Virksomheder, der samler data om sine brugere, skal have en person ansat til at sikre kundernes privatliv. Det bliver sandsynligvis konsekvensen af en ny datalov fra EU
Data er det nye dollars, og både små som store virksomheder samler idag informationer om deres kunder.
Datatilsynet kan derfor realistisk set ikke holde øje med, om virksomheder i Europa overholder persondataloven. Der er ganske enkelt for mange virksomheder, der indsamler data om deres kunder, til at det kan lade sig gøre.
Nu skal virksomhederne derfor selv til at sikre, at reglerne bliver overholdt. De skal hyre en såkaldt data protection officer (DPO) – en bogholderagtig type, der holder styr på virksomhedens indsamling og brug af kunders personlige data.
Det er en af de nye tiltag i EUs lovpakke om strammere beskyttelse af persondata.
Kundernes sikkerhedsrepræsentant
Ligesom man kender det fra Tillidsmænd og sikkerhedsrepræsentanter, vil DPO’en få en særlig beskyttet status i virksomheden. Det forklarer Thomas Munk Rasmussen, der er advokat med Bech-Bruun og har speciale i persondataret til finans.dk.
“Personen bliver et bindeled mellem myndighederne og virksomheden, og der vil blive lagt mere vægt på egenkontrol. Derfor skal DPO’en også have en særlig beskyttet stilling, ligesom en sikkerhedsrepræsentant herhjemme, som det er vanskeligt at afskedige,” siger Thomas Munk Rasmussen.
Lovpakken har været igennem kommisionen og parlamentet og er nu nået til sidste stop inden vedtagelse: Ministerrådet. Har har de nationale regeringer lige nu skudt reglerne til hjørne. Blandt andet fordi, at man ikke kan blive enige om, hvilke virksomheder, den nye regel skal gælde for.
Men, præcis hvilke virksomheder skal have en DPO?
Det første forslag lød på, at alle virksomheder med mere end 250 ansatte skulle have en DPO. Det ændrede parlamentet til alle virksomheder, der havde data om over 5.000 forskellige kunder. En uhensigtsmæssig løsning mente Ministerrådet. Og Thomas Munk Rasmussen.
“En mellemstor dansk webshop med tre medarbejdere i en lille provinsby kan godt komme op på 5.000 poster om året. Skulle de så ansætte en DPO? Det er en af de uhensigtsmæssigheder, man drøfter i øjeblikket,” siger han til finans.dk.
Og selvom, det kan virke uhensigtsmæssigt, mener dele af parlamentet, at det alligevel giver god mening. Jan Philipp Albrecht, tysk medlem af Europa-Parlamentet er talsmand for De Grønne på lovpakken og han siger til Finans.dk,
“DPO’en er en hjørnesten i Parlamentets beslutning. Vi er ikke dogmatiske om, hvor grænsen skal gå, så det bliver slet ikke alle virksomheder. Men jeg mener, at det er fair, at også små virksomheder kommer under reglerne, hvis de behandler store mængder af persondata.”
Mangler en DPO-uddannelse
Små virksomheder, der suger data fra en stor mængde kunder behøver ikke nødvendigvis at finde nye kontorstole frem endnu.
For det første er der mulighed for, at DPO’en må hyres udefra. Ligesom man kender det fra revisorer. Og for det andet mener Albrecht ikke, at vi skal forvente at se reglen træde i kraft før i 2018.
Og det er forhåbentlig lang nok tid til at virksomhederne eller personer med DPO-drømme kan nå at kvalificere sig. EUs regler lægger nemlig ikke op til, at der skal være én særlig uddannelse. Men DPO skal blot være kvalificeret.
Bech-Bruun og Deloitte er derfor gået i gang med at udvikle sådan et uddannelsesforløb for DPO’er, med undervisere fra Københavns Universitet og datatilsynet, skriver finans.