phone icon

Persondataforordning Q&A: DPO/Databeskyttelsesrådgiver

Sørg for, at du er up-to-date med EUs nye persondataforordning, der træder i fuld kraft i 2018

Vi har før skrevet om EUs nye persondataforordning, der træder i effekt i 2018. Kort sagt, d. 26. april 2016 blev der udarbejdet nye EU retningslinjer for brug af cookies og behandling af private og følsomme personoplysninger. Det kommer til at betyde strengere sikkerhedsforanstaltninger og større åbenhed omkring sikkerhedspolicer for alle virksomheder, offentlige såvel som private, der indsamler og behandler personhenførbar data. Forordningen gælder for alle lande i EU, samt Storbritannien.

Hvis dit firma indsamler og behandler personhenførbar data, skal du være parat inden d. 25. Maj 2018 ellers risikerer du bøder på op mod 20 millioner Euro, eller 4% af din årlige indkomst.

Læs mere om persondataforordningen.

Siden sidst er der kommet flere afklaringer og tilføjelser, nærmere bestemt omkring den såkaldte DPO (Data Protection Officer, el. databeskyttelsesrådgiver).

Udpegningen af en DPO er en af de mere uklare dele af forordningen, og vi ved, at det er relevant for “enhver virksomhed, der behandler personoplysninger som kerneaktivitet”. Men hvad menes der med dette? Skal du udpege en DPO i din virksomhed?

Læs videre for flere detaljer, og find ud af hvordan vi kan hjælpe dig med at blive klar inden de nye bestemmelser træder i kraft.


Hvad er en DPO/databeskyttelsesrådgiver?

DPOen er en officielt udpeget permanent og obligatorisk stilling. En databeskyttelsesrådgiver har en central rådgivnings- og overvågningsrolle i en virksomhed eller organisation. DPOens arbejdsopgaver omfatter:

 

  • Administration af interne policer, der sikrer overholdelse af persondataforordningen, samt uddannelse af ledelse og medarbejdere i overholdelsen af de nye regler omkring databeskyttelse
  • Skal være et offentligt kontaktpunkt for alle former for forespørgsler i forbindelse med persondata, samt hvordan det håndteres. Dette inkluderer sletning af persondata efter ánmodning
  • Skal inddrages i alle overvejelser og løsninger omkring kravene i forbindelse med forordningen, samt eventuelle interne dataprocedurer
  • Skal være ansvarlig for risikovurdering og prioritering af opgaver forbundet med virksomhedens behandlingsaktiviteter

DPOen er desuden ansvarlig for at formidle oplysninger vedrørende data- og sikkerhedsbrud og for at underrette de rigtige personer så hurtigt som muligt.


Skal min organisation eller virksomhed udpege en databeskyttelsesrådgiver?

DPOen er obligatorisk for alle offentlige myndigheder, der behandler personlige og følsomme oplysninger, uanset hvilken type data, der er tale om. Det kan også være obligatorisk for nogle private virksomheder, men kun hvis visse betingelser er opfyldt. De tre betingelser, der skal opfyldes, er som følger:

  • Behandling af personoplysninger skal være virksomhedens kerneaktivitet
  • Der skal behandles personoplysninger i et stort omfang
  • Behandlingsaktiviteten består af regelmæssig og systematisk overvågning af personer

Ingen af disse tre krav er blevet fuldt defineret på nuværende tidspunkt.

Hvis du ikke opfylder disse krav, er det ikke nødvendigt at udpege en DPO. Du skal dog kunne påvise, at du overholder forordningen.


Hvad menes der med “personoplysninger”?

Generelle oplysninger omkring navn, køn, ID-numre, bopæl, medicinsk, økonomisk og social status.


Hvad menes der med “følsomme oplysninger”?

  • Race eller etnisk baggrund
  • Politisk, religiøs eller filosofisk overbevisning
  • Tilknytning til fagforening
  • Genetisk eller biometrisk data med formål for identifikation
  • Helbredsoplysninger og seksuelle forhold
  • Straffe- og børneattest


Hvad menes der med “kerneaktiviteter”?

Enhver nøgleoperation med det formål at opnå datakontrolløren eller behandlerens målsætninger, samt aktiviteter hvor behandling af dataformularer er uløseligt forbundet. Dette gælder f.eks. for reklamebureauer, forsikringsselskaber, lægeklinikker, rekrutteringsbureauer, internetudbydere, cloud computing-tjenester, fagforeninger, rejse- eller kreditvirksomheder og ethvert firma, der bruger geo-lokation i et stort omfang.

Kort sagt, er din virksomheds produkt, tjeneste eller andre aktiviteter uløseligt forbundet med behandling af personoplysninger? Hvis ja, er det en kerneaktivitet.

Hvad menes der med “stort omfang”?

Mindre omfang ville være en praktiserende lægeklinik eller advokat. Stort omfang vil f.eks. være hospitaler, både offentlige og private, forsikringsselskaber, fagforeninger, rejsebureauer, etc.


Hvad menes der med “systematisk overvågning”?

