Databeskyttelsesforordningen stiller i nogle tilfælde krav til, at der skal udnævnes en DPO i organisationen. Men som privat virksomhed er der visse betingelser, der skal være opfyldt, før det er aktuelt.
Læs med neden for, hvor vi forklarer, hvad en DPO er, hvornår din organisation skal udnævne én og ikke mindst hvem det i så fald kan være.
Hvad er en DPO?
DPO er en forkortelse for det engelske Data Protection Officer, der dækker over det, vi på dansk kalder en databeskyttelsesrådgiver. Dog bruges det mere mundrette DPO også ofte i danske organisationer.
Overordnet er det DPO'ens opgave at rådgive og føre opsyn med den dataansvarlige i forbindelse med GDPR-lovgivningen og behandlingen af personoplysninger.
- varetage kontakten med tilsynsmyndigheder
- holde opsyn med databeskyttelsen i organisationen
- rådgive medarbejdere såvel som ledelse om databeskyttelsesloven
- bistå i forbindelse med eventuelle databrud.
LÆS OGSÅ: Persondataforordningen: Pligter og rettigheder
Hvornår skal man have en DPO?
Databeskyttelsesforordningen stiller krav til offentlige myndigheder og offentlige organer, der altid skal have en DPO. Uanset om de er dataansvarlige eller databehandlere.
For private virksomheder gælder, at der skal udpeges en DPO, hvis de tre nedenstående betingelser er opfyldt:
1) Virksomheden har som kerneaktivitet at behandle personoplysninger
Med "kerneaktiviteter" menes centrale aktiviteter, der er nødvendige for at opnå organisationens mål.
En kerneaktivitet kan eksempelvis være behandling af patientjournaler på hospitalet. Modsat betragtes behandling af personoplysninger i forbindelse med HR og kundesupport ikke som kerneaktiviteter, men derimod som biaktiviteter.
2) Virksomheden behandler personoplysninger i et stort omfang
Det kan være svært at definere, hvad et "stort omfang" er, men som organisation kan I stille jer selv følgende spørgsmål:
- Hvor mange personer behandles der oplysninger om?
- Hvor mange forskellige personoplysninger behandles?
- Hvor længe behandles oplysningerne?
- Hvad er behandlingens geografiske udstrækning?
3) Virksomheden udfører regelmæssig overvågning eller behandling af følsomme oplysninger
Sidst men ikke mindst skal persondatabehandlingen omfatte en af nedenstående forhold, hvis kravet om en DPO skal være gældende:
- regelmæssig og systematisk overvågning af personer
- følsomme oplysninger eller oplysninger om strafbare forhold.
LÆS OGSÅ: Håndtering af databrud - hvad skal du gøre?
Hvem kan få stillingen som DPO?
Ifølge databeskyttelsesforordningen kan DPO'en enten være medarbejder hos den dataansvarlige, eller vedkommende kan tilknyttes som ekstern konsulent.
Der findes ingen specifikke krav til DPO'ens uddannelse, og derfor bør udnævnelsen bygge på faglige kvalifikationer og ekspertise inden for databeskyttelsesret og -praksis.
Uanset om organisationen udpeger en intern eller ekstern DPO, skal vedkommende kunne handle uafhængigt. Det betyder, at der ikke må gives instruktioner vedrørende vedkommendes opgaver, ligesom DPO'en ikke må afskediges eller straffes for at udføre sit arbejde.
Samtidig er det værd at bemærke, at DPO'en ikke må være leder eller beslutningstager inden for områder i organisationen, der træffer beslutninger om behandling af personoplysninger.
Hvem har ansvaret for personoplysningerne?
Med en DPO i organisationen er det nærliggende at antage, at vedkommende bærer ansvaret for behandlingen af personoplysninger. Det er dog ikke rigtigt. Det er altid den dataansvarlige, der har det fulde ansvar for, at behandlingen af personoplysninger sker efter forskrifterne.
Det betyder, at det altid vil være den dataansvarlige, der sanktioneres, hvis databeskyttelsesreglerne ikke overholdes – også selvom det skyldes forkert rådgivning fra DPO'en.
