Roller i GDPR
Databeskyttelsesrådgiver (DPO)
Nogle virksomheder skal have en databeskyttelsesrådgiver (DPO) i henhold til kravene i EU’s generelle forordning om databeskyttelse (GDPR). Virksomheder, der ikke behøver at have en databeskyttelsesrådgiver, kan vælge at gøre det som en privatlivsfremmende foranstaltning.
Nogle virksomheder skal have en databeskyttelsesrådgiver
Hvis virksomheden frivilligt udpeger en databeskyttelsesansvarlig uden at være forpligtet hertil i henhold til forordningen, gælder de samme regler, som hvis virksomheden skulle have den. Virksomheder, der udpeger en databeskyttelsesansvarlig, registrerer den databeskyttelsesansvarlige hos den nationale tilsynsmyndighed. Den databeskyttelsesansvarliges hovedopgave er at kontrollere, at virksomheden overholder GDPR i sine aktiviteter. Nedenfor kan du læse mere om databeskyttelsesrådgivere og deres opgaver.
Viden, som databeskyttelsesrådgivere skal have
En databeskyttelsesrådgiver bør have visse færdigheder til at udføre sine opgaver, herunder:
- Viden om databeskyttelse og gældende databeskyttelseslovgivning, herunder GDPR.
- Viden om virksomhedens kerneforretning og hvordan den behandler personoplysninger. Derudover viden om de organisatoriske og tekniske foranstaltninger, som virksomheden har truffet for bl.a. at beskytte personoplysninger og opfylde de registreredes rettigheder.
Vigtig rolle
Bemærk venligst, at databeskyttelsesrådgiverens personlige karakteristika også spiller en vigtig rolle. Det er f.eks. vigtigt, at den databeskyttelsesansvarlige har mulighed for at formidle og formidle oplysninger inden for en virksomhed. Derudover skal DPO’en være i stand til at skabe en databeskyttelseskultur i virksomheden.
Hvis virksomheden udfører behandling af personoplysninger, der er kompliceret eller håndterer store mængder følsomme personoplysninger, skal den databeskyttelsesansvarlige have et mere indgående kendskab til databeskyttelse.
Den databeskyttelsesansvarliges opgaver
Den databeskyttelsesansvarliges opgaver består i at støtte virksomheden i dens arbejde med databeskyttelse og behandling af personoplysninger. Navnlig gennem følgende opgaver:
Information og rådgivning
Den databeskyttelsesansvarlige skal yde rådgivning og information om virksomhedens forpligtelser i henhold til gældende databeskyttelseslovgivning, herunder GDPR. Dette bør gives til både ledelse og medarbejdere, der behandler personoplysninger, samt andre, der har brug for oplysningerne.
Konsekvensanalyser
Hvis virksomheden skal foretage en konsekvensanalyse vedrørende databeskyttelse, skal databeskyttelsesrådgiveren inddrages i processen. Det samme gælder, hvis virksomheden overvejer at foretage en konsekvensanalyse.
Kontaktpunkt
Den databeskyttelsesansvarlige er kontaktpunkt for ledelse, arbejdstagere, registrerede og den nationale databeskyttelsesmyndighed. Arbejdstagere og registrerede har ret til at kontakte den databeskyttelsesansvarlige i tilfælde af databeskyttelsesrelaterede spørgsmål, og kontaktoplysningerne skal derfor stilles til rådighed. De kan f.eks. med fordel offentliggøres i Selskabets meddelelse om beskyttelse af personlige oplysninger på Selskabets officielle hjemmeside.
Andre opgaver
F.eks. gennemførelse af interne revisioner, undersøgelse af brud på persondatasikkerheden og analyse af specifikke databeskyttelsesspørgsmål.
