Data Protection Officer (DPO): DPO-krav og outsourcing af DPO-rollen Thomas Munk Rasmussen og Charlotte Bagger Tranberg 2 DPO-krav 1
3 DPO-rollen GDPR art. 37-39 Hvem har pligt til at udpege en DPO? Offentlige myndigheder (undtagen domstole) opgave i samfundets interesse eller i forbindelse med offentlig myndighedsudøvelse Forvaltningslovens 1, stk. 1-2 Private virksomheder, hvis kerneaktivitet består af databehandling, der i medfør af deres karakter, omfang og/eller formål kræver regelmæssig og systematisk overvågning af registrerede i stort omfang Private virksomheder, hvis kerneaktivitet består af databehandling i stort omfang af særlige kategorier af personoplysninger eller oplysninger om straffedomme og straffelovsovertrædelser DPO en udpeges på baggrund af sine faglige kvalifikationer, herunder persondataretlig ekspertise påser, at GDPR overholdes og rådgiver ledelsen i den forbindelse inddrages tilstrækkeligt og rettidigt i alle spørgsmål vedrørende beskyttelse af personoplysninger skal være uafhængig og må ikke modtage instrukser vedrørende udførelsen af sine opgaver kan udføre andre opgaver og have andre pligter, så længe det ikke medfører en interessekonflikt 4 Obligatorisk DPO Dataansvarliges pligt til at udpege en DPO ctr. databehandleres pligt til at udpege en DPO Medfører DPO-pligt hos den dataansvarlige automatisk DPO-pligt hos dennes databehandlere og vice versa? Offentlige myndigheder Offentlige opgaver der varetages af private (fx forsyningsselskaber, public service broadcasting mv.) Brug af private databehandlere 2
5 DPO ens kvalifikationer hvor meget skal DPO en vide? DPO en skal udpeges på grundlag af sine faglige kvalifikationer, navnlig ekspertise inden for persondataret og -praksis samt evne til at udføre de opgaver, der er fastlagt i GDPR. Præamblen, pkt. 97: Den nødvendige ekspertise bør navnlig fastlægges i henhold til de databehandlingsaktiviteter, der foretages, og den beskyttelse de personoplysninger, som den dataansvarlige eller databehandleren behandler, kræver. Faglige kvalifikationer og ekspertise DPO en udpeges under hensyntagen til følsomheden, kompleksiteten og mængden af data, som virksomheden/myndigheden behandler Kendskab til national og europæisk databeskyttelseslovgivning og praksis og en indgående forståelse af GDPR Branchekendskab og kendskab til organisationen Evne til at udføre opgaver. Dækker både personlige kvalifikationer (viden) og position i organisationen Én eller flere personer (DPO-team/goveranace)? 6 Generelle krav i forordningen vedrørende DPO Den dataansvarlige/databehandleren skal sikre, at DPO en ikke modtager instrukser vedr. udførelsen af sine opgaver Rapporterer direkte til øverste ledelsesniveau (C-level stilling) DPO en skal underlægges tavshedspligt/fortrolighed vedrørende udførelsen af sine opgaver (i overensstemmelse med EU-ret/lovgivningen i en medlemsstat) DPO en kan udføre andre opgaver/pligter Vær opmærksom på interessekonflikt! BCR-politik skal indeholde beskrivelse af DPO ens opgaver 3
7 Hvornår skal DPO en på banen? Så tidligt som muligt involvering af DPO en fra et tidligt stadie sikrer, at aktiviteter gennemføres med compliance for øje, en privacy by design-tilgang i overensstemmelse med GDPR Tidlig involvering af DPO en bør være en standardprocedure DPO en bør anskues som en sparrings- og samarbejdspartner partner i organisationen i forbindelse med nye tiltag og projekter DPO en skal involveres, når der gennemføres en DPIA DPO en skal samarbejde med og være kontaktpunkt for de relevante tilsynsmyndigheder (bl.a. høre tilsynsmyndigheden, når det er nødvendigt) 8 Hvordan sikres det, at DPO en involveres på det rigtige tidspunkt? Anbefalinger fra Artikel 29-gruppen: DPO en bør inviteres til regelmæssigt at deltage i ledelsesmøder DPO en bør være til stede, når der skal træffes beslutninger, der har berøring med databeskyttelse DPO en skal have relevant information tilsendt i god tid, så vedkommende har mulighed for at give den korrekte rådgivning DPO ens råd bør altid tillægges betydelig vægt Hvis DPO ens råd ikke følges, bør årsagen hertil kunne dokumenteres DPO en bør inddrages straks I tilfælde af sikkerhedsbrud eller lignende Der kan udfærdiges en vejledning for, hvornår DPO en skal konsulteres 4
