dpo’ens rolle i praksis - di digital · pdf file7 4 • dpo’ensrolle i praksis...
Post on 06-Mar-2018
224 Views
Preview:
TRANSCRIPT
DPO’ens rolle i praksis13. Juni 2016
Advokat Lars Japp Haslund
2
DPO’ens rolle i praksis
1• ROCKWOOL Group
2• Data Privacy Compliance project
3• DPO – hvornår og hvorfor
4• DPO’ens rolle i praksis
Part of the solution in more ways than you can imagine
Insulation business• Building insulation• Industrial & technical insulation for process industry, marine
and offshore• Customised solutions for industrial applications• Wall systems (External Thermal Insulation Composite Systems)
Systems business• Acoustic ceilings and wall systems• External cladding systems• Horticultural substrate solutions• Engineered fibres solutions e.g. for the automotive industry• Noise and vibration control
3
ROCKWOOL GROUP
1 • ROCKWOOL Group
4
ROCKWOOL GROUPThe world’s leading supplier of innovative stone wool products and systems
STONE WOOL FACTORIES 28COUNTRIES WE OPERATE IN 37EMPLOYEES WORLDWIDE
App10,600
IN NUMBERS
1 • ROCKWOOL Group
5
“Integrity” – ensure legal and ethical compliance with privacy regulation
“International data transfer” - Implementation of Binding Corporate Rules (BCRs)
“Digitalisation” - will be a cornerstone in increased digitalization of organisation
“Ready for GDPR” - needs no further introduction
Build a Privacy Compliance Setup in Group to support integrity focus, avoid loss of
brand value/PR risks and also avoid financial and legal risks.
W
H
A
T
W
H
Y
W
H
E
N
2015 2016 2017 201825. Maj
2018
2 • Data Privacy Compliance project
6
3 • DPO – hvornår og hvorfor
1. Skal organisation have en DPO efter GDPR?
2. Bør organisationen alligevel have en? Vil organisationen af andre kommercielleforretningshensyn?
3. BCR: medfører krav om DPO!
4. Catch 22: Beslut DPO så tidligt i processen som muligt. Muliggør at DPO kan være med i arbejdet med at kortlægge behandlingsaktiviteter og få baggrundsviden.
5. HR og medarbejder fastholdelse – privacy is the new black
6. Hvis større (global) virksomhed, vil DPO– uanset om det hviler på GDPR eller BCR ikke meningsfuldt være et ‘one man band”.
7. Måske har du som DPO’en allerede kollegaer ude i koncernen, da DPO er lovpligtigt visse steder eller giver fordele i fht. tilsynsprocesser.
8. Måske skal rollen outsources? Måske bare for visse enheder?
DPO – skal, vil eller bør virksomheden have én?
7
4 • DPO’ens rolle i praksis
1. Projektleder – budgetter, leverancer og eksterne leverandører mv i implementering
2. Driftsansvarlig – post-implementering for data privacy område
3. Stakeholder management med respekt for ”the cultural prism” i globale organisationer
4. DPO skal være kendt og respekteret i organisationen. Både i C-suite og i alle øvrige samarbejdsrelationer
5. Faglig reference for Global DPO-organisation
6. Trusted advisor (Være kreativ og forretningsorienteret) – og watch dog for data privacy
7. Bistå med DPIA
8. Undervise og træne kollegaer. Sætte fokus på privacy awareness
9. Følge regulatoriske ændringer såvel som ændringer i best practices vedr. informationssikkerhed
10. Rapportere, dokumentere og kontrollere politikker og processer
11. Administrere hændelser, brud på persondatasikkerheden og underretninger af tilsynsmyndigheden
12. Sikre egen løbende uddannelse i persondataret, IT sikkerhed og compliance management.
DPO i praksis = multi-talent?! Uanset om DPO sidder i IT, Legal, HR – så får du brug for alle dine talenter
8
Kontakt
KøbenhavnDanmark
AarhusDanmark
ShanghaiKina
T +45 72 27 00 00www.bechbruun.com
Lars Japp Haslund
Senior Associate, Attorney-at-law(CIPP/E) · Copenhagen
IP & Technology
T +45 72 27 34 52M +45 25 26 34 52E lajh@bechbruun.com
BACKUP SLIDES
9
Person med ekspertise i databeskyttelsesret og -praksis bistå den dataansvarlige eller databehandleren med at overvåge, at forordningen overholdes internt (præambel pkt. 97)
Sådanne DPO’er bør, uanset om de er ansat hos den dataansvarlige eller ej, være i stand til at udøve deres hverv på uafhængig vis (præambel pkt. 97)
Informationsforpligtelsen efter artikel 13 og 14 omfatter også kontaktoplysninger for den eventuelle DPO
Dataansvarliges og databehandleres fortegnelse over behandlingsaktiviteter skal også omfatte navn og kontaktoplysninger for evt. DPO (artikel 30, stk. 1, litra a og stk. 2, litra a)
Anmeldelse af sikkerhedsbrud til tilsynsmyndigheden skal angive navn og kontaktoplysninger for DPO’en (eller et andet kontaktpunkt) (artikel 33, stk. 3, litra b)
I forbindelse med gennemførelse af konsekvensanalyse vedr. databeskyttelse (PIA) er den dataansvarlige forpligtet til at rådføre sig med DPO’en (artikel 35)
I situationer, hvor der er krav om forudgående høring af tilsynsmyndigheden skal DPO’enskontaktoplysninger angives, hvis det er relevant (artikel 36)
10
Forordningens DPO-krav
Hvilke organisationer (både dataansvarlige og databehandlere) skal have en DPO (artikel 37)?
