DPO’ens rolle i praksis13. Juni 2016

Advokat Lars Japp Haslund

2

DPO’ens rolle i praksis

1• ROCKWOOL Group

2• Data Privacy Compliance project

3• DPO – hvornår og hvorfor

4• DPO’ens rolle i praksis

Part of the solution in more ways than you can imagine

Insulation business• Building insulation• Industrial & technical insulation for process industry, marine

and offshore• Customised solutions for industrial applications• Wall systems (External Thermal Insulation Composite Systems)

Systems business• Acoustic ceilings and wall systems• External cladding systems• Horticultural substrate solutions• Engineered fibres solutions e.g. for the automotive industry• Noise and vibration control

3

ROCKWOOL GROUP

1 • ROCKWOOL Group

4

ROCKWOOL GROUPThe world’s leading supplier of innovative stone wool products and systems

STONE WOOL FACTORIES 28COUNTRIES WE OPERATE IN 37EMPLOYEES WORLDWIDE

App10,600

IN NUMBERS

1 • ROCKWOOL Group

5

“Integrity” – ensure legal and ethical compliance with privacy regulation

“International data transfer” - Implementation of Binding Corporate Rules (BCRs)

“Digitalisation” - will be a cornerstone in increased digitalization of organisation

“Ready for GDPR” - needs no further introduction

Build a Privacy Compliance Setup in Group to support integrity focus, avoid loss of

brand value/PR risks and also avoid financial and legal risks.

W

H

A

T

W

H

Y

W

H

E

N

2015 2016 2017 201825. Maj

2018

2 • Data Privacy Compliance project

6

3 • DPO – hvornår og hvorfor

1. Skal organisation have en DPO efter GDPR?

2. Bør organisationen alligevel have en? Vil organisationen af andre kommercielleforretningshensyn?

3. BCR: medfører krav om DPO!

4. Catch 22: Beslut DPO så tidligt i processen som muligt. Muliggør at DPO kan være med i arbejdet med at kortlægge behandlingsaktiviteter og få baggrundsviden.

5. HR og medarbejder fastholdelse – privacy is the new black

6. Hvis større (global) virksomhed, vil DPO– uanset om det hviler på GDPR eller BCR ikke meningsfuldt være et ‘one man band”.

7. Måske har du som DPO’en allerede kollegaer ude i koncernen, da DPO er lovpligtigt visse steder eller giver fordele i fht. tilsynsprocesser.

8. Måske skal rollen outsources? Måske bare for visse enheder?

DPO – skal, vil eller bør virksomheden have én?

7

4 • DPO’ens rolle i praksis

1. Projektleder – budgetter, leverancer og eksterne leverandører mv i implementering

2. Driftsansvarlig – post-implementering for data privacy område

3. Stakeholder management med respekt for ”the cultural prism” i globale organisationer

4. DPO skal være kendt og respekteret i organisationen. Både i C-suite og i alle øvrige samarbejdsrelationer

5. Faglig reference for Global DPO-organisation

6. Trusted advisor (Være kreativ og forretningsorienteret) – og watch dog for data privacy

7. Bistå med DPIA

8. Undervise og træne kollegaer. Sætte fokus på privacy awareness

9. Følge regulatoriske ændringer såvel som ændringer i best practices vedr. informationssikkerhed

10. Rapportere, dokumentere og kontrollere politikker og processer

11. Administrere hændelser, brud på persondatasikkerheden og underretninger af tilsynsmyndigheden

12. Sikre egen løbende uddannelse i persondataret, IT sikkerhed og compliance management.

DPO i praksis = multi-talent?! Uanset om DPO sidder i IT, Legal, HR – så får du brug for alle dine talenter

8

Kontakt

KøbenhavnDanmark

AarhusDanmark

ShanghaiKina

T +45 72 27 00 00www.bechbruun.com

Lars Japp Haslund

Senior Associate, Attorney-at-law(CIPP/E) · Copenhagen

IP & Technology

T +45 72 27 34 52M +45 25 26 34 52E lajh@bechbruun.com

BACKUP SLIDES

9

Person med ekspertise i databeskyttelsesret og -praksis bistå den dataansvarlige eller databehandleren med at overvåge, at forordningen overholdes internt (præambel pkt. 97)

Sådanne DPO’er bør, uanset om de er ansat hos den dataansvarlige eller ej, være i stand til at udøve deres hverv på uafhængig vis (præambel pkt. 97)

Informationsforpligtelsen efter artikel 13 og 14 omfatter også kontaktoplysninger for den eventuelle DPO

Dataansvarliges og databehandleres fortegnelse over behandlingsaktiviteter skal også omfatte navn og kontaktoplysninger for evt. DPO (artikel 30, stk. 1, litra a og stk. 2, litra a)

Anmeldelse af sikkerhedsbrud til tilsynsmyndigheden skal angive navn og kontaktoplysninger for DPO’en (eller et andet kontaktpunkt) (artikel 33, stk. 3, litra b)

I forbindelse med gennemførelse af konsekvensanalyse vedr. databeskyttelse (PIA) er den dataansvarlige forpligtet til at rådføre sig med DPO’en (artikel 35)

I situationer, hvor der er krav om forudgående høring af tilsynsmyndigheden skal DPO’enskontaktoplysninger angives, hvis det er relevant (artikel 36)

10

Forordningens DPO-krav

Hvilke organisationer (både dataansvarlige og databehandlere) skal have en DPO (artikel 37)?