9 At vælge den rette DPO Kravet om uafhængighed DPO en må ikke modtage instrukser vedrørende udførelsen af sine opgaver Dette krav gælder uanset om der er tale om en intern eller en ekstern DPO DPO en kan ikke træffe beslutninger udover hvad der er fastsat i GDPR (art. 39) Deltids-DPO interessekonflikter DPO en kan varetage andre opgaver men disse må ikke resultere i en interessekonflikt DPO en må ikke i forbindelse med andre opgaver agere dataansvarlig, herunder træffe beslutning om formålet med og midlerne til en given behandling Stillinger i direktionen vil ofte resultere i en interessekonflikt Intern / ekstern DPO Ekstern DPO skal også opfylde kravet om uafhængighed Hvad passer bedst til organisationen SME ctr. store globale koncerner? Komplekse datastrømme Kompleks organisation Kan advokater, revisorer mv. varetage DPO-rollen for klienter/kunder? 10 Sanktioner over for DPO en DPO en må ikke afskediges eller straffes for at udføre sine opgaver Gælder både direkte og indirekte straffe Fx fravær af eller forsinkelse af forfremmelse eller nægtelse af at modtage personalegoder, som andre ansatte modtager En trussel om en straf er også omfattet af forbuddet DPO en kan afskediges på baggrund af almindelige ansættelsesretlige regler funktionærloven eller overenskomst Lovforslag: tavshedspligt for DPO er i private virksomheder bødebelagt 5
11 12 Outsourcing af DPO-rollen 6
13 Indeholdte ydelser i DPO-service Information Bech-Bruun DPO Lab : Interaktiv platform med adgang til vejledninger, nyheder og seneste praksis Krypteret transmission, begrænset adgang og log Uddannelse Juridisk opdatering på to årlige netværksmøder E-learning platform (indhold skal skræddersyes) Årlig audit og rapporteringsmøde med organisationens ledelse Kontrol af, om regler, politikker og konsekvensanalyser efterleves Rapport indeholdende risikovurdering og anbefalinger. 14 Indeholdte ydelser i DPO-service Kontaktpunkt og bindeled over for borgere/kunder Visitering af indsigtsanmodninger og klager m.m. Administration af korrespondance med borgere/kunder og tilsynsmyndighed (Sagsbehandling ud over ekspedition afregnes efter medgået tid) Kontaktpunkt og bindeled over for tilsynsmyndigheder 24-timers emergency-assistance i forbindelse med sikkerhedsbrud, der involverer personoplysninger Deltagelse i fysiske kontrolbesøg fra tilsynsmyndighed Juridisk hotline service Telefonisk sparring med specialister efter behov 7
15 Indeholdte ydelser i DPO-service Rådgivning i forbindelse med konsekvensanalyser, sikkerhed og registreredes rettigheder Løbende dialog med fast tilknyttet specialist Deltagelse i månedligt møde i fx sikkerhedsudvalg Ansvar og fortrolighed Ansvarsforsikring, advokatetiske regler og lovbestemt tavshedspligt Tjenesteydelseskontrakt Der indgås en tjenesteydelseskontrakt for ét år af gangen Abonnementsbetaling kvartalsmæssigt forud 16 Kontakt Thomas Munk Rasmussen Charlotte Bagger Tranberg Partner København Persondataspecialist Aarhus CCI IP & Technology T +45 72 27 33 55 M +45 25 26 33 55 E tmr@bechbruun.com T +45 72 27 34 76 M +45 25 26 34 76 E cbt@bechbruun.com København Danmark Aarhus Danmark Shanghai Kina T +45 72 27 00 00 www.bechbruun.com 8