Ressourcer, der er nødvendige for, at den databeskyttelsesansvarlige kan udføre sine opgaver
Virksomheden sikrer, at den databeskyttelsesansvarlige råder over tilstrækkelige ressourcer til, at vedkommende kan udføre sine opgaver. Det kan f.eks. være at underrette den databeskyttelsesansvarlige om planlagte nye behandlinger af personoplysninger i god tid, så vedkommende kan udføre sit arbejde. Desuden har databeskyttelsesansvarlige ret til yderligere uddannelse inden for databeskyttelse.
Hvem kan være databeskyttelsesrådgiver for en virksomhed
En databeskyttelsesrådgiver har brug for en vis viden inden for f.eks. jura, men behøver ikke nødvendigvis at være advokat eller advokat. Det er dog ikke ualmindeligt, at advokater eller advokater er databeskyttelsesansvarlige. Den databeskyttelsesansvarlige har brug for viden om gældende love og bestemmelser inden for databeskyttelse, såsom GDPR.
Det er også muligt, at den databeskyttelsesansvarlige er ansat i form af en ekstern konsulent fra en anden virksomhed. Det er derfor ikke nødvendigt, at den databeskyttelsesansvarlige er ansat i den virksomhed, hvor opgaven skal udføres. Derudover er det muligt for den samme person at være databeskyttelsesansvarlig for flere forskellige virksomheder på samme tid. Opgaven som databeskyttelsesrådgiver kan udføres på fuld tid eller deltid afhængigt af virksomhedens behov.
Oversigt over, hvem der kan være databeskyttelsesansvarlige:
- Medarbejdere eller eksterne konsulenter.
- fysiske eller juridiske personer Bemærk, at hvis en juridisk person udpeges som databeskyttelsesansvarlig, skal en person fra den pågældende virksomhed udpeges som kontaktperson.
Når en person ikke må være databeskyttelsesansvarlig
Det er vigtigt at sikre, at DPO’en er en uafhængig part. Databeskyttelsesrådgivere har en selvstændig stilling i virksomheder, hvilket betyder, at det ikke er tilladt for andre i organisationen at påvirke personen i deres arbejde. Det betyder, at der kan være situationer, hvor der er en interessekonflikt mellem den databeskyttelsesansvarlige og den pågældende virksomhed.
Et eksempel på, hvornår der kan være en interessekonflikt, er, hvis den databeskyttelsesansvarlige er en person fra virksomhedens ledelse. Denne person er muligvis ikke virksomhedens databeskyttelsesrådgiver. Desuden kan en administrerende direktør for en virksomhed ikke anses for at have den uafhængighed, der kræves for at være databeskyttelsesrådgiver.
Indberet kontaktoplysninger til databeskyttelsesmyndigheden
Virksomheder, der har udpeget en databeskyttelsesansvarlig, underretter den nationale databeskyttelsesmyndighed herom. De oplyser også den databeskyttelsesansvarliges (eller, hvis det er relevant, dennes kontaktpersons) kontaktoplysninger. Hvis en databeskyttelsesmyndighed fører tilsyn med virksomheden, samarbejder den databeskyttelsesansvarlige med myndigheden og fungerer som kontaktpunkt.
Hvilke virksomheder skal have databeskyttelsesrådgivere i henhold til GDPR-kravene
- Hvis virksomheden i vid udstrækning behandler følsomme personoplysninger, f.eks. helbredsoplysninger.
- Om virksomheden overvåger mennesker systematisk og regelmæssigt i stor skala.
Bemærk venligst, at offentlige myndigheder skal have databeskyttelsesansvarlige.
Læs mere om ROLLER i GDPR
Virksomheder, der behandler personoplysninger i rollen som dataansvarlig i henhold til GDPR
Det Europæiske Databeskyttelsesråd (EDPB) arbejder for at sikre, at anvendelsen af GDPR er ensartet i hele EU og EØS-landene. Derudover arbejder de for at fremme samarbejdet mellem databeskyttelsesmyndighederne i landene og spiller en vigtig rolle. For eksempel kan de give vejledning og udvikle praksis omkring GDPR. Alle tilsynsmyndigheder i EU-, EØS- og EFTA-landene er medlemmer, men kun EU-landene har stemmeret.