Det er tre år siden, at EU begyndte at anvende en skelsættende lovgivning om databeskyttelse i regionen - den generelle forordning om databeskyttelse (bedre kendt som GDPR). Det er den mest omfattende databeskyttelses- og sikkerhedslov i verden og rækker langt ud over Europa. I lyset af nogle af de store opdateringer i det forgangne år genudgiver vi den oprindelige artikelserie fra 2018 for at tage højde for, hvordan GDPR har udviklet sig. I denne første artikel ser vi på et af de vigtigste aspekter - udnævnelsen af en databeskyttelsesrådgiver (DPO).
Hvad er en DPO egentlig?
Et simpelt spørgsmål, men svaret kræver en vis forståelse af GDPR og EU's databeskyttelsesregler.
For alle EU-borgere er retten til privatlivets fred og beskyttelse af personoplysninger sikret i chartret om grundlæggende rettigheder (artikel 7 og 8). Persondata skal beskyttes, og behandlingen af dem skal have et lovligt formål og være gennemsigtig. Det vigtigste instrument til at sikre dette før 2018 var en kombination af EU-direktiver og lokal lovgivning i de forskellige medlemslande. Alt dette ændrede sig den 25. maj 2018, da GDPR blev vedtaget i alle EU- og EØS-medlemslande.
En DPO (Data Protection Officer) arbejder for at beskytte de registreredes grundlæggende friheder og rettigheder i forhold til privatlivets fred og databeskyttelse.
Med GDPR blev DPO'ens rolle skrevet ind i EU-lovgivningen. For nogle institutioner vil det være obligatorisk at have en DPO, mens andre kan vælge at deltage. Følgende organisationer skal ifølge loven udpege en DPO:
- Offentlige/statslige institutioner
- Organisationer, der behandler visse typer følsomme data i stor skala
- Organisationer, der behandler persondata, som involverer overvågning i stor skala
I erkendelse af, at mange af vores kunder vil få brug for at udfylde denne rolle, var itslearning blandt de første LMS-udbydere, der udpegede en DPO. Ud over at overvåge vores egen overholdelse og give råd og uddannelse til vores eget personale, står vores DPO til rådighed for vores kunder og deres DPO'er for at diskutere spørgsmål om databeskyttelse. Jeg havde den rolle indtil 2020, da itslearning blev opkøbt af Sanoma Group. Rollen ligger nu hos Riika Turunen i Sanoma. Nærmere oplysninger findes på vores GDPR-side.
DPO'ens rolle
Så tilbage til det oprindelige spørgsmål: Hvad er en DPO? En enkel måde at sige det på er, at DPO'er arbejder for at beskytte de registreredes grundlæggende friheder og rettigheder i forhold til privatlivets fred og databeskyttelse. For at sikre, at DPO'en sætter den registreredes rettigheder først og ikke sin arbejdsgivers, er der særlige bestemmelser i GDPR, som skal sikre uafhængighed. En databeskyttelsesrådgiver kan ikke instrueres i eller straffes for det arbejde, der udføres som forkæmper for databeskyttelse. Han eller hun må heller ikke have en anden rolle, der kan være i konflikt med persondatabeskyttelse.
En almindelig misforståelse omkring rollen er at tro, at DPO'en er ansvarlig for overholdelse af GDPR. Det er faktisk det modsatte, en DPO kan ikke have en formel rolle, hvor der træffes beslutninger, som kan påvirke overholdelsen af GDPR. Tænk på det som forskellen mellem en bogholder og en revisor; revisoren kan rådgive bogholderen og anbefale regnskabsteknikker, men skal forblive uafhængig.
På samme måde skal databeskyttelsesrådgiveren altid konsulteres i vigtige spørgsmål om databeskyttelse i sin organisation. Han eller hun kan påtage sig ansvaret for at uddanne organisationen i deres pligter i henhold til de europæiske databeskyttelsesregler. DPO'en skal også være i stand til proaktivt at vurdere og overvåge overholdelsen og rapportere tilbage til organisationens højeste ledelsesniveau. DPO'en er også kontaktpunkt for tilsynsmyndighederne i hvert land, som er ansvarlige for at sikre, at persondata behandles retfærdigt og lovligt.
DPO'en er også ansvarlig for at håndtere direkte anmodninger fra registrerede. Dette er dog begrænset til anmodninger i tilfælde, hvor organisationen er ansvarlig for formålet med behandlingen (den dataansvarlige). For itslearning gælder det, at størstedelen af de data, vi behandler, er på vegne af vores kunder. Hvis du er studerende, lærer eller forælder, der bruger vores kunders tjenester, skal du kontakte den institution, du er indskrevet på, for at udøve dine rettigheder. Vores databeskyttelsesrådgiver vil dog gøre, hvad hun kan for at støtte din institution i at beskytte dine rettigheder.
Folk i Europa nyder nu godt af det højeste niveau af databeskyttelse i verden takket være GDPR. Siden indførelsen er flere mennesker blevet opmærksomme på, at deres data er værdifulde, og at risikoen for databrud skal håndteres strengt. På itslearning tager vi databeskyttelse meget alvorligt med et stærkt engagement i GDPR og ISO 27001-standarder.
For mere information om GDPR og dine rettigheder som bruger af itslearning , besøg venligst vores hjemmeside: itslearning er i overensstemmelse med GDPR.