Offentlige myndigheder (undtagen domstole)
Private virksomheder, hvis kerneaktivitet består af omfattende databehandling, som kræver regelmæssig og systematisk overvågning af den registrerede i stort omfang
Private virksomheder, hvis kerneaktivitet består af behandling i stort omfang af følsomme personoplysninger eller oplysninger om straffedomme og straffelovsovertrædelser
Koncern kan udpege én fælles DPO – alle etableringer have let adgang til DPO’en
Flere offentlige myndigheder/organer kan udpege fælles DPO i overensstemmelse med struktur og størrelse
National ret eller EU-ret (specielle områder) kan fastsætte andre krav til udpegning af DPO
Øvrige organisationer kan udpege DPO – medlemsstaterne kan lave særregler
Alle organisationer bør forankre arbejdet med persondata hos en DPO/databeskyttelsesansvarlig
11
Udpegning af DPO
Udpegning på grundlag af faglige kvalifikationer og ekspertise inden for persondatalovgivning og -praksis samt evner til at udføre opgaver oplistet i forordningens artikel 39
Kan både være medarbejder hos den dataansvarlige og ekstern
Kontaktoplysninger på DPO’en skal offentliggøres og meddeles til tilsynsmyndigheden
DPO’en skal tilstrækkeligt og rettidigt inddrages i alle spørgsmål vedrørende beskyttelse af personoplysninger
DPO’en skal støttes i udførelsen af sine opgaver – tilvejebringelse af nødvendige ressourcer til gennemførelse af opgaver, opretholdelse af DPO’s ekspertise og adgang til personoplysninger og behandlingsaktiviteter
DPO’en skal være de registreredes ”point of contact” i alle spørgsmål vedr. behandling af deres oplysninger og udøvelse af deres rettigheder i henhold til forordningen
12
Generelle krav vedr. DPO
Den dataansvarlige/databehandleren sikre, at DPO’en ikke modtager instrukser vedr. udførelsen af sine opgaver
Ikke afskediges eller straffes af dataansvarlig/databehandler for at udføre sine opgaver (ikke en egentlig beskyttet stilling)
Rapportere direkte til øverste ledelsesniveau (C-level stilling (CPO))
DPO’en underlagt tavshedspligt/fortrolighed vedrørende udførelsen af sine opgaver (i overensstemmelse med EU-ret/lovgivningen i en medlemsstat)
DPO’en kan udføre andre opgaver/pligter – sikre mod interessekonflikt
BCR-politik skal indeholde beskrivelse af DPO’ens opgaver
13
Generelle krav vedr. DPO
Opgaver (minimumskrav) (artikel 39):
Underretning og rådgivning af dataansvarlig /databehandler/ansatte om forpligtelser i henhold til forordningen og andre bestemmelser vedr. databeskyttelse (EU/nationalt)
Overvåge overholdelse af forordningen, EU/nationale regler om databeskyttelse og dataransvarliges/databehandlers regler om beskyttelse af personoplysninger (fordeling af ansvar, oplysningskampagner og uddannelse af relevant personale tilhørende revisioner)
Kontrollere den dataansvarliges/databehandlerens gennemførelse af PIA og dens efterfølgende opfyldelse
Samarbejde med og være kontaktpunkt for de relevante tilsynsmyndigheder (bl.a. høre tilsynsmyndigheden, når det er nødvendigt)
DPO tage behørigt hensyn til risiko forbundet med behandlingsaktiviteter under udførelsen af sine opgaver (karakter, omfang, kontekst, formål)
Retningslinjer for den dataansvarliges eller databehandlerens gennemførelse af passende foranstaltninger og for påvisning af dennes overholdelse af bestemmelserne, navnlig for så vidt angår identificering af risikoen i forbindelse med behandlingen, vurdering heraf med hensyn til deres oprindelse, karakter, sandsynlighed og alvor og identificering af bedste praksis med henblik på at mindske denne risiko, kan især opstilles … gennem en databeskyttelsesansvarliges anvisninger (eller via godkendte adfærdskodekser, godkendte certificeringer eller retningslinjer fra Det Europæiske Databeskyttelsesråd) (præambel pkt. 77)
14
DPO’ens opgaver
top related