Bedst som flere virksomheder er begyndt at forberede sig på at have en såkaldt Data Protection Officer på lønningslisten, viser det sig, at det næppe bliver nødvendigt
En bøde på fire procent af virksomhedens omsætning. Det er, hvad du kan se frem til, hvis du ikke lever op til den nye persondataforordning. Og et af kravene i forordningen er, at alle virksomheder, der håndterer persondata, skal have en Data Protection Officer (DPO) ansat, til at sikre, at personfølsomme data ikke forsvinder ud af virksomheden.
Sådan har det lydt det seneste års tid, hvor persondataforordningen fra EU har været under opsejling. Men nu viser det sig, at mange virksomheder faktisk godt kan slappe lidt af. Det bliver nemlig ikke nødvendigt at ansætte en DPO lige foreløbig. Det skriver Version2.
Ifølge dem har Justitsministeriet afsløret dele af deres arbejde med at fortolke dataforordningen, så den kan implementeres i dansk lov.
Kravet om en DPO har været lidt uklart, men ifølge justitsministeriet vil det vil kun komme til at gælde få virksomheder.
“Man kan frivilligt vælge at have en DPO,” fortæller Anders Lotterup, chefkonsulent i Justitsministeriets databeskyttelseskontor til Version2.
Læs også: Cookie-kiks: Foreninger sælger sundhedsdata uden at vide det
“Men langt for langt de fleste virksomheder vil det ikke være et krav,” understregede han på et stormøde i København torsdag.
Hvad er kernen?
Hvis virksomhedens kerneaktivitet er behandling af persondata, er der dog ingen vej udenom. Eksempelvis cloud-tjenester, forsikringsselskaber og privathospitaler. Der er altså ikke tale om HR-data eller kundekartokteker, når der tales om kerneaktivitiet. For her betragtes behandlingen af persondata som en biaktivitet.
Anders Lotterup understreger desuden, at offentlige organisationer dog skal forberede sig på at se en DPO på gangene. For her er der som udgangspunkt så meget personfølsomt data, at det ikke kan undgås.
Læs også: Er din virksomhed klar til nye dataregler?
Men selvom forretningen er bygget op om persondata, skal der ikke nødvendigvis være en DPO. For det kommer også an på mængden af data, og hvor længe den opbevares. En privatpraktiserende læge kan godt undgå udgiften, mens et helt hospital er nødt til at ansætte en til at holde styr på de personfølsomme oplysninger.
Men selv i de virksomheder, der ikke har behov for en DPO, skal datafordningens krav stadig opfyldes. Hvad disse krav helt præcist kommer til at lyde, er ikke helt på plads.
Justitsministeriet vil til april publicere en større vejledning til at fortolke dataforordningen i dansk sammenhæng.