GDPR 4 år

GDPR 4 år – hvad har vi lært?

GDPR 4 år-status med Kasia Torian, Advokat, Director hos Lundgrens Advokatpartnerselskab og formand for Danmarks DPO-Forening

Er DPO'erne blevet helt fortrolige med håndtering af GDPR og at skabe interne retningslinjer internt i organisationen, der gør, at virksomheden er compliant?

Ja, i den grad.

Hvilke udfordringer var de største for DPO’ en, da forordningen trådte i kraft?

Det var tiden for at nå at leve op til GDPR-reglerne og manglende ressourcer til alle compliance-opgaverne herunder sørge for et overblik over dataflow i virksomheden. Det er stadig en udfordring.

Læs, hvordan DPO’en fra Fibia og Waoo får hjælp af MOCH’s platform, der kræver ”et minimum af manuel håndtering”, som han beskriver det.

Hvilke udfordringer er de største her 4 år efter for DPO’en?

Det er, når vi i databehandleraftaler ser en underdatabehandler, der overfører vores data til et usikre tredjeland som USA uden overførelsesgrundlag og supplerende foranstaltninger for at sikre databeskyttelsen i tredjelandet er lig databeskyttelsen i EU.

Er der områder inden for GDPR, som tegner sig til at blive særlige fokusområder her i 2022? Hvilke og hvorfor?

Ja, den nye principaftale om transatlantiske overførsler af personoplysninger fra EU Kommissionen bliver et klart fokusområde for 2022.

Det nye Trans-Atlantic Data Privacy Framework skal gøre det muligt igen at overføre personoplysninger mellem EU og USA. Efter den såkaldte Schrems II-afgørelse, som ophævede den kommissionsbeslutning, der tidligere gjorde disse overførsler mulige.

Det kan ikke gå hurtigt nok at nå til enighed med USA om en ordning, der tillader udveksling af personoplysninger på tværs af Atlanten. Men, aftalen er indtil videre alene en aftale om de overordnede linjer.

Den er dermed endnu ikke så konkret, at den gør nogen forskel for virksomheder, der overfører personoplysninger til USA. Det skyldes, at der endnu ikke er noget nyt overførselsgrundlag og tilstrækkelighedsvurdering.

Virksomheder, der allerede i dag ønsker at overføre personoplysninger til USA, skal derfor fortsat etablere et muligt overførselsgrundlag.

Når aftalen er færdig, kommer der sandsynligvis en udtalelse fra Det Europæiske Databeskyttelsesråd (EDPB) om aftalen lever op til de krav, der blev opstillet af EU-domstolen i forbindelse med Schrems II-dommen. 

Hvor vigtigt er det at skabe awareness internt i organisationen for at lette DPO’ens arbejde i hverdagen?

Awareness internt er vigtigt, fordi databeskyttelse skal være en del af kulturen i en virksomhed. DPO’en eller GDPR-eksperten skal ikke være en “one-man-army”.

Du kan også melde dig ind i Danmarks DPO-forening for at blive en del af et netværk, hvor der bliver delt viden, erfaringer, og hvor du bliver opdateret på den nyeste praksis indenfor feltet.

Kan du fortælle lidt om jeres undersøgelse af trivsel blandt DPO’ er?

Danmarks DPO-Forening har for nyligt gennemført endnu en trivselsundersøgelse blandt foreningens 360 medlemmer, hvoraf 61 har svaret. Umiddelbart ser det ud til, at arbejdsglæden blandt DPO’er og GDPR-eksperterne er steget over de sidste to år, og det er nu næsten 75 pct. af dem, som altid eller næsten altid glæder sig til at komme på arbejde. 

Samtidig er der også fremgang at spore hos DPO’er og GDPR-eksperters relationer til deres kollegaer og ledere, hvilket tyder på, at databeskyttelsesreglerne nu er blevet mere hverdag, og de fleste mennesker har taget dem til sig.  

Selvom arbejdsglæden er i vækst, så rapporterer flere dog også, at det kan være svært at finde tid til at løfte alle de opgaver, som tilfalder dem. De fleste DPO’er oplever ressourcemangel, og det vidner om en negligering af databeskyttelse og “går den, så går den” mentalitet hos virksomheder.  

Det er ofte, at DPO’erne og GDPR-eksperterne ikke føler sig inddraget tilstrækkeligt og rettidigt i spørgsmål vedrørende beskyttelse af personoplysninger. Der er desværre stadig DPO’er, der ikke kan udføre deres arbejde uden at modtage instruks. Disse DPO’er bliver presset til at nå bestemte konklusioner i forbindelse med arbejde som DPO, der er i modstrid med GDPR-artikel 38, stk. 3

Det er arbejdsgiver, den dataansvarlige, der bør sikre, at DPO’en ikke modtager instrukser vedrørende udførelsen af sine opgaver.

Hvad er dine tre bedste råd til DPO’en, når GDPR skal gribes an i 2022?

Sørg for at du har:  

  1. udarbejdet en realistisk årsplan for GDPR arbejdet i 2022 og awareness i virksomheden 
  2. sikret, at du har opdateret dataflows 
  3. sikret, at du har et overførelsesgrundlag samt evt. supplerende foranstaltninger ved overførsel af data til usikre tredjelande

Du kan hente vores tjekliste med 8 spørgsmål du bør stille, når du køber GDPR awareness træning herunder

Comments are closed.