EU Persondataforordningen - krav om en DPO | KPMG | DK

EU Persondataforordningen – krav om en Data Protection Officer (DPO)

EU Persondataforordningen

EU Persondataforordningen, også kaldet GDPR (General Data Protection Regulation), træder i kraft den 25. maj 2018 og erstatter dermed den nuværende danske persondatalov. Formålet med Forordningen er at ensarte reglerne for beskyttelse af persondata på tværs af EU, samtidig med at de registreredes rettigheder skærpes.

1000

Partner

KPMG i Danmark

Kontakt

Relateret indhold

Persondataforordningen

Af Kasper Carøe, Partner, Advisory & Emilie Norsk, Manager, Advisory

EU Persondataforordningen, også kaldet GDPR (General Data Protection Regulation), træder i kraft den 25. maj 2018 og erstatter dermed den nuværende danske persondatalov. Formålet med Forordningen er at ensarte reglerne for beskyttelse af persondata på tværs af EU, samtidig med at de registreredes rettigheder skærpes.

Et af de nye tiltag i Forordningen er begrebet "ansvarlighed"1. Dette medfører, at den dataansvarlige, ud over at være ansvarlig for at persondata behandles i henhold til Forordningens krav, ydermere er ansvarlig for at sikre, at denne efterlevelse er dokumenteret og kan påvises.
En af metoderne til at opnå denne ansvarlighed er introduktion af rollen som databeskyttelsesrådgiver (DPO) Denne rolle er ikke helt ny, men kendes f.eks. allerede fra Tyskland og Sverige, hvor der i visse tilfælde er krav om, at en DPO skal udpeges. DPO'en skal have til ansvar at assistere den dataansvarlige eller databehandleren med at overvåge efterlevelsen af Forordningen, herunder til at informere og rådgive om samt kontrollere organisationens behandling af personlige oplysninger.

Kravet om obligatorisk udpegning af en DPO er forbundet til visse organisationstyper:

1. Alle offentlige myndigheder,
2. Organisationer, hvis kerneforretning omhandler behandling af persondata som nødvendiggør systematisk og regelmæssig overvågning af de registrerede i stor skala eller
3. Organisationer, hvis kerneforretning omhandler behandling af særlige kategorier af oplysninger om registrerede, herunder oplysninger om race, etnicitet, religiøs eller politisk overbevisning, fagforeningsmæssig tilhørsforhold, helbredsoplysninger og oplysninger om seksuelle forhold, genetiske eller biometriske data2 eller oplysninger om straffedomme og lovovertrædelser3 i stor skala4.

Fortolkningen af dette krav har været centrum for megen debat. I december 20165 kom den første vejledning derfor også fra Artikel 29-gruppen i EU6Denne vejledning fokuserer blandt andet på at definere de centrale begreber i ovenstående udpegningskriterier, såsom "kerneforretning", "stor skala" og "systematisk og regelmæssig overvågning".


Krav om DPO for banker og forsikringsselskaber

Særligt pkt. 2 benævnt ovenfor er relevant i forbindelse med den finansielle sektor. Når man skal bedømme, hvorvidt man er underlagt kravet, bør man derfor overveje følgende:
 

For mange finansielle virksomheder vil kundedata udgøre centrale dele af organisationens datamodel, og derved må behandlingen af kundedata betragtes som værende en del af kerneforretningen. Afhængig af størrelsen og sammensætningen af ens kundeportefølje vil behandlingen sandsynligvis også finde sted i stor skala.

Mange banker og forsikringsselskaber vil ligeledes, som en del af det daglige kundearbejde, foretage profilering eller scoring af kunder i forbindelse med risikovurderinger af disse, f.eks. kreditvurderinger, fastlæggelse af forsikringspræmier, som led i forebyggelsen af svindel eller i forbindelse med AML-procedurer, hvilket kan betragtes som systematisk og regelmæssig overvågning.

Det er derfor sandsynligt, at mange finansielle virksomheder vil skulle udpege en DPO.

Ansvarlighed, risiko og DPO

I lighed med øvrige organisationer skal alle finansielle virksomheder overveje ovenstående og hermed vurdere, om karakteren og omfanget af ens behandling af persondata medfører behov for udpegning af en DPO. Hvad end man vurderer det påkrævet eller ej, skal denne vurdering dokumenteres som led i at udvise føromtalte ansvarlighed.

Hvorvidt det er et krav eller ej, så bør alle organisationer overveje fordelene ved at have én ansvarlig i organisationen med ansvaret for persondatabeskyttelse. Hvis man i organisationen ikke entydigt har placeret dette ansvar, så risikerer man en situation, hvor alle tror, at "den anden gør det".

Tillid og mulig konkurrencefordel

Som finansiel virksomhed er tillid fra ens kunder, samarbejdspartnere, samfund og regulatorer central for ens forretning. Mange virksomheder kan opnå en konkurrencemæssig fordel ved at prioritere beskyttelsen af kundernes personlige oplysninger, både i den almindelige omgang med personoplysninger og i den professionelle håndtering af akutte sikkerhedshændelser, som kan opstå ved tab af data, hacking, afpresning eller lignende, hvor virksomhedens omdømme og troværdighed er på spil.
 

1 GDPR, artikel 5, stk. 2 

2 GDPR, artikel 9, stk. 1

3 GDPR, artikel 10, stk. 1

GDPR, artikel 37, stk. 1 

http://ec.europa.eu/information_society/newsroom/image/document/2016-51/wp243_en_40855.pdf

Rådgivende og uafhængig enhed bestående blandt andet af repræsentanter for de tilsynsmyndigheder, som hver medlemsstat har udpeget. https://www.datatilsynet.dk/om-datatilsynet/internationalt/artikel-29-gruppen/

© 2017 KPMG P/S, a Danish limited liability partnership and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.

Følg os

  • Find kontorer kpmg.findOfficeLocations
  • kpmg.emailUs
  • Social media @ KPMG kpmg.socialMedia
 

Tilbudsforespørgsel

 

Send