Artikel GDPR

Mød Bisnodes Data Protection Officer

15 maj 2018

En af ændringerne, som kommer med den nye persondataforordning, der træder i kraft den 25. maj, er, at nogle virksomheder inden for EU skal udpege en data Protection Officer (DPO'er). Men hvilke virksomheder er tvunget til at have en DPO, og hvad er denne persons rolle egentligt? Det har vi taget en god snak med Lisbeth Svensson om - Bisnodes Group DPO.

Hvilke ansvarsområder har en DPO?

Som DPO skal du sikre, at virksomheden behandler personoplysninger med respekt og i overensstemmelse med lovgivningen om beskyttelse af personlige oplysninger. Dette omfatter både, hvordan data håndteres, opbevares og overleveres i alle de sammenhænge data indgår i. Som DPO skal man desuden sikrer, at virksomheden den rette dokumentation for datahåndtering på plads, og at den bliver opdateret løbende. Alle dataflows skal være gennemsigtige og enhver medarbejder der har berøring med data, skal vide præcis, hvordan data skal behandles. Herudover har DPO’en også hovedansvaret for kontakten til datamyndighedern – i Danmark er det Datatilsynet.  

Hvilke kvalifikationer og kompetencer er nødvendige for en god DPO?

Først og fremmest så skal der være en grundlæggende forståelse og interesse for privatpersoners rettigheder og for håndtering af persondata. Herudover skal en DPO forstå virksomheden, medarbejderne, strukturer og processer, da personen normalvis er i kontakt med de fleste dele af organisationen. DPO’en skal også gøre sig selv forståelig og må derfor være en god kommunikator, så kollegaer i hele virksomheden kan følge DPO’ens retningslinjer i forhold til overholdelse af gældende lovgivning.

- Kigger man på min baggrund og min erfaring, så spænder den meget bredt – jeg har arbejdet med alt lige fra IT, salg, projektstyring, ledelse og håndtering af data. Det giver mig en god forretningsforståelse og et godt indblik i, hvordan data håndteres i alle lede og kanter af en virksomhed, og det er en stor fordel som DPO.

Skærmbillede 2018-03-23 kl. 14.19.59.png

Hvad er dit vigtigste ansvarsområde i Bisnode?

Mit primære ansvar er at sikre, at vi håndterer og behandler personoplysninger i overensstemmelse med lovgivingen. I øjeblikket er jeg meget involveret i vores GDPR-program, som medfører en masse spørgsmål fra forskellige dele af vores organisation. Alle medarbejdere og alle afdelinger skal være GDPR compliant før den 25. maj, og der er selvsagt meget forberedelse. Ellers sørger jeg for, at vi har de nødvendige politikker og processer på plads i forhold til datastruktur og datahåndtering, samt at vi indtænker privatpersoners rettigheder ind i alle vores vores projekter og systemer. Alt dette slutter jo ikke, når den nye persondataforordning træder i kraft, og derfor vil jeg fremadrettet også arbejde benhårdt med at sikre, at vi altid overholder gældende lovgivning og er GDPR compliant.

Hvilke typer af virksomheder skal have en DPO?

Formelt set skal en DPO udpeges til alle offentlige myndigheder og de private virksomheder, hvis kerneaktivitet består af regelmæssig og systematisk overvågning af personer eller hvor der som led i kerneaktiviteten behandles følsomme oplysninger i forbindelse med kriminelle forhold og lovovertrædelser.

Jeg anbefaler dog ethvert firma, der behandler privatdata, til at udpege en DPO - eller i det mindste at identificere en person, der er ansvarlig for privatpersoners rettigheder, afhængigt af virksomhedens størrelse og mængden af ​​data, du har til rådighed.

Skærmbillede 2018-03-23 kl. 14.24.05.png

Har Bisnode en DPO i hvert land?

Bisnode har udpeget lokale DPO'er, men ikke nødvendigvis for hvert land, men i stedet for regioner eller områder, hvor lovgivningen er sammenlignelig. De lokale DPO’er skal kende til lokalmarkeder, og det er en stor fordel, hvis de også forstår sproget. Men det er ikke nødvendigt at have flere DPO’er, bare fordi vi er en international koncern.

Hvordan vil dine arbejdsopgaver se ud efter den 25. maj?

Jeg vil fortsætte det arbejde, som allerede er igangsat, da det er et kontinuerligt projekt, men jeg vil også begynde at revidere vores forretning for at sikre, at vi fortsat arbejder i overensstemmelse med lovgivningen. Jeg er sikker på, at vi løbende vil kunne forbedre og optimere på vores processer i takt med, at vi bliver klogere og mere uddannede i GDPR. Det betyder også, at jeg forsat vil arbejde på, at alle mine kollegaer i Bisnode er uddannet i håndtering af persondata og forstår, hvad GDPR indebærer. 

Skærmbillede 2018-03-22 kl. 13.45.48.png

Hvad ser du som den største udfordring i din rolle?

Det må nok være, at jeg skal involveres og inkluderes i udviklingsprojekter på et tidligere stadie, end mine kollegaer kunne forvente. Det er nemlig altid nemmere at give gode råd før noget er bygget, købt eller implemeneret , og så sikrer vi også, at alle forbehold jf. GDPR er tænkt ind i projekterne fra start. Men det kræver lige en tilvænning for organisationen, men vi er godt på vej. 

Bringer GDPR nogle muligheder med sig for Bisnode?

Meget af vores forretning vil være upåvirket af GDPR, og vi vil stadig hjælpe vores kunder med at arbejde smart med data på tværs af hele deres organisation. Vi hjælper kunderne med at få opdateret og korrekt data, så deres datakvalitet er tiptop.

Det, der kan blive en fordel for os som følge af GDPR, er, at vi er nødsaget til at retænke nogle af vores processer, hvilket giver os mulighed for at blive endnu mere effektive, end vi har været hidtil.

Hvad er de største misforståelser omkring GDPR?

Hvad er de største misforståelser omkring GDPR?

Der er tre ting jeg ofte hører og får spørgsmål om:

Dataportabilitet

Her bliver jeg blandt andet spurgt om, hvilke data personer kan gøre krav på at få, og om data kan videresgives mv. I nogle tilfælde kan en privatperson bede om at få sendt sine data til en anden operatør, men dette er ikke muligt for alle typer af data. 

Samtykke

Der er mange, der mener, at virksomheder nu altid har brug for samtykke til at behandle personoplysninger, men det er simpelthen ikke sandt. Der er seks juridiske grunde, og samtykke er kun en af ​​dem.

Opbevaring af data

Mange tror også, at virksomheder simpelthen ikke må beholde de personoplysninger, de allerede har. Men så længe at virksomheden har et juridisk belæg for at opbevare data, så må de gerne. De må selvfølgelig ikke opbevare informationer, som de ikke længere har brug for, eller gemme data i længere tid end nødvendigt, men herudover er det okay at gemme data, såfremt det sker i overensstemmelse med gældende rettigheder.

Vil du modtage nyheder fra Bisnode?