It-sikkerhed og databeskyttelse kommer snart til at fylde mere i de fleste organisationer. Der kan være mange forskellige grunde til at arbejde med it-sikkerhed. Nogle organisationer gør det på grund af interne etiske krav, nogle for at bevare et godt ry hos kunder, mens andre hovedsageligt gør det for at overholde aftaler med samarbejdspartnere.
Lovgivning er en anden god grund. Der er nemlig en del lovgivning, som regulerer, hvordan man skal opbevare og behandle information. Et eksempel er persondataloven. Hidtil har det dog næppe været frygten for bøder, der har drevet lysten til at arbejde med it-sikkerhedsarbejdet hos de fleste organisationer.
I den nuværende lovgivning får offentlige myndigheder eksempelvis ikke bøder, hvis de bryder sig mod reglerne i persondataloven, og det sker kun sjældent at private virksomheder opkræves bøder, og når det sker er bødestørrelsen forholdsvis lille.
Ny forordning
EU’s nye databeskyttelsesforordning gør op med dette. Når forordningen træder i kræft d. 25. maj 2018, får de fleste organisationer en række nye forpligtigelser, og der kan komme betragtelige bøder til virksomheder, som ikke overholder reglerne. Forordningen nævner nemlig bødestørrelser på op til 10.000.000 € eller 2% af den globale omsætning, alt afhængig af hvilket beløb der er størst.
Den nye lovgivning, som afløser de tidligere regler på området, opererer stadig med begreber som ”databehandler” og ”dataansvarlig”, men forpligtigelserne for de to udvides markant. Nogle organisationer skal nu ansætte eller anskaffe en ”databeskyttelsesrådgiver”. Rådgiveren som også kaldes en data protection officer (DPO), skal inddrages i alle forhold omkring databeskyttelse, og skal kunne kontaktes af de registrerede og tilsynsmyndighederne. Databeskyttelsesrådgiveren kommer på nogen vis til at være de registreredes ambassadør, og denne person får helt specielle privilegier. Det bliver eksempelvis særligt svært for virksomhederne at afskedige databeskyttelsesrådgiveren.
Forordningens artikel 38
Databeskyttelsesrådgiverens stilling
1. Den dataansvarlige og databehandleren sikrer, at databeskyttelsesrådgiveren inddrages tilstrækkeligt og rettidigt i alle spørgsmål vedrørende beskyttelse af personoplysninger.
2. Den dataansvarlige og databehandleren støtter databeskyttelsesrådgiveren i forbindelse med udførelsen af de i artikel 39 omhandlede opgaver ved at tilvejebringe de ressourcer, der er nødvendige for at udføre disse opgaver og opretholde databeskyttelsesrådgiverens ekspertise, samt adgang til personoplysninger og behandlingsaktiviteter.
3. Den dataansvarlige og databehandleren sikrer, at databeskyttelsesrådgiveren ikke modtager instrukser vedrørende udførelsen af disse opgaver. Den pågældende må ikke afskediges eller straffes af den dataansvarlige eller databehandleren for at udføre sine opgaver. Databeskyttelsesrådgiveren rapporterer direkte til det øverste ledelsesniveau hos den dataansvarlige eller databehandleren.
4. Registrerede kan kontakte databeskyttelsesrådgiveren angående alle spørgsmål om behandling af deres oplysninger og om udøvelse af deres rettigheder i henhold til denne forordning.
5. Databeskyttelsesrådgiveren er underlagt tavshedspligt eller fortrolighed vedrørende udførelsen af sine opgaver i overensstemmelse med EU-retten eller medlemsstaternes nationale ret.
6. Databeskyttelsesrådgiveren kan udføre andre opgaver og have andre pligter. Den dataansvarlige eller
databehandleren sikrer, at sådanne opgaver og pligter ikke medfører en interessekonflikt.
Der er mange nye elementer i den nye forordning. I en række kommende artikler gennemgår jeg det vigtigste.
Du kan finde hele databeskyttelsesforordningen her: EUROPA-PARLAMENTETS OG RÅDETS FORORDNING (EU) 2016/679
af 27. april 2016
Har du spørgsmål? Er du enig eller uenig i min udlægning af teksten? Hvad kommer den nye databeskyttelsesforordning til at betyde i jeres organisation? Efterlad en kommentar og giv mig dit take på den nye forordning!
Om forfatteren
Share this Post
Læs evt. mere om persondataforordningen
Comments
Tak for en fin introduktion!