DPO’er. Det er et emne som vi alle sammen ser ud til at tænke lidt nærmere over, nu da vi aktivt begynder implementeringen af den kommende databeskyttelsesforordning. Men hvem har egentlig brug for dem?
De, som arbejder med informationssikkerhed, er allerede bekendt med EU’s kommende databeskyttelsesforordning. Mon ikke selv de, som ikke arbejder med informationssikkerhed, også har hørt om den, givet den mediedækning den har fået? Det er måske ikke så overraskende, eftersom den bliver den største forordning om beskyttelse af persondata nogensinde. Og selvom forordningen er fastsat af Den Europæiske Union, kommer den til at påvirke virksomheder verden over. Dette skyldes, at de 28 medlemslande i EU samlet ikke kun repræsenterer verdens største økonomi, men også er handelspartnere for over 80 lande. Rent faktisk betyder det, at alle som arbejder med personoplysninger fra borgere inden for EU, skal efterleve den nye forordning.
Kort efter at nyheden om forordningen kom ud, var der en forkortelse som begyndte at dukke op alle vegne: DPO (Data Protection Officer). En DPO er ikke en ny rolle som sådan, men med den øgede fokus på det juridiske aspekt af personoplysninger og sikkerhed, er det helt naturligt, at vi fokuserer mere på DPO’ens rolle. Efter vi først hørte om forordningen, vurderede International Association of Privacy Professionals, at den nye lovgivning ville kræve 28.000 nye DPO-stillinger i Europa og USA. De har nu øget antallet til 75.000 nye DPO-stillinger i hele verden. 75.000 er temmeligt mange stillinger, og fører til spørgsmålet: Hvem har egentlig brug for en DPO?
Det med småt
I modsætning til hvad du måske har hørt, vil ikke alle virksomheder blive tvunget til at udpege en DPO. Ifølge den Europæiske Unions retningslinjer om DPO’er, er det
obligatorisk for visse kontrol- og databehandlingsenheder at udpege en DPO. Dette vil være tilfældet for offentlige myndigheder og organer (uafhængigt af, hvilken slags data de behandler), samt for visse organisationer, hvis kerneforretning er at overvåge enkelte individer systematisk og i stor skala, eller som behandler særskilte kategorier af persondata i stor skala.
Kort sagt: alle virksomheder, som er en offentlig myndighed, eller som har behandling af personoplysninger som en del af deres kerneforretning, skal have en DPO.
Forordningen definerer dog ikke, hvad der udgør en offentlig myndighed, da loven omkring dette varierer fra land til land. Det er derfor virksomhedernes ansvar at vide, hvor de falder ind under lovgivningen. Hvis en virksomhed ikke er forpligtet til at udnævne en DPO, må dens kontrol- og processeansvarlige vurdere hvor vigtigt, eller nyttigt, det ville være for virksomheden, at have en DPO.
Hvad gør vi nu?
Hvis I har besluttet jer for at hyre en DPO, er næste skridt at bestemme i hvilken grad i vil gøre det. Det mest åbenlyse valg er selvfølgelig simpelthen at hyre en DPO, men det er dog muligt, afhængigt af virksomhedens størrelse for eksempel, at det er nok med en ekstern konsulent. Eventuelt kan I vælge at dele en konsulent med en anden virksomhed. Den første mulighed virker måske som den bedste, eftersom det betyder, at DPO’en er mere involveret og altid tilgængelig, men de andre to muligheder kan også opfylde kravene, så længe I kan få fat i DPO’en når I har brug for det. Selvom virksomheden ikke skal udpege en DPO, går I ikke helt fri. Så længe virksomheden på nogen måde behandler personoplysninger, er I forpligtet til at være bekendt med forordningen, og hvad den indebærer. Men hvordan sørger I for at efterleve forordningen i den daglige drift, uden at det bliver et bureaukratisk rod?
Det er vores erfaring, at al slags kontrol og efterlevelse bedst opnås ved brug af et godt værktøj, i stedet for at stole på manuelle processer, regneark, og individuelle medarbejdere. Et værktøj har den fordel at det giver en klar oversigt over, præcis hvad det er du skal gøre, og hvornår du skal gøre det. Et værktøj gør det også nemmere for DPO’en at udføre sit arbejde, da han/hun har en oversigt over, hvilke opgaver skal udføres. Værktøjet giver samtidig mulighed for nem oplæring og træning af virksomhedens medarbejdere.
I sidste ende er det vigtigt at huske, at en DPO først og fremmest er en kontrollant og rådgiver, ikke den som rent praktisk implementerer. Selve virksomheden vil stadigvæk have ansvar for at sikre efterlevelse af den nye forordning.
