I maj 2018 bliver det et krav for både private og offentlige virksomheder at udpege en Data Protection Officer (DPO), hvis virksomhedens hovedaktivitet beror på en omfattende behandling af følsomme personoplysninger, som fastsat under forordningens artikel 9, eller oplysninger om strafferetlige forhold, som fastsat under forordningens artikel 9a.
Det betyder med andre ord at virksomhederne allerede nu overvejer:
- Øgede dokumentationskrav
- Pligt til at udarbejde konsekvensanalyser (”Privacy Impact Assessments”)
- Pligt til at lave indbygget databeskyttelse
- Udpegning af en databeskyttelsesansvarlig (”privacy by design og default”)
Ledelsen/virksomheden overholder de nye krav til en DPO, hvis:
- Man har (deltids-)ansat en DPO, som fastansat medarbejder eller ekstern konsulent
- Virksomheden lever op til reglerne og procedurerne for den nye persondataforordning. Det betyder naturlig involvering og autorisation af DPO’en i alle situationer vedrørende beskyttelse af persondata. Det er vigtigt at forstå, at DPO’en kan fyres eller straffes udførelse af sine opgaver, og at vedkommende rapporterer direkte til virksomhedsledelsen
- DPO’en har fri adgang til at udføre sine opgaver fortroligt
- DPO’en informerer og rådgiver virksomheden om forpligtelserne i henhold til forordningen
- DPO’en samarbejder med den Datatilsynet og i øvrigt fungerer som kontaktperson for Datatilsynet vedrørende behandling af persondata
DPO’en skal desuden fungere som kontaktperson for personer, som har behov for at udøve deres rettigheder – f.eks. til at få indsigt i – og/eller rettet i egne data.
Vi hjælper alle private og offentlige virksomheder igang her.