Det er nu otte år siden, at Den Europæiske Union begyndte at anvende en banebrydende lovgivning om databeskyttelse i regionen – dengenerelle forordning omdatabeskyttelse (bedre kendt som GDPR).Den er stadig en af de mest omfattende rammer for databeskyttelse og datasikkerhed i verden og har fortsat indflydelse på lovgivningen langt ud over Europas grænser.
Siden GDPR trådte i kraft i 2018 er forordningen blevet udformet og præciseret gennem vejledninger fra tilsynsmyndighederne, håndhævelsesafgørelser og domstolsafgørelser i hele Den Europæiske Union og Det Europæiske Økonomiske Samarbejdsområde.
I denne sammenhæng er det nyttigt at se nærmere på nogle af de centrale begreber, der blev indført med GDPR, og overveje, hvordan de finder anvendelse i dag. I denne artikel ser vi nærmere på en af de centrale roller, der er defineret i forordningen – den databeskyttelsesansvarlige (DPO).
Et simpelt spørgsmål, men svaret kræver en vis forståelse af GDPR og EU's databeskyttelsesregler.
For alle EU-borgere er retten til privatlivets fred og beskyttelse af personoplysninger sikret i chartret om grundlæggende rettigheder (artikel 7 og 8). Persondata skal beskyttes, og behandlingen af dem skal have et lovligt formål og være gennemsigtig. Det vigtigste instrument til at sikre dette før 2018 var en kombination af EU-direktiver og lokal lovgivning i de forskellige medlemslande. Alt dette ændrede sig den 25. maj 2018, da GDPR blev vedtaget i alle EU- og EØS-medlemslande.
En DPO (Data Protection Officer) arbejder for at beskytte de registreredes grundlæggende friheder og rettigheder i forhold til privatlivets fred og databeskyttelse.
Med GDPR blev rollen som databeskyttelsesrådgiver fastlagt i EU-lovgivningen. For visse institutioner bliver det obligatorisk at have en databeskyttelsesrådgiver, mens andre kan vælge at indføre en sådan. Følgende organisationer er lovmæssigt forpligtet til at udpege en databeskyttelsesrådgiver:
Da vi er klar over, at mange af vores kunder vil få brug for en sådan rolle, itslearning blandt de første udbydere af læringssystemer (LMS), der udnævnte en databeskyttelsesansvarlig (DPO). Ud over at overvåge vores egen overholdelse af reglerne og yde rådgivning og uddannelse til vores egne medarbejdere står vores DPO til rådighed for vores kunder og deres egne DPO’er til drøftelse af spørgsmål vedrørende databeskyttelse. Stillingen er i øjeblikket besat internt i Sanoma-koncernen. Yderligere oplysninger findes på vores GDPR-side.
Så tilbage til det oprindelige spørgsmål: Hvad er en DPO? Kort sagt arbejder DPO’er for at beskytte de registreredes grundlæggende frihedsrettigheder og rettigheder i forbindelse med privatlivets fred og databeskyttelse. For at sikre, at DPO’en sætter den registreredes rettigheder i første række – og ikke arbejdsgiverens – indeholder GDPR særlige bestemmelser, der skal sikre uafhængighed. En DPO kan ikke modtage instrukser eller straffes for det arbejde, der udføres som fortaler for databeskyttelse. De må heller ikke have en anden rolle, der kan være i konflikt med beskyttelsen af personoplysninger.
En udbredt misforståelse er, at den databeskyttelsesansvarlige (DPO) er ansvarlig for overholdelsen af GDPR. I virkeligheden ligger ansvaret for overholdelsen fortsat hos organisationen selv, mens den databeskyttelsesansvarlige fungerer som rådgiver og tilsynsførende. Man kan sammenligne det med forskellen mellem en regnskabsfører og en revisor; revisoren kan rådgive regnskabsføreren og anbefale regnskabsteknikker, men skal forblive uafhængig.
Ligeledes skal den databeskyttelsesansvarlige altid høres i vigtige spørgsmål vedrørende databeskyttelse inden for sin organisation. Han eller hun kan påtage sig ansvaret for at uddanne organisationen i dens forpligtelser i henhold til de europæiske databeskyttelsesregler. Den databeskyttelsesansvarlige bør også være i stand til proaktivt at vurdere og overvåge overholdelsen af reglerne og aflægge rapport til organisationens øverste ledelse. Den databeskyttelsesansvarlige fungerer desuden som kontaktperson for tilsynsmyndighederne i de enkelte lande, der har til opgave at sikre, at personoplysninger behandles retfærdigt og lovligt.
Databeskyttelsesansvarlige har også ansvaret for at behandle direkte henvendelser fra de registrerede. Dette gælder dog kun for henvendelser i de tilfælde, hvor organisationen er ansvarlig for formålet med behandlingen (den dataansvarlige). For itslearning gælder det, at størstedelen af de data, vi behandler, sker på vegne af vores kunder. Hvis du er elev, lærer eller forælder, der benytter vores kunders tjenester, skal du kontakte den institution, du er tilmeldt, for at udøve dine rettigheder. Vores DPO vil dog gøre sit bedste for at støtte din institution i at beskytte dine rettigheder.
GDPR har styrket databeskyttelsesrettighederne markant i hele Europa og øget bevidstheden om, hvordan personoplysninger anvendes og beskyttes. I takt med at databeskyttelsen fortsætter med at udvikle sig i takt med nye teknologier og lovgivningsmæssige rammer, spiller den databeskyttelsesansvarlige (DPO) fortsat en central rolle i at sikre ansvarlighed, gennemsigtighed og tillid. Hos itslearning tager vi databeskyttelse meget alvorligt og forpligter os fuldt ud til at overholde GDPR og ISO 27001-standarderne.
For mere information om GDPR og dine rettigheder som bruger af itslearning , besøg venligst vores hjemmeside: itslearning er i overensstemmelse med GDPR.