Ny uddannelse - bliv klar til de skærpede persondataregler
Når EU's persondataforordning træder i kraft, vil der være krav om, at der udpeges en Data Protection Officer (DPO) hos offentlige myndigheder. Kravet gælder også i virksomheder, hvor kerneaktiviteten omfatter enten behandling, der medfører omfattende overvågning af de registrerede eller omfattende behandling af følsomme oplysninger. I forlængelse af de nye krav i forordningen udbyder Plesner uddannelsen "Plesner Certifikat i Persondataret". Uddannelsen er også relevant for personer, som skal arbejde med implementering af forordningen, uden at være DPO.
Med vedtagelsen af EU's persondataforordning indføres et krav om udpegning af en Data Protection Officer (DPO) for en række organisationer.
Samtidig betyder de skærpede krav i forordningen, at det også for organisationer, der ikke er direkte omfattet af forordningens krav om en DPO, kan det være hensigtsmæssigt at etablere en tilsvarende funktion.
Selv om de materielle regler på flere centrale områder videreføres med forordningen, vil kravene til de dataansvarliges praktiske efterlevelse - og ikke mindst deres evne til at dokumentere dette - for langt de fleste virksomheder medføre behov for en øget indsats og ikke mindst en øget formalisering af arbejdet med persondata.
Plesner Certifikat i Persondataret
I forlængelse af de skærpede krav i forordningen udbyder Plesner uddannelsen "Plesner Certifikat i Persondataret".
Plesner Certifikat i Persondataret kan med fordel opnås af alle, der skal varetage en væsentlig rolle i forbindelse med arbejdet med persondata-compliance, herunder implementering af persondataforordningen i den to-årige periode fra forordningens vedtagelse. Certifikatets faglige indhold giver et kompetence-niveau, der også gør deltagerne i stand at bestride posten som DPO i henhold til forordningen.
Disse organisationer skal have en DPO
I de tidlige udkast til persondataforordningen byggede kravet om udpegning af en Data Protection Officer (DPO) på kriterier for den dataansvarlige organisations størrelse (over 250 ansatte) eller antallet af registrerede, organisationen behandlede data om. I forbindelse med de afsluttende forhandlinger er disse principper helt opgivet, og kravet vil nu i stedet gælde for bestemte virksomhedstyper.For det andet vil kravet gælde for virksomheder, for hvem kerneforretningen omfatter behandling af persondata og denne behandling medfører en regelmæssig og systematisk overvågning af de registrerede.
For det tredje vil kravet gælde for virksomheder, der behandler det, der i forordningens terminologi hedder "særlige kategorier af data" som defineret i forordningens artikel 9 - det der i den nugældende danske persondatalov kendes som "§ 7 -oplysninger", og som omfatter oplysninger om race, etnicitet, religiøs, filosofisk eller politisk overbevisning, fagforeningsmæssige tilhørsforhold, samt helbredsoplysninger og oplysninger om seksuelle forhold.
Disse kriterier synes at passe godt med forordningens generelle fokus på risiko set fra den registreredes synspunkt, idet de nævnte organisationer dels vil behandle betydelige mængder data, og dels vil behandle data af en type, hvor det vil kunne få væsentlige konsekvenser for de registrerede, hvis oplysningerne ikke behandles i overensstemmelse med forordningen.
DPO'ens opgaver
Endnu en nyskabelse i forhold til tidligere udkast er bestemmelsen om, at de registrerede skal have adgang til at kontakte DPO'en i relation til alle spørgsmål om behandling af deres data og udøvelse af deres rettigheder.
Når hertil lægges, at de forordningsbestemte opgaver for en DPO også omfatter overvågning og kontrol af den dataansvarliges behandling af persondata samt en rolle som kontaktperson og bindeled mellem den dataansvarlige og tilsynsmyndighederne, stilles der betydelige krav til sikring af DPO'ens uafhængighed, hvis rollen skal have reel værdi.
Det ligger da også i forordningen, at der er tale om en beskyttet stilling, således at en DPO nyder en vis beskyttelse mod afskedigelse og sanktionering; men der er derudover krav om, at den dataansvarlige skal sikre DPO'ens uafhængighed og mulighed for at varetage sine opgaver; bl.a. ved at den dataansvarlige stiller de nødvendige ressourcer til rådighed for DPO'en. Som et væsentligt krav skal DPO'en have adgang til at rapportere direkte til den dataansvarliges øverste ledelseslag. Endvidere er en DPO underlagt en forordningsbestemt tavshedspligt.
På mange måder vil en DPO's position i virksomheden altså kunne sidestilles med en compliance funktion - dog med den væsentlige forskel, at der for en DPO gælder et særligt krav til vedkommendes faglige kompetence i forhold til persondatabeskyttelse ("expert knowledge of data protection law and practices"). Således fremgår det direkte af forordningen, at en DPO skal udpeges på baggrund af vedkommendes professionelle kvalifikationer, herunder særligt et højt niveau af viden om persondataret og relateret praksis samt evnen til at varetage de opgaver, der i henhold til forordningen påhviler en DPO.
Ud over at sikre, at en DPO besidder de relevante egenskaber på det tidspunkt, hvor vedkommende udpeges, har den dataansvarlige pligt til at sikre, at det nødvendige høje kompetenceniveau fastholdes; dvs. at en DPO løbende får den nødvendige (efter)uddannelse.
Vær særligt opmærksom på
- Kravet om DPO gælder for offentlige myndigheder samt i virksomheder, der enten foretager omfattende behandling af følsomme oplysninger eller som behandler oplysninger, hvor behandlingen i sig selv medfører en omfattende og regelmæssig overvågning af de registrerede
- En DPO er såvel tilsynsmyndighedens som de registreredes kontaktperson og repræsentant i forhold til den dataansvarlige og skal derfor kunne agere uafhængigt i forhold til den dataansvarlige
- Den dataansvarlige har pligt til at sikre, at den udpegede DPO har de relevante kompetencer - såvel på tidspunktet for udpegningen som på ethvert tidspunkt i embedsperioden. DPO'en skal have ekspertviden om persondataret og om anvendelsen af reglerne
