For selvstyrehavne: Lej en DPO i Danske Havne

 

Baggrund

Med den nye persondataforordning, der træder i kraft 25. maj 2018, bliver de personlige datarettigheder sat i højsædet. Det medfører større krav til havnens
persondatasikkerhed og strengere sanktioner, i tilfælde af overtrædelse. Persondataforordningen gælder for havnene og introducerer som noget nyt bl.a. krav om dokumentation for, at man overholder lovgivningen. Et andet nyt lovkrav er, at selvstyrehavne skal udpege en Data Protection Officer (DPO) eller på dansk: en databeskyttelsesrådgiver.

Derfor skal selvstyrehavne udpege en DPO

Kommunale selvstyrehavne er forpligtede til at udpege en DPO. Det kommer sig af, at alle offentlige myndigheder og organer er forpligtede til at udpege en databeskyttelsesrådgiver. De myndigheder, der i dansk ret henregnes til den offentlige forvaltning i medfør af forvaltningslovens §1, stk. 1-2, skal anses for offentlige myndigheder og er dermed forpligtede til at udpege en DPO. Selvstyrehavne omfattes her, fordi de indgår i den offentlige forvaltning og udgør selvstændige juridiske enheder. A/S-havne undtages fra at udpege en DPO og kommunale havne dækkes af kommunens DPO, fordi de udgør en del af den kommunale forvaltning.

DPO’ens rolle og funktion

En databeskyttelsesrådgiver er en form for intern databeskyttelsesombudsmand i en organisation, der skal inddrages i alle spørgsmål om databeskyttelse og rådgive om de databeskyttelsesretlige regler. DPO’ens funktion er at hjælpe og understøtte havnen i, at overholde reglerne i persondata-forordningen. DPO’en har en særlig stilling i forhold til Datatilsynet, idet DPO’en skal samarbejde med Datatilsynet og fungere som tilsynsmyndighedens kontaktpunkt. Derudover er DPO’en også kontaktpunkt for personer hvorom der er registreret data i havnen, samt kunder og leverandører i spørgsmål om databeskyttelse.

Årlig compliance gennemgang

Praktisk bistår DPO’en havnen med at gennemføre regelmæssig evaluering under en årlig compliance gennemgang af havnens behandling af persondata, og rådgiver på den baggrund havnen med tiltag til forbedring af compliance og kommer med konkrete anbefalinger. På den baggrund modtager havnen skriftligt en årlig rapport med en vurdering og anbefalinger.

I denne sammenhæng er DPO’ens rolle, at:

  • Rådgive om databeskyttelse – på overordnet niveau om efterlevelse af
    lovgivningen, risici og praktisk implementering
  • Overvåge efterlevelse af databeskyttelseslovgivningen (politikker, uddannelse, oplysningskampagner, ansvarsfordeling, revision)
  • Underrette øverste ledelse om status og fremdrift

En DPO er en betroet funktion, og derfor er DPO’en underlagt særlig fortrolighed. DPO’ens opgave er, at tilse overholdelsen af de databeskyttelsesretlige regler i havnen, men det medfører ikke, at DPO’en overtager selve ansvaret for, at behandlingen af personoplysninger sker i overensstemmelse med reglerne. Det ansvar pålægger stadig havnen som dataansvarlig.

For at sikre at DPO’en inddrages tilstrækkeligt og rettidigt, er organisationen forpligtet til at holde DPO’en tilstrækkeligt og rettidigt orienteret om alle spørgsmål om beskyttelse af personoplysninger. Derfor er havnene forpligtede til at sørge for rettidig inddragelse af DPO, i det tilfælde at der ændres radikalt på håndtering af persondata i organisationen.

Det får havnen ud af DPO’en

Med en DPO opfylder selvstyrehavnen et krav i lovgivningen og får med DPO’en hjælp og ekspertbistand til at opnå en større kontrol med havnens behandling og beskyttelse af persondata, så lovgivningen overholdes. Derudover rådgiver og vejleder DPO’en i den situation, hvor havnen konstaterer et databrud og fungerer som en juridisk databeskyttelses hotline, hvor der løbende kan stilles spørgsmål. Samtidig vil et årligt gennemsyn af havnens håndtering af persondata i forvejen være nødvendigt for mange havne, og det er netop det gennemsyn som DPO’en bidrager til.

Danske Havnes DPO-model

Danske Havne etablerer en brugerbetalt DPO-ordning for selvstyrehavnene(1), for at undgå en situation hvor hver enkelt havn skal løse opgaven individuelt. Danske Havne leverer en model, hvor havne tilmeldt ordningen lever op til lovkravet om at udpege en DPO og samtidig modtager ekspertbistand på databeskyttelsesområdet, ud fra ovenstående beskrivelse af DPO’ens rolle. En DPO i regi af Danske Havne vil medføre deling af best-practice på persondataområdet og reducere omkostninger for den enkelte havn(2).

Pris: 20.000 kr. årligt.
For at tilmelde sig ordningen, kontakt Eva Fiil Nielsen, PA/Policy Advisor i Danske Havne på efn@danskehavne.dk eller direkte mobil 6171 0706.

En forudsætning for ordningen, er, at der er tilstrækkelig med tilmeldinger.

  1. Danske Havnes bestyrelse traf på bestyrelsesmøde d. 28-29 november 2017 beslutning om, at Danske Havne løfter opgaven omkring DPO’s for selvstyrehavnene ved at etablere en brugerbetalt ordning.
  2. Undersøgelse blandt 3 virksomheder, der tilbyder en ekstern DPO service angav et prisniveau på 20.000 kr. månedligt for en service sammenlignelig med ovenstående.