ROLLER i GDPR
Databeskyttelsesansvarlig (DPO)
Noen selskaper må ha en databeskyttelsesansvarlig (DPO) som kreves av EUs generelle databeskyttelsesforordning (GDPR). Bedrifter som ikke trenger å ha en DPO, kan velge å gjøre det som et personvernforbedrende tiltak.
Noen selskaper må ha en databeskyttelsesansvarlig
Hvis selskapet utpeker en DPO frivillig uten å være pålagt å gjøre det etter forskriften, gjelder de samme reglene som om selskapet måtte ha det. Selskaper som oppnevner en personvernombud, skal registrere vedkommende hos den nasjonale tilsynsmyndigheten. Hovedoppgavene til DPO består i å verifisere at selskapet overholder GDPR i løpet av sin virksomhet. Nedenfor finner du mer informasjon om rollen som databeskyttelsesansvarlig (DPO).
Kunnskap som kreves av DPO
En personvernombud bør ha visse ferdigheter til å utføre sine oppgaver, herunder:
- Kunnskap om databeskyttelse og gjeldende databeskyttelseslov, inkludert GDPR.
- Kunnskap om kjernevirksomheten i selskapet og hvordan de behandler personopplysninger; I tillegg er det kunnskap om de organisatoriske og tekniske tiltakene som er innført av selskapet for å sikre blant annet beskyttelse av personopplysninger og rettighetene til de registrerte.
Viktig rolle
Vær oppmerksom på at de personlige egenskapene til DPO også spiller en viktig rolle. For eksempel er det viktig at DPO har muligheten til å formidle og formidle informasjon i et selskap. I tillegg må DPO kunne skape en databeskyttelseskultur i selskapet.
Hvis selskapet utfører behandlingsoperasjoner på personopplysninger som er komplekse eller håndterer store mengder sensitive personopplysninger, må DPO ha mer inngående kunnskap innen databeskyttelse.
Oppgaver til databeskyttelsesansvarlig
Oppgavene til DPO består i å støtte selskapet i sitt arbeid med databeskyttelse og behandling av personopplysninger. Spesielt ved å utføre følgende oppgaver:
Praktisk informasjon og råd
Personvernombudet skal gi råd og informasjon om selskapets forpliktelser i henhold til gjeldende personvernlovgivning, herunder GDPR. Dette skal gis til både ledelse og ansatte som behandler personopplysninger, samt andre som trenger informasjonen.
Konsekvensutredninger
Dersom selskapet har behov for å gjennomføre en vurdering av personvernkonsekvenser, skal personvernombudet involveres i prosessen. Det samme gjelder dersom selskapet vurderer å gjennomføre en konsekvensutredning.
Kontaktpunkt
DPO er et kontaktpunkt for ledelse, arbeidstakere, registrerte og den nasjonale databeskyttelsesmyndigheten. Arbeidstakere og registrerte har rett til å kontakte DPO i tilfelle databeskyttelsesrelaterte problemer, derfor skal kontaktinformasjonen gjøres tilgjengelig. De kan for eksempel med fordel offentliggjøres i enhetens personvernerklæring på enhetens offisielle nettsted.
Andre oppgaver
Slik som å gjennomføre interne revisjoner, undersøke brudd på personopplysninger og analysere spesifikke personvernspørsmål.
Ressurser som er nødvendige for at DPO skal kunne utføre sine oppgaver
Selskapet skal sørge for at databeskyttelsesansvarlig er utstyrt med tilstrekkelige ressurser til å utføre sine plikter. Det kan for eksempel være nødvendig å informere personvernombudet om planlagt ny behandling av personopplysninger i god tid slik at han eller hun kan utføre sitt arbeid. I tillegg har databeskyttelsesansvarlige rett til ytterligere opplæring innen databeskyttelse.
Hvem kan være databeskyttelsesansvarlig for et selskap
En DPO trenger litt kunnskap i for eksempel lov, men trenger ikke nødvendigvis å være advokat eller advokat. Det er imidlertid ikke uvanlig at advokater eller advokater er databeskyttelsesansvarlige. Dette skyldes at DPO trenger kunnskap om lover og regler som gjelder innen databeskyttelse, for eksempel GDPR.
Det er også mulig at DPO er engasjert i form av en ekstern konsulent fra et annet selskap. Det er derfor ikke nødvendig for databeskyttelsesansvarlig å være ansatt i selskapet. I tillegg er det mulig for samme person å være databeskyttelsesansvarlig for flere forskjellige selskaper samtidig. Rollen som databeskyttelsesansvarlig (DPO) kan utføres på heltid eller deltid, avhengig av selskapets behov.
Sammendrag av hvem som kan være databeskyttelsesansvarlige:
- Ansatte eller eksterne konsulenter.
- Fysiske eller juridiske personer. Vær oppmerksom på at hvis en juridisk person utnevnes som databeskyttelsesansvarlig, må en person fra det selskapet utnevnes som kontaktperson.
Når en person ikke kan være databeskyttelsesansvarlig
Det er viktig å sikre at DPO er en uavhengig part. DPOer er uavhengige i selskaper, noe som betyr at andre i organisasjonen ikke har lov til å påvirke personen i sitt arbeid. Dette betyr at det kan være situasjoner der det er en interessekonflikt mellom DPO og det aktuelle selskapet.
Et eksempel på når en interessekonflikt kan eksistere er hvor databeskyttelsesansvarlig er medlem av ledelsen i selskapet. Vedkommende kan da ikke være selskapets personvernombud. Et selskaps administrerende direktør kan heller ikke anses å ha den nødvendige uavhengigheten til å være en databeskyttelsesansvarlig.
Varsle kontaktinformasjon til DPA
Selskaper som har utnevnt en personvernombud, skal underrette den nasjonale personvernmyndigheten om dette. De må også oppgi kontaktinformasjonen til DPO (eller, hvis det er aktuelt, kontaktpersonen). Dersom en personvernmyndighet fører tilsyn med selskapet, skal personvernombudet samarbeide med myndigheten og fungere som kontaktpunkt.
Hvilke selskaper må ha databeskyttelsesansvarlige (DPOer) som kreves av GDPR
- Dersom foretaket behandler sensitive personopplysninger, for eksempel opplysninger om helse, i stor skala.
- Om selskapet overvåker mennesker systematisk og regelmessig i stor skala.
Vær oppmerksom på at offentlige myndigheter må ha databeskyttelsesansvarlige.
Mer informasjon om GDPR ROLES
Bedrifter som behandler personopplysninger i rollen som behandlingsansvarlig i henhold til GDPR
European Data Protection Board (EDPB) arbeider for å sikre konsekvent anvendelse av GDPR i EU- og EØS-landene. I tillegg fremmer de samarbeid mellom nasjonale personvernmyndigheter og har en viktig rolle å spille. For eksempel kan de gi veiledning og utvikle praksis på GDPR. Alle tilsynsmyndigheter i EU, EØS og EFTA er medlemmer, men bare EU-land har stemmerett.