Mangler Din Virksomhed En DPO (Databeskyttelsesrådgiver)?

Isabella Lüders
By: Isabella Lüders GDPR | 30 november

Siden maj 2018 er databeskyttelse blevet endnu mere vigtigt. Databeskyttelsesloven (GDPR) er nu obligatorisk for alle, som behandler persondata. Mange virksomheder har været nødt til at gøre sig bekendte med de 7 principper for databeskyttelse og tilpasse sine processer og hverdag. Reglerne kan dog være svære at forstå og endnu sværere at implementere, hvilket er grunden til at mange virksomheder har valgt at ansætte en databeskyttelsesrådgiver (DPO). Men hvad er en DPO egentlig, og har alle brug for en? Forhåbentligt vil denne artikel hjælpe dig med at forstå databeskyttelsesrådgiverens rolle, hvornår du burde ansætte en, og hvordan de kan gavne din organisation.

Hvad er en DPO?

DPO’ens (Databeskyttelsesrådgiverens) primære ansvar er at sikre, at deres organisation overholder de gældende databeskyttelsesregler, når det kommer til behandling af data. Når en virksomhed indsamler og behandler personlige oplysninger, er virksomhedens og dets ansattes ansvar at behandle dem lovligt. Det påvirker alle, fra forretningspartnere til kunder og medarbejdere, der skal være sikre på, at deres data er beskyttet. DPO´ens rolle er at sikre, at alle i virksomheden behandler persondata korrekt. Det kan gøres gennem processer, procedure og meget andet. Hvis der opstår udfordringer og problemer, vedrørende persondata, er det også DPO’ens ansvar at finde løsninger, der sikrer både virksomhedens og de personer hvis data det omhandler.

DPO'ens ansvar er defineret af GDPR, som at rådgive og støtte organisationens databehandling. Men i praksis, kan en DPO også hjælpe med at skabe relevante databehandlingsprotokoller, instruere medarbejdere i datareguleringer og overvåge overholdelse af GDPR.

Skal I have en DPO?

Uanset din virksomheds størrelse eller industri, så er der stor sandsynlighed for, at I håndterer personoplysninger på den ene eller anden måde. Virksomheden er derfor forpligtet til at have nogen til at overvåge overholdelsen af GDPR. Det behøver dog ikke nødvendigvis gøres af en DPO. Der er dog tre kategorier er organisationer, hvor det er påkrævet at have en DPO:

  1. Offentlige myndigheder – Personoplysninger behandles af et offentligt organ eller myndighed

  2. Regelmæssig overvågning i stor skala – Behandling af personlige oplysninger er en kerneaktivitet og udføres regelmæssigt

  3. Specielle datakategorier i stor skala – Behandling af specifikke ‘specielle’ datakategorier, hvilket betyder følsomme personoplysninger, som en kerneaktivitet i stor skala

I nogle tilfælde falder en organisation muligvis ikke ind under nogle af disse kategorier, men vil alligevel kunne have fordel af at have en DPO. Mange store virksomheder hyrer en DPO til at hjælpe med den voksende mængde af personoplysninger. De ser ofte en fordel i, at en specifik person har ansvaret for GDPR-arbejdet.

Ikke alle har behov for en DPO

At have en DPO vil dog ikke være en fordel for alle. Hvis du arbejder i en lille virksomhed, kan det være meget lettere og billigere at dele ansvaret for overholdelse af GDPR mellem flere personer. Eller måske håndterer din organisation kun minimale mængder af data, som er lette at håndtere lovmæssigt. Det er også muligt, at du allerede har udviklet et funktionelt og effektivt system, som ikke behøver en omstrukturering. Det hele afhænger af din virksomheds kontekst.

Billede af Risiko-analyse skabelon

Hvad laver en DPO?

DPO’ens formål er at støtte de tiltag som virksomheden tager for at overholde EU's reguleringer, som håndhæves af dit lands databeskyttelsesmyndighed, altså Datatilsynet i Danmark. Hvis man ikke lever op til kravene af databeskyttelsesloven, kan det have alvorlige konsekvenser, da man kan få en bøde på op til 4 % af ens globale omsætning. På grund af arbejdets fortrolige natur i form af persondata, rapporterer DPO’en som regel direkte til den øverste ledelse uden indblanding fra organisationen.

Mere præcist, indebærer DPO’ens opgaver:

  1. At besvare spørgsmål og håndtere bekymringer i forbindelse med GDPR

  2. Informere organisationen og medarbejderne omkring deres GDPR-forpligtelser

  3. Overvåge overholdelsen af GDPR ved træning af personale og gennemførsel af revisioner

  4. Udførsel af risikovurderinger og konsekvensanalyse af databeskyttelse

  5. Samarbejde og kommunikation med samarbejdspartnere, databehandlere m.fl.

Hvad skal en DPO kunne?

