/ GDPR

Den dataansvarlige

Forordningen bruger ordet dataansvarlig 497 gange og kun ordet databehandler 263 gange - så den dataansvarlige er altså (efter denne målestok) næsten dobbelt så vigtig!

Definition

Den dataansvarlige er den fysiske eller juridiske person, der alene eller sammen med andre beslutter formålet og midlerne for behandlingen af fysiske personers almindelige og særlige oplysninger.

Ansvar

Datasikkerhedsrådgiver - DPO

I andre lande i EU - fx Tyskland - er det et krav at en virksomhed har udpeget en Data Protection Officer, eller databeskyttelsesrådgiver; i Danmark er det en mulighed især i små og mellemstore virksomheder. Store virksomheder i Danmark vil også vælge at udpege en DPO.

En af fordelene er at DPO'en, i lighed med den HR ansvarlige, der varetager arbejdsmiljø og sikkerhed, har data udnyttelse og sikkerhed, og registreredes rettigheder som fokus område.

Design og standardindstillinger

I sit design af (nye) produkter og tjenester skal den dataansvarlige - efter Artikel 25 - ved fastlæggelsen af midlerne til behandling, og under behandlingen, benytte foranstaltninger, som fx pseudonomisering, for at implementere databeskyttelsesprincipper som fx dataminimering, integrere de fornødne garantier, og opfylde kravene til varetagelse af og beskytte registreredes rettigheder.

I forbindelse med behandlingen skal den dataansvarlige endvidere indrette behandlingen således at det igennem standardindstillinger, kun er de person oplysninger, der er nødvendige, som behandles, fx i forbindelse med indsamlingen, opbevaringen og tilgængeligheden. Standardindstillingerne skal også sikre at færrest mulige fysiske personer får oplysningerne stillet til rådighed.

Behandling / Proces / Arbejdsgange

Artikel 24 siger at det er den dataansvarliges ansvar at gennemføre "passende tekniske og organisatoriske foranstaltninger for at sikre" og kunne "påvise, at behandling er i overensstemmelse med denne forordning". Den dataansvarlige skal sætte disse foranstaltninger op under hensyntagen til behandlingens "karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder".

Certificeringer eller overholdelsen af godkendte adfærdskodeks kan bruges til at demonstrere at dette ansvar tages alvorligt og udfyldes.

Endelig skal den dataansvarlige, "hvis det står i rimeligt forhold til behandlingsaktiviteterne", implementere "passende datasikkerhedspolitikker".

Behandlingen skal ske efter en række principper, som er defineret her.

Registreredes rettigheder

Det er den dataansvarliges ansvar at sikre at registreredes rettigheder bliver tilgodeset og håndhævet.

Op/fortegnelser

Små virksomheder vil normalt ikke skulle føre op/fortegnelser, men har virksomheden over 250 ansatte, er der ingen vej udenom! Det er den dataansvarlige's opgave at sikre disse optegnelser.

Optegnelser vil sige at føre logbøger over, hvad der sker, og hvad der bliver behandlet af person oplysninger. Det kan være en del af arbejdet med at opretholde en certificering - men det kan også være særskilt.

Datasikkerhed

Den dataansvarlige har - i sagens natur - ansvar for alle data, men forordningen er som sådan kun interesseret i person oplysninger. Resten kan du gøre ved, hvad du vil!

Ansvaret starter ved første behandling - dvs op- eller indsamlingen. Bliver oplysningerne opsamlet korrekt? Sker der fejl under registreringen? Med hvilken frekvens? Herefter fortsætter ansvaret - under arkivering, fremfinding, sammenstilling, osv. helt frem til bortkastningen af det enkelte datapunkt.

Sikringen af data har mange implikationer, som eksempelvis behandles af standarder som ISO27001.

Underretning

Endelig er det også den dataansvarliges ansvar at underrette såvel registrerede som Datatilsynet, hvis der opstår brud på datasikkerheden.