Data Protection Officer: krav og outsourcing af DPO-rollen Uddannelsesdagen 2017
Corporate Compliance & Investigations Vi er eksperter indenfor Compliance & interne undersøgelser Vi laver risikoanalyser, leverandørtjek, udarbejdelse og implementering af complianceprogrammer og politikker. Derudover leverer vi uddannelse af medarbejdere og ledere enten som en standardløsning eller skræddersyet til den enkelte organisation. Antikorruption & bestikkelse Vi hjælper virksomheder, organisationer og offentlige myndigheder, der ønsker at forebygge sager om korruption og bestikkelse inden for deres eget område, og som ønsker eller har behov for at kunne dokumentere deres indsats. Hvidvask Vi udarbejder complianceprogrammer i forhold til hvidvaskloven og kan hjælpe med at skræddersy det complianceprogram, der er det rigtige, nødvendige og tilstrækkelige for jer. Erhvervsstrafferet Vi yder bistand til virksomheder og organisationer, der bliver udsat for kriminelle forhold, enten fra ansatte eller fra udenforstående. Vi assisterer med undersøgelse af de mistænkelige forhold og sikring af beviser, krisestyring, kontakt til de relevante myndigheder, udarbejdelse af eventuel politianmeldelse, opgørelse af erstatningskrav mv. Persondata Persondataforordningen, sikkerhedsbrud, whistleblower-programmer, indsamling og beskyttelse af følsomme personoplysninger og sektorspecifik lovgivning. Der er stort fokus på det persondataretlige område, og det kan have stor og kritisk betydning for både virksomheder og offentlige organisationer, hvis lovgivningen ikke overholdes.
3 Lidt historie Persondatadirektivet gav flere muligheder Danmark valgte en anmeldelsesordning over en DPOordning I Tyskland har udpegelsen af en DPO været lovpligtig i mange år (flere end 9 medarbejdere) USA: Ikke lovkrav at udpege DPO Chief Privacy Officer (ansvarsområder dikteret af forretningsmæssige behov i stedet for lovkrav)
DPO-rollen GDPR art. 37-39 Hvem har pligt til at udpege en DPO? Offentlige myndigheder (undtagen domstole) Private virksomheder, hvis kerneaktivitet består af databehandling, der i medfør af deres karakter, omfang og/eller formål kræver regelmæssig og systematisk overvågning af registrerede i stort omfang Virksomheder, hvis kerneaktivitet består af databehandling i stort omfang af særlige kategorier af personoplysninger eller oplysninger om straffedomme og straffelovsovertrædelser DPO en udpeges på baggrund af sine faglige kvalifikationer herunder persondataretlig ekspertise påser, at GDPR overholdes og rådgiver ledelsen i den forbindelse inddrages tilstrækkeligt og rettidigt i alle spørgsmål vedrørende beskyttelse af personoplysninger skal være uafhængig og må ikke modtage instrukser vedrørende udførelsen af sine opgaver kan udføre andre opgaver og have andre pligter, så længe det ikke medfører en interessekonflikt
Obligatorisk DPO Dataansvarliges pligt til at udpege en DPO ctr. databehandleres pligt til at udpege en DPO Medfører DPO-pligt hos den dataansvarlige automatisk DPO-pligt hos dennes databehandlere og vice versa? Offentlige myndigheder. Offentlige opgaver der varetages af private (fx forsyningsselskaber, public service broadcasting mv.) Brug af private databehandlere
Kerneaktiviteter, regelmæssig og systematisk overvågning i stort omfang kerneaktiviteter Behandling der en nødvendig følge af den dataansvarliges eller databehandlerens hovedaktivitet ikke behandling af personoplysninger som biaktivitet Fx hosting og/eller lagring af personoplysninger, herunder cloud-løsninger, marketingsundersøger. Privat hospitaler, forsikringsselskaber og banker. Ikke fx persondaleadministration eller almindelig kundekontakt/support som biaktivitet. Ikke forsyningsselskaber eller private skoler og daginstitutioner. regelmæssig og systematisk overvågning Løbende, vedvarende, organiseret overvågning i stort omfang Fx sporing, tracking og profilering via internettet, kreditvurderinger og lokalitetstracking via apps. Antallet af datasubjekter (specifikt antal eller andel af en relevant del af befolkningen) Mængden af data Hvor varig eller permanent behandlingen er Den geografiske udstrækning af behandling. Ikke fx tandlægeklinik, lægepraksis, advokatkontor (behandling af patienters eller klienters personoplysninger)
Hvad skal barnet hedde? En DPO skal opfylde kravene i GDPR! Obligatorisk DPO Frivillig DPO Ønsker man ikke at være bundet af kravene i forordningen, skal man kalde DPO en noget andet Man bør under alle omstændigheder allokere en person til at påse, at kravene i GDPR opfyldes DPO eller ej Sender et signal om seriøsitet til omverden Sikrer beskyttelse af registreredes grundlæggende rettigheder Sikrer effektiv datasikkerhed Hjælper til at sikre tilstrækkelige ressourcer til databeskyttelse internt i virksomheden/koncernen
DPO ens kvalifikationer hvor meget skal DPO en vide? DPO en skal udpeges på grundlag af sine faglige kvalifikationer, navnlig ekspertise inden for persondataret og -praksis samt evne til at udføre de opgaver, der er fastlagt i GDPR. Præamblen, pkt. 97: Den nødvendige ekspertise bør navnlig fastlægges i henhold til de databehandlingsaktiviteter, der foretages, og den beskyttelse de personoplysninger, som den dataansvarlige eller databehandleren behandler, kræver. Faglige kvalifikationer og ekspertise DPO en udpeges under hensyntagen til følsomheden, kompleksiteten og mængden af data, som virksomheden/myndigheden behandler Kendskab til national og europæisk databeskyttelseslovgivning og praksis og en indgående forståelse af GDPR Branchekendskab og kendskab til organisationen Evne til at udføre opgaver Dækker både personlige kvalifikationer (viden) og position i organisationen Én eller flere personer (DPO-team)?
