GDPR: Mange selskaper må ha en "Data Protection Officer"

Ny IT-stilling for å passe på GDPR

Data protection officer gdpr personvern

Personverndirektør: En DPO skal påse at bedriften følger GDPR, EUs nye personvernforskrift. FOTO: Colourbox.

Når GDPR trer i kraft neste vår er det viktigere enn noen gang at private og offentlige virksomheter har styr på personvern og datasikkerhet. Derfor er mange selskaper i gang med å ansette en DPO - "Data Protection Officer".

 

Den 25. mai 2018 trer EUs nye personvernforordning, GDPR, i kraft. Forordningen gjør det viktigere enn noen gang at man har kontroll over personvern, samt at datasikkerheten rundt personopplysninger er ivaretatt.

Å få på plass en "databeskyttelsesdirektør" - "Data Protection Officer" (DPO), kan være veien å gå, om man vil sikre at man er klar for GDPR og unngå at man risikerer å bli bøtelagt.   

 

Hva er en DPO?

den viktigste oppgaven til en DPO er å gi råd til de IT-ansvarlige i ens organisasjon rundt beskyttelse av personopplysninger. DPO-en skal ha et særlig innblikk i lover og regler på området. DPO-en har ansvaret for at de nye personvernreglene blir overholdt og etterlevd. Samtidig er DPO-en også kontaktperson for Datatilsynet, som er myndighetsorganet i Norge med ansvar for GDPR.

"Databeskyttelsesdirektøren" kan også få ansvaret for opplæring og utdanning av medarbeiderne som skal  jobbe med personvern og daglig håndterer personsensitive data.

Med andre ord – en DPO må ha god kjennskap til og solid kompetanse rundt databehandling og beskyttelse av data.

 

GDPR krever at man har en DPO

 

Er man en privat eller offentlig organisasjon som jobber med persondata og ansvarlig for databehandlingen, krever den GDPR at man har utnevnt en DPO.

En DPO kan være ansatte i ett selskap, men fungere som rådgiver og konsulent i flere bedrifter.

 

Hvilke organisasjoner trenger en DPO?

I offentlige virksomheter, med unntak av domstolene, er det obligatorisk at man har en DPO.

I det private er det i utgangspunktet to ting som leder til at det skal utpekes en DPO:

1. Hovedvirksomheten består i å behandle personopplysninger av en slik karakter at det i stor skal foregår en regelmessig og systematisk overvåkning av personer. Det betyr at om ditt selskap jobber med store mengder personopplysninger er det et krav om at man har en DPO.

2. Hovedvirksomheten består i å arbeide med sensitive personopplysninger. Sensitive persondata er blant annet opplysninger om kriminelle forhold, informasjon knyttet til rase, etnisk opprinnelse, seksualitet eller politisk holdning. Er sensitive personopplysninger en sentral del av den daglige driften, skal det ansattes en DPO.

 

Selv om man ikke trenger å ansette en DPO, betyr det ikke at man kan ta lett på håndtering av personopplysninger. Sikker og god håndtering av persondata kan ha en positiv innvirkning på et selskaps rennommé – og samtidig kan man unngå riset bak speilet – mulighetene for å bli ilagt relativt høye forelegg om man skulle bryte GDPR-forordningen.

Kravene til IT-sikkerhet og hvordan personopplysninger og informasjon blir håndtert, vil øke i årene som kommer

 

Kravene til IT-sikkerhet og hvordan personopplysninger og informasjon blir håndtert de neste årene vil stige i årene som kommer. Derfor bør man både som offentlig eller privat virksomhet starte arbeidet med å stramme opp sitt IT-sikkerhetsarbeid.

Det er bare måneder igjen før EUs nye personvernforordning, GDPR, trer i kraft. Derfor er det viktig så raskt som mulig å få kontroll over hvordan GDPR påvirker ens virksomhet og ikke minst om man skal på jakt etter eller utnevne en DPO som kan ta hånd om og gi råd rundt de komplekse reglene som vil gjelde for likt for alle EUs borgere.

Her finner du EUs GDPR-informasjon.

Her kan du lese hvordan EG kan hjelpe ditt selskap med å bli klar for GDPR.