Personvernombudet: hvem trenger ham og hvorfor?

En databeskyttelsesoffiser er en person som er oppnevnt av et selskap for å overvåke overholdelse av databeskyttelse i selskapet. Ansvarsområdet dekker alle personopplysninger.

© putilov_denis, Fotolia.com

Hva gjør personvernombudet egentlig?

Databeskyttelsesansvarlig sikrer at bare personer med den nødvendige autorisasjonen kan få tilgang til informasjonen som er beregnet for dem. For å gjøre dette må programvaresystemene som brukes, være tilpasset databeskyttelsesforskriftene og konfigurert riktig. Dette krever ofte en profesjonell utveksling med IT -sikkerhetsansvarlig eller nettverksadministrator, og derfor har ikke databeskyttelsesoffiseren lov til å inneha noen av disse stillingene, slik at det ikke oppstår interessekonflikter.

Et annet aktivitetsfokus er å gi ledelsen råd om alle spørsmål om databeskyttelse. Dermed kan han bare komme med forslag og er ikke autorisert til å gi instruksjoner til ledelsen. Databeskyttelsesoffiseren fører et register over alle behandlingsprosedyrer for personopplysninger. Derfor er han også den direkte kontaktpersonen for eksterne personer når det gjelder beskyttelse av personopplysninger på selskapets nettsted. I databeskyttelseserklæringen på selskapets nettsted, tar han hensyn til at informasjonen om dataene som samles inn er fullstendig. Type og formål med datainnsamlingen, anvendelsesområdet som databeskyttelseserklæringen gjelder, samt hvilke data som registreres i hvilken grad og hva som skjer med disse dataene er obligatorisk informasjon. Som ansvarlig for spørsmål angående innholdet i databeskyttelseserklæringen og håndteringen av verneverdige personopplysninger, er han forpliktet til å oppgi navn og et kontaktalternativ for spørsmål.

Han er også tilgjengelig for selskapets egne ansatte når som helst hvis de har spørsmål eller problemer knyttet til databeskyttelse. I tillegg er det hans jobb å regelmessig informere de ansatte om databeskyttelse og å gjennomføre opplæringskurser om databeskyttelse av og til.

Hvem trenger en personvernombud?

En personvernombud er nødvendig for forretningsrelatert innsamling av personopplysninger. © Rawpixel.com, Fotolia.com

I henhold til Federal Data Protection Act (BDSG §4) er hvert selskap som behandler personopplysninger automatisk pliktig til å oppnevne en personvernombud. Dette må gjøres senest en måned etter oppstart av arbeidet. Hvis ansettelsen ikke gjøres, eller hvis det oppnevnes en personvernombud som ikke oppfyller kravene til stillingen, må det forventes en tilsvarende bot.

Utnevnelsen av en personvernombud er

• uavhengig av antall ansatte, hvis de som ansvarlig organ samler inn, behandler eller bruker personopplysninger på forretningsbasis
• uavhengig av antall ansatte, hvis de som ansvarlig organ utfører automatisert databehandling som må kontrolleres på forhånd

Ellers er ordren nødvendig hvis

• Minst ti ansatte, som ansvarlig organ, håndterer konstant automatisert datainnsamling, databehandling eller databruk
• minst tjue ansatte håndterer ikke-automatisk datainnsamling, databehandling eller databruk

For å avklare hva personopplysninger er, forklarer BDSG § 3:

• Personopplysninger er individuelle detaljer om personlige eller faktiske omstendigheter for en bestemt fysisk person eller en person det gjelder
• Automatisert behandling er innsamling, behandling eller bruk av personopplysninger ved hjelp av databehandlingssystemer
• Ikke-automatisert behandling er all ikke-automatisert innsamling av personopplysninger som er strukturert på samme måte og kan evalueres i henhold til visse egenskaper
• Innsamling av data er innsamling av data om personen det gjelder
• Databehandling er lagring, endring, overføring, blokkering og sletting av personopplysninger
• Bruk av data er bruk av personopplysninger, med mindre det handler om databehandling

Hvem kan bli personvernombud?

©blenderåpning 11. bilde, Fotolia.com

Som et grunnleggende krav for å bli ansett som en databeskyttelsesansvarlig, må passende spesialkunnskap være tilgjengelig. Dette betyr at kunnskap om gjeldende databeskyttelsesregler og retningslinjer må være kjent og brukes trygt. Velbegrunnet IT-kunnskap så vel som grunnleggende juridisk og organisatorisk kunnskap må også være tilgjengelig. Den fremtidige databeskyttelsesansvarlige må kunne forstå databehandlingssystemene som brukes for å foreslå og evaluere tiltak for å beskytte dataene.

Som et ytterligere grunnleggende krav må den oppnevnte personvernombudet være pålitelig. Dette betyr også at han kan utføre oppgaven fri fra samvittighetskonflikter og interesser. Det er stillinger i selskapet der oppgaven med databeskyttelse kolliderer med interessene til andre aktivitetsområder. Følgende funksjonærer er i selskapet ikke egnet for virksomheten som personvernombud:

• personalsjef
• Avdelingsleder
• IT -ledelse
• Administratorer
• Bedriftsadvokat

I utgangspunktet er det en interessekonflikt for alle personer som som databeskyttelsesansvarlige må kontrollere seg selv. Alle som kan demonstrere de grunnleggende kravene til teknisk kunnskap og pålitelighet, er derfor generelt egnet til å bli utnevnt til personvernombud.