At finde en kvalificeret kandidat er det første essentielle skridt til at få en god DPO. Selvom databeskyttelsesloven ikke nævner specifikke krav, foreslås det at DPO’ens ekspertiseniveau matcher datadriftens kompleksitet. Hvilket på mange måder siger sig selv og siger ingenting på samme tid. Her er nogle forslag til, hvad du kan lede efter hos en kandidat (man behøver ikke, at kunne tikke alle punkter af for at være DPO):

  • Relevant erfaring fra arbejde med EU- og globale fortrolighedslove (herunder udarbejdelses af fortrolighedspolitikker, teknologibestemmelser og arbejde med lovoverholdelse)

  • Har arbejdet med IT-programmering eller infrastruktur (inklusive certificering i informationssikkerhedsstandarder)

  • Erfaring med udførsel af revisioner af informationssystemer, certificeringsrevisioner og risikovurderinger

  • Evnen til at koordinere med flere samarbejdspartnere og tilsynsførende under arbejdet med adskillelige projekter

  • Evnen til at kommunikere med folk fra diverse afdelinger med forskellige vidensniveauer (Alt fra bestyrelsen, ledere og IT-personale til advokater og medarbejderen på gulvet)

  • Evnen til at anskaffe sig ny og påkrævet viden løbende

  • Erfaring med juridisk og teknisk træning, og i at øge bevidsthed

  • Erfaring med succesfuld håndtering af forskellige virksomhedskulturer og industrier

Det kan lyde voldsomt, men mange af de ovenstående punkter kan også læres henad vejen.

Det kan være udfordrende at lede efter en ny medarbejder til at udfylde rollen. Efterspørgslen for kvalificerede DPO’er meget høj, hvilket betyder, at det kan være tidskrævende og udfordrende at finde den rigtige. Og da GDPR først trådte i kraft i 2018, så finder man jo ikke en kandidat med 20 års erfaring i GDPR. Det er learning by doing, præcis ligesom med ens GDPR-arbejde på tværs af hele organisationen.

Et godt sted at starte med at lede efter en DPO, er jeres egen IT- eller juridiske afdeling, da de allerede har forståelse for hvordan og hvilken slags data, som bliver behandlet. Så her kan man ofte finde en, der allerede har stor viden og kan mange af de ting, som en DPO skal kunne. Da overholdelse af GDPR er et dynamisk område, skal man holde sig opdateret på det påkrævede beskyttelsesniveau og nylige udviklinger. Hvis nødvendigt, bør medarbejderen modtage nødvendig GDPR-træning eller certificeringer.

Hvordan kan en DPO gavne dig?

Her er en kort liste over de måder, hvorpå en DPO kan hjælpe dig og din organisation:

  1. DPO’en guider dig gennem de komplekse GDPR-regler og assisterer med lovlig datahåndtering

  2. De øger den overordnede lovoverholdelse ved at instruere bestyrelsesmedlemmer, ledere og medarbejdere i hvordan de håndterer personoplysninger

  3. I tilfælde af sikkerhedsbrud, vil DPO’en stå for at gennemføre nødvendige protokoller, om hvordan l skal reagere internt og offentligt, da dette skal rapporteres til Datatilsynet indenfor 72 timer

  4. De kan rådgive dig, når det kommer til tiltage, der indebærer databeskyttelse, f.eks. it-sikkerheden

Der er så meget, man kan gøre

Som du kan se, kan en DPO hjælpe den daglige drift i din organisation. De kan mindske usikkerhed og støtte dig i den store opgave, som behandling af persondata kan udgøre. DPO’en kan i sidste ende hjælpe med at beskytte dig mod store bøder og datalæk.

Men at have en DPO er ikke løsningen på alle problemer, og er måske slet ikke den rigtige løsning overhovedet for jer. Alle medarbejdere er en del af at sikre overholdelsen af GDPR – præcis ligesom med IT-sikkerheden. Derfor kan alle medarbejdere have gavn af awareness-træning. De bør lære om hvad personoplysninger er, hvad de 7 principper for databeskyttelse er, hvordan man behandler personlige oplysninger og meget mere. En generel øget bevidsthed hos ens team vil hjælpe med at gøre din organisation mere sikker.

Smart CTA_e-book DK

 

I vores podcast, IT-sikkerhed med CyberPilot, har vi taget en snak med Palle, som arbejder som DPO. Her kan du høre nogle af hans erfaringer med DPO-arbejdet.