Offentlige myndigheder (undtagen domstole)

Private virksomheder, hvis kerneaktivitet består af omfattende databehandling, som kræver regelmæssig og systematisk overvågning af den registrerede i stort omfang

Private virksomheder, hvis kerneaktivitet består af behandling i stort omfang af følsomme personoplysninger eller oplysninger om straffedomme og straffelovsovertrædelser

Koncern kan udpege én fælles DPO – alle etableringer have let adgang til DPO’en

Flere offentlige myndigheder/organer kan udpege fælles DPO i overensstemmelse med struktur og størrelse

National ret eller EU-ret (specielle områder) kan fastsætte andre krav til udpegning af DPO

Øvrige organisationer kan udpege DPO – medlemsstaterne kan lave særregler

Alle organisationer bør forankre arbejdet med persondata hos en DPO/databeskyttelsesansvarlig

11

Udpegning af DPO

Udpegning på grundlag af faglige kvalifikationer og ekspertise inden for persondatalovgivning og -praksis samt evner til at udføre opgaver oplistet i forordningens artikel 39

Kan både være medarbejder hos den dataansvarlige og ekstern

Kontaktoplysninger på DPO’en skal offentliggøres og meddeles til tilsynsmyndigheden

DPO’en skal tilstrækkeligt og rettidigt inddrages i alle spørgsmål vedrørende beskyttelse af personoplysninger

DPO’en skal støttes i udførelsen af sine opgaver – tilvejebringelse af nødvendige ressourcer til gennemførelse af opgaver, opretholdelse af DPO’s ekspertise og adgang til personoplysninger og behandlingsaktiviteter

DPO’en skal være de registreredes ”point of contact” i alle spørgsmål vedr. behandling af deres oplysninger og udøvelse af deres rettigheder i henhold til forordningen

12

Generelle krav vedr. DPO

Den dataansvarlige/databehandleren sikre, at DPO’en ikke modtager instrukser vedr. udførelsen af sine opgaver

Ikke afskediges eller straffes af dataansvarlig/databehandler for at udføre sine opgaver (ikke en egentlig beskyttet stilling)

Rapportere direkte til øverste ledelsesniveau (C-level stilling (CPO))

DPO’en underlagt tavshedspligt/fortrolighed vedrørende udførelsen af sine opgaver (i overensstemmelse med EU-ret/lovgivningen i en medlemsstat)

DPO’en kan udføre andre opgaver/pligter – sikre mod interessekonflikt

BCR-politik skal indeholde beskrivelse af DPO’ens opgaver

13

Generelle krav vedr. DPO

Opgaver (minimumskrav) (artikel 39):

Underretning og rådgivning af dataansvarlig /databehandler/ansatte om forpligtelser i henhold til forordningen og andre bestemmelser vedr. databeskyttelse (EU/nationalt)

Overvåge overholdelse af forordningen, EU/nationale regler om databeskyttelse og dataransvarliges/databehandlers regler om beskyttelse af personoplysninger (fordeling af ansvar, oplysningskampagner og uddannelse af relevant personale tilhørende revisioner)

Kontrollere den dataansvarliges/databehandlerens gennemførelse af PIA og dens efterfølgende opfyldelse

Samarbejde med og være kontaktpunkt for de relevante tilsynsmyndigheder (bl.a. høre tilsynsmyndigheden, når det er nødvendigt)

DPO tage behørigt hensyn til risiko forbundet med behandlingsaktiviteter under udførelsen af sine opgaver (karakter, omfang, kontekst, formål)

Retningslinjer for den dataansvarliges eller databehandlerens gennemførelse af passende foranstaltninger og for påvisning af dennes overholdelse af bestemmelserne, navnlig for så vidt angår identificering af risikoen i forbindelse med behandlingen, vurdering heraf med hensyn til deres oprindelse, karakter, sandsynlighed og alvor og identificering af bedste praksis med henblik på at mindske denne risiko, kan især opstilles … gennem en databeskyttelsesansvarliges anvisninger (eller via godkendte adfærdskodekser, godkendte certificeringer eller retningslinjer fra Det Europæiske Databeskyttelsesråd) (præambel pkt. 77)

14

DPO’ens opgaver