Alle former for sporing og profilering på internettet, herunder adfærdsbaseret marketing. “Regelmæssig” betyder at overvågningen er vedvarende eller gentagende, enten periodisk eller konstant. “Systematisk” betyder, at pvervågningen er planlagt og organiseret som led i en større strategi i forhold til et system. Dette omfatter:

  • Drift af et telekommunikationsnetværk
  • Kreditvurderinger
  • Location tracking via website eller apps
  • Adfærdsmæssig marketing


gdprmood2


Hvordan passer DPOen ind i min virksomhed eller organisation?

DPOen er en uafhængig stilling og skal derfor være upartisk. Der er flere faktorer, der omfattes af stillingen:

  • DPOen skal inddrages rettidigt og tilstrækkeligt i alle spørgsmål vedrørende databeskyttelse, og de skal have tilstrækkelige ressourcer til at kunne udføre deres arbejde
  • En DPO skal ikke underlægges eksterne indflydelser eller påstande, fordi de gør deres arbejde - altså må ikke presses til at komme med et "bestemt resultat"
  • DPOen rapporterer kun til den øverste ledelse og har lov til at udføre andre opgaver, så længe der ikke er interessekonflikt
  • En DPO må også fungere som virksomhedens “compliance officer” i overvågningen og behandlingen af lovmæssige spørgsmål
  • Hvis din virksomhed beskæftiger sig med ekstremt høje datamængder, kan DPOen oprette en intern databeskyttelsesafdeling


Hvem kan blive databeskyttelsesrådgiver?

En af virksomhedens medarbejdere, såfremt der ikke er interessekonflikt, og såfremt de ikke er ansvarlige for organisationens dataovervågning, f.eks. IT- eller HR-chef. En koncern eller en gruppe af virksomheder kan udpege en fælles DPO, såvidt alle grene har samme adgangsniveau.


Hvilke kvalifikationer skal en DPO have?

  • Ekspertise inden for databeskyttelsesret og praksis
  • Skal kunne udføre opgaver, der er forbundet med en DPO
  • Ingen specifik uddannelse er krævet for at blive DPO
  • Juridisk og praktisk erfaring med databeskyttelsesret er hensigtsmæssig afhængig af omfanget og kompleksiteten af virksomhedens databehandling

Det krævede ekspertiseniveau er ikke defineret, men det skal svare til følsomheden og mængden af data, der behandles af organisationen eller virksomheden.

DPOen skal også forstå, hvordan man udvikler og implementerer generelle databeskyttelsesforanstaltninger.


Hvordan kan redWEB hjælpe med GDPR og DPOen?

aesir22

Via Aesir, vores revolutionære context marketing platform, der leverer en fuld digital transformation med content management på stor skala, analyse af brugeradfærd, samt en nem og hurtig cross-channel funktionalitet.

Aesir Cookies

Hvis størstedelen af din dataovervågning og behandling sker via af cookies, f.eks. ved brug til marketing, opfylder det et af DPO-kravene for en kerneaktivitet af stor omfang. En af Aesirs mest relevante features i denne sammenhæng er brugen af funktionelle cookies, som EU har erklæret ikke kræver brugerens udtrykkelige samtykke.

Aesir Cookies gemmer dataen internt, så du kan indsamle alle de data, du har brug for, samt logge det via funktionelle cookies. Dette reducerer risikoen for sikkerhedsbrud, og du behøver ikke implementere nye acceptvinduer på din hjemmeside.

Automatisering

Alternativt kan en Aesir-løsning blive konfigureret til at give brugerne evnen til at slette deres egne data, hvilket ellers ville være DPOens manuelle ansvar. Aesir kan også integreres med eksterne værktøjer og apps for at konsolidere dataindsamlingen.

Aesir kan desuden logge sikkerhedsproblemer eller brud ved at overvåge udvalgte processer, og kan derefter automatisk underrette DPOen i tilfælde af ændringer, så de kan reagere hurtigt.

Fordelene ved context marketing

Gennem Aesirs Customer Intelligence-system, der analyserer brugernes engagement, kan du indsamle adfærdsmæssig data omkring, hvordan brugerne anvender din hjemmeside. Det er en metode, der rækker ud over de traditionelle definitioner af privat og følsom data. Derfor kan du bruge adfærdsmæssig marketing på en helt ny måde, der er mere målrettet mod brugeroplevelse og engagement end personlige oplysninger, som du har indsamlet fra brugerundersøgelser.

Baseret på brugernes rejser gennem dit website, kan Aesir fortælle dig mange ting om dem, uafhængigt af deres persondata. F.eks. hvilke undersider de besøger mest, hvilke farver de foretrækker i dit webshop, hvilke søgeord de bruger, hvordan de fandt din hjemmeside, og hvornår de forlader den. Aesir omdanner alle disse statistikker til et praktisk engagementniveau, som du kan bruge til at forbedre din brugeroplevelse.

Du er velkommen til at kontakte os vedrørende dine muligheder i forberedelsen til persondataforordningen og udpegningen af en DPO. Der er under 400 dage til d. 25. Maj 2018, så sørg for at være på rette spor for en glat overgang til overholdelsen af den nye EU-forordning.

Læs mere på www.aesircontextmarketing.com

persondataforordning.jpg