Kapitel 4: Dataansvarlig og databehandler

Artikel 24 beskriver hvordan, at du som dataansvarlig skal implementere passende tekniske og organisatoriske foranstaltninger, ajourføre disse, samt indføre passende databeskyttelsespolitikker.  

I artikel 25 beskrives, at man skal indføre ‘privacy by default’ og ‘privacy by design’. Dette indebærer, at virksomheder fx skal indstille deres IT-systemer til at beskytte personoplysninger, som en standardindstilling i IT-systemet. Det skal altså ikke blot ske som et tilvalg. 

Privacy by design indebærer, at alle nye processer, systemer eller forretningsområder skal designes med databeskyttelse for øje fra starten.

Hvis du sammen med en anden er med til at bestemme hvordan, at en behandlingsaktivitet skal foregå, så er I fællesdataansvarlige, og dette beskrives i artikel 26. Eksempelvis har man fundet ud af, at de sociale mediers mulighed for, at du kan oprette en virksomhedsside er et af disse tilfælde, hvor du sammen med det sociale medie (fx Facebook) er fællesdataansvarlig.

Når du beder en leverandør om at behandle personoplysninger på dine vegne, så udgør dette en databehandlerkonstruktion, hvilket vil sige at vedkommende er din databehandler. Dette betyder, at du har pligt til at indgå en databehandleraftale med denne leverandør. Kravene til denne databehandleraftale kan du finde i artikel 28. 

Alle dataansvarlige og databehandlere skal føre en oversigt over deres behandlingsaktiviteter, hvilket i denne lovgivning kaldes en ‘fortegnelse’. Der er nogle meget specifikke og omfattende krav til at udføre denne fortegnelse, som pålægges næsten alle virksomheder, organisationer, foreninger og myndigheder. 

Databeskyttelsesforordningen udstikker krav om, at du behandler persondata sikkert, og på et passende beskyttelsesniveau givet den type behandling af personoplysninger, som foretages i virksomheden. 

For at afgøre, at dit sikkerhedsniveau er tilstrækkeligt, så er det et krav, at du laver en risikovurdering. Denne vurdering skal afgøre sandsynligheden for, at der sker et brud på persondatasikkerheden, samt hvad den potentielle konsekvens ville være for de registrerede (fx kunder eller medarbejdere). 

Ved et signifikant brud på persondatasikkerheden, så skal du anmelde dette til Datatilsynet senest 72 timer efter, at du har opdaget sikkerhedsbruddet. Ved anmeldelsen skal du blandt andet beskrive bruddet, samt hvad det kan have konsekvenser for de personer, som er omfattet af sikkerhedsbruddet og hvad virksomheden har gjort for at begrænse skaden ved dette sikkerhedsbrud. De nærmere krav og omstændigheder for denne anmeldelse er beskrevet i artikel 33, og i artikel 34 er det beskrevet hvordan, at du skal informere de omfattede personer af sikkerhedsbruddet.

Du skal lave en konsekvensanalyse når du ønsker at behandle personoplysninger i et stort omfang eller behandle persondata af en type, hvor behandlingen indebærer en høj risiko for personernes rettigheder. Der er særlige krav til en konsekvensanalyse, og disse kan du læse om i artikel 35, stk. 7. 

Artikel 37-39 omhandler databeskyttelsesrådgiverens (DPO) udpegelse, rolle og opgaver hos den dataansvarlige. Her kan du blandt andet læse, at alle myndigheder skal have en databeskyttelsesrådgiver, samt at databeskyttelsesrådgivere både skal have kendskab til jura, samt databeskyttelse i praksis, hvilket indebærer IT-viden, samt generelle kompetencer til at styre en organisations compliance.

Artikel 40-43 omhandler certificering og adfærdskodekser, som endnu ikke er taget i brug  i betydeligt omfang i Danmark.