Hvordan blir du personvernombud?

For å bli personvernombud må forutsetningene for stillingen først være oppfylt. Tilsvarende teknisk kunnskap må være tilgjengelig og det må være mulig å bruke den, akkurat som påliteligheten må bevises. For interne databeskyttelsesoffiserer er det tilrådelig å tilegne seg spesialkunnskap om gjeldende krav til databeskyttelse gjennom datasikkerhetsseminarer før du jobber som personvernombud.

For å bli personvernombud må det respektive selskapet bestille en skriftlig. Det er helt uavhengig om den fremtidige personvernombudet tilhører selskapet eller fungerer som en ekstern person. For at utnevnelsen til personvernombudet skal være lovlig, må prosessen utføres på en veldig formell måte i henhold til spesifiserte regler. Følgende punkter må observeres (kilde: https://www.datenschutzbeauftragter-info.de/betrieblicher-datenschutzbeauftragter-wie-erhaben-die-bestellung/)

• Bestillingen må gjøres skriftlig
• Ordredokumentet må være signert av databeskyttelsesansvarlig og selskapet
• Bestillingen må gjøres uavhengig og atskilt fra en mulig arbeidskontrakt
• En stillingsbeskrivelse må være tilgjengelig
• Det må være en forpliktelse fra selskapets side til å gi personvernombudet personlig og materiell støtte i arbeidet

Hva er forpliktelsene til databeskyttelsesansvarlig?

© geralt (CC0 -lisens, Pixabay.com)

Det er databeskyttelsesansvarligens plikt å overvåke at databeskyttelse overholdes og overholdes i selskapet. Han påpeker underskudd og mislighold og utvikler strategier for å forbedre etterlevelsen av databeskyttelse. Han er tilgjengelig når som helst som en kontaktperson for ledelsen og for ansatte med spørsmål og problemer angående databeskyttelse. Databeskyttelsesansvarlig er forpliktet til å holde taushetsplikt om identiteten til personen det gjelder, eller til informasjon som kan føre til identifikasjon av vedkommende, med mindre han er unntatt fra taushetsplikten. På selskaper med et bedriftsnettsted er han også tilgjengelig for eksterne personer med spørsmål om intern håndtering av personopplysninger.

En gang i året utarbeider databeskyttelsesansvarlig en databeskyttelsesrapport der databeskyttelseshendelser er listet opp og presentert mer detaljert. På samme måte de nødvendige tiltakene som er nødvendige for bedre beskyttelse.

Intern eller ekstern databeskyttelsesansvarlig?

Med ikrafttredelsen av den europeiske generelle databeskyttelsesforordningen planlagt for 2022-2023, vil det være et ensartet juridisk rammeverk for sertifisering av kvalitetsstempel ved bruk av databeskyttelsesrevisjoner. © dizain, Fotolia.com

Det er mulig å oppnevne din egen ansatt til intern databeskyttelsesansvarlig, eller alternativt velge en ekstern tjenesteleverandør. Hvilken løsning er det beste valget for hvilket selskap som avhenger av dine egne preferanser.

Fordelene med en intern databeskyttelsesansvarlig er:

• god kjennskap til selskapets struktur og prosesser
• konstant tilgjengelighet

Ulempene med en intern databeskyttelsesansvarlig er:

• høyere kostnader for trening
• hovedaktiviteten lider midlertidig av aktiviteten som personvernombud
• hvis det er interessekonflikter eller hvis forutsetningen for å være personvernombud mangler, anses han ikke å ha blitt utnevnt
• Utvidet vern mot oppsigelse, beskyttelse mot oppsigelse fortsetter i ett år etter at stillingen som personvernombud er sagt opp

Fordelene med en ekstern databeskyttelsesansvarlig er:

• ingen interessekonflikter eller kollisjon med andre operative oppgaver
• ingen nedetid for dine egne ansatte, f.eks. gjennom opplæring
• bedre beskyttelse i ansvarsområder
• vanlige oppsigelsestider er mulig

Ulempene med en ekstern databeskyttelsesansvarlig er:

• Gjør deg kjent med de interne strukturene og prosessene som kreves

For større selskaper er tilgang til en ekstern databeskyttelsesansvarlig vanligvis billigere og innebærer færre risikoer. For mindre selskaper som bare genererer små mengder personopplysninger, kan valget av en intern databeskyttelsesansvarlig være tilstrekkelig.

Hvor mye tjener du som personvernombud?

Lønningen til databeskyttelsesansvarlig avhenger i hovedsak av bransjen, størrelsen på selskapet og ansvarsområdet til databeskyttelsesansvarlig. Jo større ansvarsområde og jo mer komplekse strukturer, jo mer kan man forvente som lønn. Det er også en forskjell mellom en fullstendig databeskyttelsesoffiser og en stedfortredende personvernombud. De offentlige lønnsdatabasene viser lønn mellom 2000 og 6.500 euro per måned.

Bildekilder (fotolia):

# 89127696 | Forfatter: putilov_denis

#105654764 Rawpixel.com

# 72098640 | Forfatter: blende11.photo

Pixabay.com geralt (CC0 -lisens, Pixabay.com)

# 72880465 | Forfatter: dizain