Persondataforordning Q&A: DPO/Databeskyttelsesrådgiver

Sørg for, at du er up-to-date med EUs nye persondataforordning, der træder i fuld kraft i 2018

Vi har før skrevet om EUs nye persondataforordning, der træder i effekt i 2018. Kort sagt, d. 26. april 2016 blev der udarbejdet nye EU retningslinjer for brug af cookies og behandling af private og følsomme personoplysninger. Det kommer til at betyde strengere sikkerhedsforanstaltninger og større åbenhed omkring sikkerhedspolicer for alle virksomheder, offentlige såvel som private, der indsamler og behandler personhenførbar data. Forordningen gælder for alle lande i EU, samt Storbritannien.

Hvis dit firma indsamler og behandler personhenførbar data, skal du være parat inden d. 25. Maj 2018 ellers risikerer du bøder på op mod 20 millioner Euro, eller 4% af din årlige indkomst.

Læs mere om persondataforordningen.

Siden sidst er der kommet flere afklaringer og tilføjelser, nærmere bestemt omkring den såkaldte DPO (Data Protection Officer, el. databeskyttelsesrådgiver).

Udpegningen af en DPO er en af de mere uklare dele af forordningen, og vi ved, at det er relevant for “enhver virksomhed, der behandler personoplysninger som kerneaktivitet”. Men hvad menes der med dette? Skal du udpege en DPO i din virksomhed?

Læs videre for flere detaljer og find ud af, hvordan vi kan hjælpe dig med at blive klar, inden de nye bestemmelser træder i kraft.

Hvad er en DPO/databeskyttelsesrådgiver?

DPOen er en officielt udpeget permanent og obligatorisk stilling. En databeskyttelsesrådgiver har en central rådgivnings- og overvågningsrolle i en virksomhed eller organisation. DPOens arbejdsopgaver omfatter:

  • Administration af interne policer, der sikrer overholdelse af persondataforordningen, samt uddannelse af ledelse og medarbejdere i overholdelsen af de nye regler omkring databeskyttelse
  • De skal være et offentligt kontaktpunkt for alle former for forespørgsler i forbindelse med persondata, samt hvordan det håndteres. Dette inkluderer sletning af persondata efter anmodning
  • DPO skal inddrages i alle overvejelser og løsninger omkring kravene i forbindelse med forordningen, samt eventuelle interne dataprocedurer
  • De skal være ansvarlige for risikovurdering og prioritering af opgaver forbundet med virksomhedens behandlingsaktiviteter

DPOen er desuden ansvarlig for at formidle oplysninger vedrørende data- og sikkerhedsbrud og for at underrette de rette kontakter så hurtigt som muligt.

Skal min organisation eller virksomhed udpege en databeskyttelsesrådgiver?

DPOen er obligatorisk for alle offentlige myndigheder, der behandler personlige og følsomme oplysninger - uanset hvilken type data, der er tale om. Det kan også være obligatorisk for nogle private virksomheder, men kun hvis visse betingelser er opfyldt. De tre betingelser, der skal opfyldes, er som følger:

  • Behandling af personoplysninger skal være virksomhedens kerneaktivitet
  • Der skal behandles personoplysninger i et stort omfang
  • Behandlingsaktiviteten består af regelmæssig og systematisk overvågning af personer

Ingen af disse tre krav er blevet fuldt defineret på nuværende tidspunkt.

Hvis du ikke opfylder disse krav, er det ikke nødvendigt at udpege en DPO. Du skal dog kunne påvise, at du overholder forordningen.

Hvad menes der med “personoplysninger”?

Generelle oplysninger omkring navn, køn, ID-numre, bopæl, medicinsk, økonomisk og social status.

Hvad menes der med “følsomme oplysninger”?

  • Race eller etnisk baggrund
  • Politisk, religiøs eller filosofisk overbevisning
  • Tilknytning til fagforening
  • Genetisk eller biometrisk data med formål for identifikation
  • Helbredsoplysninger og seksuelle forhold
  • Straffe- og børneattest 

Hvad menes der med “kerneaktiviteter”?

Enhver nøgleoperation med det formål at opnå datakontrolløren eller behandlerens målsætninger, samt aktiviteter hvor behandling af dataformularer er uløseligt forbundet. Dette gælder f.eks. for reklamebureauer, forsikringsselskaber, lægeklinikker, rekrutteringsbureauer, internetudbydere, cloud computing-tjenester, fagforeninger, rejse- eller kreditvirksomheder og ethvert firma, der bruger geolocation i et stort omfang.

Kort sagt er din virksomheds produkt, tjeneste eller andre aktiviteter uløseligt forbundet med behandling af personoplysninger? Hvis ja, er det en kerneaktivitet.

Hvad menes der med “stort omfang”?

Mindre omfang ville være en praktiserende lægeklinik eller advokat. Stort omfang vil f.eks. være hospitaler, både offentlige og private, forsikringsselskaber, fagforeninger, rejsebureauer, etc.

Hvad menes der med “systematisk overvågning”?

Alle former for sporing og profilering på internettet, herunder adfærdsbaseret marketing. “Regelmæssig” betyder at overvågningen er vedvarende eller gentagende, enten periodisk eller konstant. “Systematisk” betyder, at overvågningen er planlagt og organiseret som led i en større strategi i forhold til et system. Dette omfatter:

  • Drift af et telekommunikationsnetværk
  • Kreditvurderinger
  • Location tracking via website eller apps
  • Adfærdsmæssig marketing 

gdprmood2

Hvordan passer DPOen ind i min virksomhed eller organisation?

