Der indføres i reformudkastet en helt ny position og funktion i forbindelse med databehandling, nemlig udpegning af en såkaldt data protection officer.
Reformudkastet fastsætter i artikel 35 at en data protection officer SKAL udpeges,
a) når databehandling udføres af en offentlig myndighed eller et offentligt organ
b) databehandling udføres af virksomheder med 250 ansatte eller flere eller
c) den dataansvarliges eller databehandlerens kerneaktivitet består af databehandling, der i kraft af deres natur, anvendelsesområde og/eller deres formål, kræver regelmæssig og systematisk overvågning af de registrerede (datasubjektet).
Bestemmelsen fastslår ordret, at "den dataansvarlige OG databehandleren skal udpege en DPO". Jeg forstår det på den måde, at der (selvfølgelig) ikke skal udpeges to DPO`er, men at ansvaret for at stillingen bliver besat påhviler begge, medmindre der slet og ret er tale om en lapsus i tekstformuleringen. Jfr. i øvrigt nedenfor.
En offentlig myndighed eller et offentligt organ omfatter først og fremmest hele centraladministrationen (politi- og anklagemyndighed er undtaget), regionerne og den kommunale administration samt i øvrigt ethvert organ, der har til formål at varetage opgaver af almen interesse, der ikke har industriel eller kommerciel karakter, f.eks. undervisning.
Det kunne godt give anledning til en nærmere vurdering om kriteriet for virksomhedens størrelse er hensigtsmæssigt. For det første kan mindre virksomheder godt behandle store mængder af data. For det andet kan en rigid grænse give anledning til spekulation. Men på den anden side er den fastsatte grænse objektiv konstaterbar og i øvrigt indført i en lang række andre sammenhænge og endelig vil stort set alle andre virksomheder kunne henføres til opsamlingsbestemmelsen i punkt c.
SMV er en forkortelse for: små og mellemstore virksomheder. EUs nuværende definition af en SMV, er at virksomheden tilhører kategorien "små" hvis der er under 50 ansatte, og en årlig omsætning eller en samlet årlig balance på ikke over 10 mio. EUR. En virksomhed tilhører kategorien "mellemstor", hvis der er 50 eller flere men under 250 ansatte og en årlig omsætning på ikke over 50 mio. EUR eller en årlig samlet balance på ikke over 43 mio. EUR. Bestemmelsen retter sig altså mod de store virksomheder i EU.
Tal fra Danmarks Statistik om det danske erhvervslivs størrelsesstruktur viser, at der er 693 virksomheder med mere end 200 medarbejdere (2010). Mærkeligt nok offentliggøres der ikke statistik, der korresponderer med SMV-definitionen, så det relevante tal skønnes at ligge på omkring 600. Vi har 282.484 arbejdssteder i Danmark (2010).
Det er uomtvisteligt, at grænsen på 250 medarbejdere i en dansk sammenhæng kun vil berøre en meget lille andel af landets virksomheder, men jeg tror, at stillingen alligevel vil blive mere udbredt, fordi den vil styrke virksomhedens generelle tillid og positive omdømme.
Lad mig herefter dvæle lidt ved selve betegnelsen data protection officer. Betegnelsen kan ikke umiddelbart oversættes til dansk. Det eneste betegnelsen indikerer er, at indehaveren skal have en ledende position i organisationen. Betegnelsen den dataansvarlige er allerede reserveret til den fysiske eller juridiske person (virksomhed eller offentlig myndighed), der alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af oplysninger.
Persondataloven opererer desuden med en anden knæsat funktion, idet en dataansvarlig kan vælge at overlade det til en anden at udføre selve den praktiske behandling af personoplysninger på den dataansvarliges vegne. Den, der herefter udfører databehandlingen, betegnes som databehandler. En databehandler kan være en (fysisk) person, en virksomhed, en offentlig myndighed etc.
Umiddelbart synes titlen "den databeskyttelsesansvarlige" at kunne bruges. Alternativt kunne man måske overveje brugen af "dataregisterføreren" eller "den tilsynsførende for databeskyttelse" Vi genfinder sidstnævnte stillingsbetegnelse i EU med Den Euroæiske Tillsynsførende for Databeskyttelse (EDPS), hvis kerneaktivitet det er, at sikre, at EU's institutioner og organer overholder den grundlæggende ret til beskyttelse af personoplysninger.
Det vil være anbefalelsesværdigt at titlen beskyttes for herigennem at introducere en egentlig profession og uddannelse og som alene forbeholdes dem, der opfylder særlige kriterier som at have bestået en bestemt eksamen/kursus eller opnået en officiel godkendelse. Jeg anbefaler helhjertet, at der allerede nu tages initiativ til at lave et certificeret kursus for databeskyttelsesansvarlige i et samarbejde mellem Datatilsynet og et nyetableret brancheråd og gerne med private kursusudbydere.
Ingen kommentarer:
Send en kommentar