCR-politik skal indeholde beskrivelse af DPO ens opgaver
14 DPO ens opgaver Opgaver (minimumskrav) (artikel 39): Underretning og rådgivning af dataansvarlig /databehandler/ansatte om forpligtelser i henhold til forordningen og andre bestemmelser vedr. databeskyttelse (EU/nationalt) Overvåge overholdelse af forordningen, EU/nationale regler om databeskyttelse og dataransvarliges/databehandlers regler om beskyttelse af personoplysninger (fordeling af ansvar, oplysningskampagner og uddannelse af relevant personale tilhørende revisioner) Kontrollere den dataansvarliges/databehandlerens gennemførelse af PIA og dens efterfølgende opfyldelse Samarbejde med og være kontaktpunkt for de relevante tilsynsmyndigheder (bl.a. høre tilsynsmyndigheden, når det er nødvendigt) DPO tage behørigt hensyn til risiko forbundet med behandlingsaktiviteter under udførelsen af sine opgaver (karakter, omfang, kontekst, formål) Retningslinjer for den dataansvarliges eller databehandlerens gennemførelse af passende foranstaltninger og for påvisning af dennes overholdelse af bestemmelserne, navnlig for så vidt angår identificering af risikoen i forbindelse med behandlingen, vurdering heraf med hensyn til deres oprindelse, karakter, sandsynlighed og alvor og identificering af bedste praksis med henblik på at mindske denne risiko, kan især opstilles gennem en databeskyttelsesansvarliges anvisninger (eller via godkendte adfærdskodekser, godkendte certificeringer eller retningslinjer fra Det Europæiske Databeskyttelsesråd) (præambel pkt. 77)