En ny type stilling er på vej ind i danske virksomheder og offentlige organisationer. Navnet er Data Protection Officer (DPO), og skal man tegne et rids af en jobbeskrivelse, kunne det se sådan ud:
Du skal kunne arbejde på tværs af organisationen i stærkt samspil mellem alle forretningsområder og afdelinger. Du må ikke være bange for at stille dig op på en ølkasse for at tegne og fortælle om persondata og informationssikkerhed. At skrive guidelines til intranettet bliver en af dine opgaver. Du skal være klar til at koble kompleks jura med hands on- løsninger.
Det forklarer Lars Japp Haslund, advokat i Bech-Bruun og tidligere DPO i Rockwool-koncernen. Hans funktion var bl.a. at sikre, at Rockwool overholdt EU’s regler for, hvordan en global virksomhed kan overføre persondata mellem datterselskaber i EU og resten af verden. I dag rådgiver han som advokat private virksomheder og offentlige myndigheder om bl.a. EU’s nye forordning om persondata.
En hulens masse job på vej
Forordningen får store konsekvenser for danske arbejdspladser. Om mindre end to år skal visse virksomheder og alle offentlige myndigheder, der håndterer persondata, bl.a. oprette en DPO-stilling (se boks).
Indtil videre giver en søgning på Djøfs jobdatabase, jobunivers.dk, ingen hits på den titel. Men sikkert er det, at der kommer ”en hulens masse DPO-stillinger,” siger Lars Japp Haslund og oplyser, at tallet anslås at være 75.000 på europæisk plan.
”En del vil blive rekrutteret internt i organisationen fra forskellige afdelinger og forretningsområder. Jurister står stærkt, fordi DPO’en ifølge forordningen bør have ekspertise inden for persondatalovgivning. Men både personer i juridiske afdelinger, inden for compliance (efterlevelse af lovgivning, red. ), HR og IT kan være i spil, alt efter hvilke kompetencer ledelsen lægger vægt på. Dog kan ledende medarbejdere i disse afdelinger ikke være DPO, hvis de kan komme til at føre tilsyn med sig selv,” siger han.
Lars Japp Haslund fremhæver, at mange virksomheder og myndigheder vil blive overraskede over, hvor stor en opgave der venter dem.
”Større globale koncerner har allerede haft denne type stilling og er vant til at arbejde struktureret med compliance. Noget helt andet er fx en lille kommune, hvor man måske ikke har den fornødne ekspertise til at opfylde dette monster af en forordning. Der vil det måske opleves lidt dramatisk at skulle indfri de nye regler,” mener han.
DPO’en skal kunne koble juridiske aspekter med praktiske løsninger. Det sværeste bliver, forudser IT-advokaten, at ændre kulturen, både inden for det private og offentlige.
”DPO-ordningen bliver en papirtiger, hvis ikke medarbejderne efterlever reglerne. Mange tænker ikke over, at de måske udfører en masse handlinger, som er ulovlige efter forordningen. En stor opgave bliver awareness-træning,” fremhæver han.
Tillidsrepræsentant for data
De nye DPO’er skal fungere som selvstændige in house-rådgivere med direkte afrapportering til topledelsen. EU har i forordningen forsøgt at sikre, at DPO’en kan være en uafhængig, intern vagthund.
Ledelsen skal nemlig ikke kunne afskedige eller straffe en DPO for at have peget på problemer med persondatasikkerhed.
”Man vil beskytte DPO’en mod det indre tryk: At ledelsen siger, at ’det her gider vi ikke høre på – du er fyret.’ DPO’en får med forordningen en beskyttet stilling, som minder om den, vi kender fra tillidsmænd,” siger Lars Japp Haslund.