9 Generelle krav vedrørende DPO Den dataansvarlige/databehandleren skal sikre, at DPO en ikke modtager instrukser vedr. udførelsen af sine opgaver Rapporterer direkte til øverste ledelsesniveau (C-level stilling) DPO en skal underlægges tavshedspligt/fortrolighed vedrørende udførelsen af sine opgaver (i overensstemmelse med EU-ret/lovgivningen i en medlemsstat) DPO en kan udføre andre opgaver/pligter Vær opmærksom på interessekonflikt! BCR-politik skal indeholde beskrivelse af DPO ens opgaver
Hvornår skal DPO en på banen? Så tidligt som muligt involvering af DPO en fra et tidligt stadie sikrer, at aktiviteter gennemføres med compliance for øje, en privacy by design-tilgang i overensstemmelse med GDPR Tidlig involvering af DPO en bør være en standardprocedure DPO en bør anskues som en sparrings- og samarbejdspartner partner i organisationen i forbindelse med nye tiltag og projekter DPO en skal involveres, når der gennemføres en DPIA DPO en skal samarbejde med og være kontaktpunkt for de relevante tilsynsmyndigheder (bl.a. høre tilsynsmyndigheden, når det er nødvendigt) samt for kunder/borgere.
Hvordan sikres det, at DPO en involveres på det rigtige tidspunkt? Anbefalinger fra Artikel 29-gruppen: DPO en bør inviteres til regelmæssigt at deltage i ledelsesmøder DPO en bør være til stede, når der skal træffes beslutninger, der har berøring med databeskyttelse DPO en skal have relevant information tilsendt i god tid, så vedkommende har mulighed for at give den korrekte rådgivning DPO ens råd bør altid tillægges betydelig vægt Hvis DPO ens råd ikke følges, bør årsagen hertil kunne dokumenteres DPO en bør inddrages straks I tilfælde af sikkerhedsbrud eller lignende Der kan udfærdiges en vejledning for, hvornår DPO en skal konsulteres
At vælge den rette DPO Kravet om uafhængighed DPO en må ikke modtage instrukser vedrørende udførelsen af sine opgaver Dette krav gælder uanset om der er tale om en intern eller en ekstern DPO DPO en kan ikke træffe beslutninger udover hvad der er fastsat i GDPR (art. 39) Deltids-DPO interessekonflikter DPO en kan varetage andre opgaver men disse må ikke resultere i en interessekonflikt DPO en må ikke i forbindelse med andre opgaver agere dataansvarlig, herunder træffe beslutning om formålet med og midlerne til en given behandling Stillinger i direktionen vil ofte resultere i en interessekonflikt Intern / ekstern DPO Ekstern DPO skal også opfylde kravet om uafhængighed Hvad passer bedst til organisationen SME ctr. store globale koncerner? Komplekse datastrømme Kompleks organisation Kan advokater, revisorer mv. varetage DPO-rollen for klienter/kunder?
Sanktioner over for DPO en DPO en må ikke afskediges eller straffes for at udføre sine opgaver Gælder både direkte og indirekte straffe Fx fravær af eller forsinkelse af forfremmelse eller nægtelse af at modtage personalegoder, som andre ansatte modtager En trussel om en straf er også omfattet af forbuddet DPO en kan afskediges på baggrund af almindelige ansættelsesretlige regler
14 Outsourcing af DPO-rollen Fordele og ulemper ved outsourcing: Fordele slipper for vanskelig rekrutteringsproces sparer en dyr jobfunktion får en specialist med erfaring - løbende efteruddannelse Ulemper Ikke samme kendskab til virksomheden som en intern Ikke synlig
15 Contact persons Thomas Munk Rasmussen Partner København CCI T +45 72 27 33 55 M +45 25 26 33 55 E tmr@bechbruun.com Susanne Stougaard Senioradvokat København CCI T +45 72 27 33 08 M +45 25 26 33 08 E sus@bechbruun.com Copenhagen Denmark Aarhus Denmark Shanghai China T +45 72 27 00 00 www.bechbruun.com 15