Kan DPO’en godt være en ekstern konsulent?

Ja, det er direkte forudsat i persondataforordningen, art. 37. Indgås DPO-aftalen med en et selskab, skal der dog udpeges en konkret person som primær rådgiver. Dette vil i DPO Team altid være en af partnerne.

Skal de registrerede personer informeres om databrud?

Ja, i visse situationer skal de registrerede informeres om, at data vedrørende dem er blevet kompromitteret. Dette gælder, når bruddet på persondatasikkerheden sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder.

Dette vil i praksis betyde, at der skal gives en orientering, f.eks. hvis de kompromitterede oplysninger er følsomme (f.eks. helbredsoplysninger), cpr-numre (pga. risikoen for identitetstyveri) eller kreditkortoplysninger. Disse eksempler er ikke udtømmende, og der skal foretages en konkret vurdering i hver situation.

En DPO er med til at vurdere, hvornår et databrud medfører krav om orientering til de registrerede.

Skal databrud anmeldes til Datatilsynet?

Ja, som altovervejende hovedregel skal databrud anmeldes til Datatilsynet inden 72 timer efter det er konstateret. Anmeldelsen skal foretages af den dataansvarlige virksomhed. Konstateres bruddet af en databehandler, skal denne rapportere til den dataansvarlige, der herefter kontakter Datatilsynet.

Man kan kun undlade anmeldelse, hvis det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder. Dette vil i praksis sige, at der ikke har været reel mulighed for at kompromittere data. Som eksempel kan nævnes tab af en bærbar PC indeholdende personoplysninger, men hvor PC’en er krypteret med state-of-the-art kryptering (adgangskode er ikke nok).

En DPO bistår virksomheden med anmeldelsen til Datatilsynet og står for dialogen med tilsynet.

Hvad er et databrud?

Et databrud er defineret som et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet.

Eksempler på databrud kan være et hackerangreb, som kommer igennem virksomhedens firewall, eller tabet af en bærbar PC indeholdende personoplysninger.

 

Hvad er en DPO?

DPO står for Data Protection Officer – et begreb, der blev indført med EU’s generelle persondataforordning (GDPR). På dansk er det oversat til ”Databeskyttelsesrådgiver” – det er sådan set meget sigende for, hvad en DPO gør – rådgiver virksomheder om databeskyttelse – nærmere bestemt beskyttelse af persondata.

Hvad er GDPR?

GDPR står for ”General Data Protection Regulation”. Det er en forordning, der blev vedtaget af EU i april 2016 og trådte i kraft i alle EU-medlemslandene den 25. maj 2018. Forordningen er en videreudvikling af allerede gældende persondataregler i EU.