Det er tre år siden, at EU begyndte at anvende en skelsættende lovgivning for databeskyttelse i regionen - den generelle databeskyttelsesforordning (bedre kendt som GDPR). Det er den mest omfattende databeskyttelses- og sikkerhedslov i verden, og den rækker langt ud over Europa. I lyset af nogle af de store opdateringer i det forgangne år genudgiver vi den oprindelige artikelserie fra 2018 for at tage højde for, hvordan GDPR har udviklet sig. I denne første artikel ser vi på et af de vigtigste aspekter - udnævnelsen af en databeskyttelsesrådgiver (DPO).
Hvad er en DPO egentlig?
Spørgsmålet er enkelt nok, men svaret kræver en vis forståelse af GDPR og EU's databeskyttelsesregler.
For enhver EU-borger er retten til privatliv og beskyttelse af personlige data sikret i chartret om grundlæggende rettigheder (artikel 7 og 8). Persondata skal beskyttes, og behandlingen af dem skal have et lovligt formål og være gennemsigtig. Det vigtigste instrument til at sikre dette før 2018 var en kombination af EU-direktiver og lokal lovgivning i de forskellige medlemslande. Alt dette ændrede sig den 25. maj 2018, da GDPR blev vedtaget i alle EU- og EØS-medlemslande.
En DPO (Data Protection Officer) arbejder for at beskytte de registreredes grundlæggende friheder og rettigheder i forhold til privatliv og databeskyttelse.
Med GDPR blev DPO'ens rolle skrevet ind i EU-lovgivningen. For nogle institutioner vil det være obligatorisk at have en DPO, mens andre kan vælge at være med. Følgende organisationer er ved lov forpligtet til at udpege en DPO:
- Offentlige/statslige institutioner
- Organisationer, der behandler visse typer følsomme data i stor skala
- Organisationer, der behandler persondata, som involverer omfattende monitorering eller overvågning.
I erkendelse af, at mange af vores kunder vil få brug for at udfylde denne rolle, var itslearning blandt de første LMS-udbydere, der udnævnte en DPO. Ud over at overvåge vores egen overholdelse og yde rådgivning og træning til vores eget personale, er vores DPO tilgængelig for vores kunder og deres DPO'er for at diskutere databeskyttelsesspørgsmål. Jeg havde den rolle indtil 2020, da itslearning blev opkøbt af Sanoma Group. Rollen ligger nu hos Riika Turunen i Sanoma. Detaljerne er tilgængelige på vores GDPR-side.
DPO'ens rolle
Så tilbage til det oprindelige spørgsmål: Hvad er en DPO? En enkel måde at sige det på er, at DPO'er arbejder for at beskytte de registreredes grundlæggende friheder og rettigheder i forhold til privatlivets fred og databeskyttelse. For at sikre, at DPO'en sætter den registreredes rettigheder først, og ikke hans eller hendes arbejdsgivers, er der særlige bestemmelser i GDPR for at sikre uafhængighed. En DPO kan ikke instrueres i eller straffes for det arbejde, han eller hun udfører som forkæmper for databeskyttelse. Han eller hun må heller ikke have en anden rolle, der kan være i konflikt med persondatabeskyttelse.
En almindelig misforståelse omkring rollen er at tro, at DPO'en er ansvarlig for overholdelse af GDPR. Det er faktisk detmodsatte , en DPO kan ikke have en formel rolle, hvor der træffes beslutninger, der kan påvirke GDPR-overholdelse. Tænk på det som forskellen mellem en bogholder og en revisor; revisoren kan rådgive bogholderen og anbefale regnskabsteknikker, men skal forblive uafhængig.
På samme måde skal databeskyttelsesrådgiveren altid konsulteres i vigtige spørgsmål vedrørende databeskyttelse i sin organisation. Han eller hun kan tage ansvar for at uddanne organisationen i deres pligter i henhold til de europæiske databeskyttelsesregler. DPO'en bør også være i stand til proaktivt at vurdere og overvåge overholdelse og rapportere tilbage til organisationens højeste ledelsesniveau. DPO'en er også kontaktpunkt for tilsynsmyndighederne i hvert land, som er ansvarlige for at sikre, at personoplysninger behandles retfærdigt og lovligt.
DPO'en er også ansvarlig for at håndtere direkte anmodninger fra registrerede. Dette er dog begrænset til anmodninger i tilfælde, hvor organisationen er ansvarlig for formålet med behandlingen (den dataansvarlige). For itslearning er størstedelen af de data, vi behandler, på vegne af vores kunder. Hvis du er studerende, lærer eller forælder og bruger vores kunders tjenester, skal du kontakte den institution, du er indskrevet på, for at udøve dine rettigheder. Vores DPO vil dog gøre, hvad hun kan for at støtte din institution i at beskytte dine rettigheder.
Folk i Europa nyder nu godt af det højeste niveau af databeskyttelse i verden, takket være GDPR. Siden den blev indført, er flere mennesker blevet bevidste om, at deres data er værdifulde, og at risikoen for databrud skal håndteres strengt. Hos itslearning tager vi databeskyttelse meget alvorligt med et stærkt engagement i GDPR og ISO 27001-standarder.
For mere information om GDPR og dine rettigheder som bruger af itslearning , besøg venligst vores hjemmeside: itslearning er i overensstemmelse med GDPR.