DPOen er en uafhængig stilling og skal derfor være upartisk. Der er flere faktorer, der omfattes af stillingen:

  • DPOen skal inddrages rettidigt og tilstrækkeligt i alle spørgsmål vedrørende databeskyttelse, og de skal have tilstrækkelige ressourcer til at kunne udføre deres arbejde
  • En DPO skal ikke underlægges eksterne indflydelser eller påstande, fordi de gør deres arbejde - altså de må ikke presses til at komme med et "bestemt resultat"
  • DPOen rapporterer kun til den øverste ledelse og har lov til at udføre andre opgaver, så længe der ikke er interessekonflikt
  • En DPO må også fungere som virksomhedens “compliance officer” i overvågningen og behandlingen af lovmæssige spørgsmål
  • Hvis din virksomhed beskæftiger sig med ekstremt høje datamængder, kan DPOen oprette en intern databeskyttelsesafdeling

Hvem kan blive databeskyttelsesrådgiver?

En af virksomhedens medarbejdere, såfremt der ikke er interessekonflikt, og såfremt de ikke er ansvarlige for organisationens dataovervågning, f.eks. IT- eller HR-chef. En koncern eller en gruppe af virksomheder kan udpege en fælles DPO, såvidt alle parter har samme adgangsniveau. 

Hvilke kvalifikationer skal en DPO have?

  • Ekspertise indenfor databeskyttelsesret og praksis
  • Skal kunne udføre opgaver, der er forbundet med en DPO
  • Ingen specifik uddannelse er krævet for at blive DPO
  • Juridisk og praktisk erfaring med databeskyttelsesret er hensigtsmæssig afhængig af omfangen og kompleksiteten af virksomhedens databehandling

Det krævede ekspertiseniveau er ikke defineret, men det skal svare til følsomheden og mængden af data, der behandles af organisationen eller virksomheden.

DPOen skal også forstå, hvordan man udvikler og implementerer generelle databeskyttelsesforanstaltninger.

 

Den digitale platform kan hjælpe med GDPR og understøtte DPOen

Det er svært at spå om, hvad der kommer tilat ske, når den nye persondataforordning træder i kraft. Men der er ingen tvivl om, at en del virksomheder kommer til at lide efter den 25. maj 2018.

Hvis ikke det digitale fundament er grundlæggende bygget til at opfylde EU-kravene, kan det eksempelvis blive nødvendigt at udelade forretningskritiske, datadrevne funktionaliteter pga. øgede oplysningskrav ifm. cookiepolitikken.

Samtidig kan procedurerne og den daglige håndtering af persondata blive så tung en arbejdsopgave, at den kan tilføre virksomheden betydelige omkostninger.

Er den digitale platform grundlæggende derimod opbygget til at overholde persondataforordningen, er virksomheden ikke nær så truet af den nye tilføjelse til persondataloven. Vores revolutionære context marketing platform Aesir er bl.a. udviklet til at fungere optimalt og samtidig overholde den nye lovgivning.

Aesir benytter funktionelle cookies

Hvis størstedelen af din dataovervågning og behandling sker via af cookies, f.eks. ved brug til marketing, opfylder det et af DPO-kravene for en kerneaktivitet af stor omfang. En af Aesirs mest relevante features i denne sammenhæng er brugen af funktionelle cookies, som EU har erklæret ikke kræver brugerens udtrykkelige samtykke.

Aesir Cookies gemmer dataen internt, så du kan indsamle alle de data, du har brug for, samt logge dem via funktionelle cookies. Dette reducerer risikoen for sikkerhedsbrud, og du behøver ikke implementere nye acceptvinduer på din hjemmeside.

Automatisering af dataudlevering

Derudover kan en Aesir-løsning blive konfigureret til at give brugerne mulighed for at slette deres egne data, hvilket ellers ville være DPOens manuelle ansvar. Aesir kan også integreres med eksterne værktøjer og apps for at konsolidere dataindsamlingen.

Aesir kan desuden logge sikkerhedsproblemer eller brud ved at overvåge udvalgte processer, og kan derefter automatisk underrette DPOen i tilfælde af ændringer, så de kan reagere hurtigt.

Kort og godt, så hjælper Aesir platformen virksomheden med at overholde persondataforordningens lovkrav. Samtidig understøtter den fuld digital transformation og content management på stor skala. Det giver jer mulighed for analyse af brugeradfærd, samt en nem og hurtig cross-channel funktionalitet - også efter 25. maj 2018.

Flere fordele med Aesir Context Marketing

Gennem Aesirs Customer Intelligence-system, der analyserer brugernes engagement, kan du indsamle adfærdsmæssig data omkring, hvordan brugerne anvender din hjemmeside. Det er en metode, der rækker ud over de traditionelle definitioner af privat og følsom data.

Derfor kan du bruge adfærdsmæssig marketing på en helt ny måde, der er mere målrettet mod brugeroplevelse og engagement end personlige oplysninger, som du har indsamlet fra f.eks. brugerundersøgelser.

Baseret på brugernes rejser gennem dit website, kan Aesir fortælle dig mange ting om dem, uafhængigt af deres persondata. F.eks. hvilke undersider de besøger mest, hvilke farver de foretrækker i dit webshop, hvilke søgeord de bruger, hvordan de fandt din hjemmeside, og hvornår de forlader den.

Aesir omdanner alle disse statistikker til et praktisk engagementniveau, som du kan bruge til at forbedre brugeroplevelsen og styrke dine forretningsområder.

Du er velkommen til at kontakte os vedrørende dine muligheder i forberedelsen til persondataforordningen og udpegningen af en DPO. Der er ikke lang tid til d. 25. Maj 2018, så det er nu, du skal sørge for at komme på rette spor, så overgangen bliver så glat som muligt.

Læs mere på www.aesircontextmarketing.com