Orienteringsark til DPO
D. 25. maj 2018 træder EU’s persondataforordning (GDPR) i kraft, og i den forbindelse er et af de nye tiltag, der adskiller GDPR fra den nuværende danske persondatalov, Data Protection Officer/Databeskyttelsesrådgiver (DPO), der primært skal fungere som facilitator i forhold til overgangen til den nye persondataforordning. DPO’ens krav og forudsætninger beskrives i GDPR artikel 37-39.
Grunden til at du modtager denne info er, at du er udpeget som DPO for din enhed, i relation til ESCRM. Det er vigtigt for Jer, i forhold til den videre proces, at fastlægge om din enhed har brug for en formel DPO der lever op til kravene i GDPR eller om din enhed udelukkende skal have en ansat med en DPO-lignende rolle.
DPO relaterede forpligtigelser i forbindelse med ESCRM:
Hvis enheden kun skal have en ansat med en DPO-lignende rolle, er der ikke samme strenge krav til denne, b.la. i forhold til ansvar og ekspertise, som der er jf. GDPR. Uanset formel/uformel rolle skal DPO sikre, at enheden overholder de forpligtelser som forordningen beskriver i arbejdet med systemet.
Disse forpligtelser er:
– Der skal sikres at de registreringer der foretages i enheden er i overensstemmelse med GDPR.
– Det skal sikres at personer som enheden behandler data for er behørigt orienteret eller et samtykke/kontrakt er udfyldt.
– DPO skal orientere ESCRM om eventuel systematisk registrering af følsomme data, således at vi er bekendt med denne. Dette er især relevant i forhold til datalæk.
– Der skal i samarbejde med administrator sikres at felter på kanvas/projektnoter er klassificeret korrekt, således at logning sker hvor det er relevant.
– I samarbejde med administrator skal der sikres at felter har korrekt anonymiseringsindstilling. Dette sikre at man ikke kan regne ud hvem en anonymiseret person er.
– Informere brugerne, i enheden, omkring hvorledes man indstiller udløb på noter og dokumenter, samt hvilke kriterier der bør overvejes i forbindelse med udløb.
– Informere brugerne om hvornår data er personhenførbart og/eller følsomt
– Informere brugerne om hvordan man registrerer at en note eller en fil indeholder følsomme oplysninger.
– Ligeledes skal brugere orienteres omkring vigtigheden af at man har personlige brugere, i forhold til logning
Personfølsomt data:
Det er DPO’ens ansvar at være bekendt med karakteren af de anvendte data, b.la. hvorvidt der, jf. persondatalovens § 7, er tale om personfølsomme oplysninger eller ikke-personfølsomme oplysninger. Er der tale om personfølsomme oplysninger vil det for DPO’en betyde et skærpet fokus på beskyttelsen samt håndteringen af disse data.
Definitionen på personfølsomme data er, jf. PDL § 7; racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold og oplysninger om helbredsmæssige og seksuelle forhold. Denne opregning er udtømmende.
CPR-nummer er teknisk set ikke personfølsomme oplysninger, men det tillægges, jf. PDL § 11, stor sikkerhed og der findes derfor tilsvarende strenge krav i forhold til databehandling af CPR, som der gør med personfølsomme oplysninger.
Anonymisering:
DPO’en skal sikre at alle felter er opsat med korrekt anonymiseringsindstilling. ESCRM systemet vil løbende foretage automatisk anonymisering af kontakter, virksomheder og projektnoter registreret i systemet. For at det kan lade sig gøre er det en nødvendighed at alle data indstilles med korrekte indstillinger mht denne proces. Derved vil alt data, der kan lede os hen til at en bestemt person har været i systemet, blive slettet/ryddet – men data, der ikke er personhenførbart, vil blive tilbage, f.eks. postnummer og by. Dette er i fuld overensstemmelse med forordningen, og sikrer at enheden stadig kan lave effektmålinger der kører mange år tilbage. Eksempelvis, hvis en given person har været i et givent vækstforløb, vil der stå tilbage at der engang har været en – nu anonymiseret person – i dette forløb – alt data og øvrige kommentarer om forløbet står stadig tilbage – bare intet om den pågældende person.
For at kunne gøre dette skal data klassificeres, det sker på feltniveau i Projektnoter og på feltdesign. Andre steder er det hele registreringen, f.eks. noter og dokumenter. Felter kan klassificeres som Generelle data, CPR-nummer, Personhenførbar eller følsom. Ved anonymisering ryddes indholdet i felter markeret med CPR, personhenførbar og følsom.
Formel beskrivelse vedrørende DPO rolle klippet fra forordningen.
DPO forpligtelser for enheder der er omfattet af GDPR artikel 37, punkt 1-3:
Enheder der, jf. artikel 37, er omfattet af følgende kategorier, skal udpege en DPO der lever op til GDPR’s forventninger af en DPO. Disse enheder omfatter følgende:
a) Enheder der kan kategoriseres som værende en offentlig myndighed eller et offentligt organ.
b) Enheder hvor den primære aktivitet af databehandler eller dataansvarlig inkluderer jævnlig og systematisk overvågning af dataenheder på en stor skala; eller
c) Enheder hvor den primære aktivitet af databehandler eller dataansvarlig inkluderer bearbejdning af store mængder af personfølsomt data.
Krav for DPO’er, jf. GDPR – Artikel 39.
Stk. 1. Databeskyttelsesrådgiveren har som minimum følgende opgaver:
– at underrette og rådgive den dataansvarlige eller databehandleren og de ansatte, der behandler personoplysninger, om deres forpligtelser i henhold til denne forordning og anden EU-ret eller national ret i medlemsstaterne om
databeskyttelse.
– at overvåge overholdelsen af denne forordning, af anden EU-ret eller national ret i medlemsstaterne om databeskyttelse og af den dataansvarliges eller databehandlerens politikker om beskyttelse af personoplysninger, herunder
fordeling af ansvar, oplysningskampagner og uddannelse af det personale, der medvirker ved behandlingsaktiviteter, og de tilhørende revisioner.
– at rådgive, når der anmodes herom, med hensyn til konsekvensanalysen vedrørende databeskyttelse og overvåge dens opfyldelse i henhold til artikel 35.
– at samarbejde med tilsynsmyndigheden.
– at fungere som tilsynsmyndighedens kontaktpunkt i spørgsmål vedrørende behandling, herunder den forudgående høring, der er omhandlet i artikel 36, og at høre tilsynsmyndigheden, når det er hensigtsmæssigt, om eventuelle andre
spørgsmål.
Stk. 2. Databeskyttelsesrådgiveren tager under udførelsen af sine opgaver behørigt hensyn til den risiko, der er forbundet med behandlingsaktiviteter, under hensyntagen til den pågældende behandlings karakter, omfang, sammenhæng og formål.