Menu
Hvis du er dataansvarlig og virksomhedsejer, så har du mere end en gang ligget søvnløs over begreberne GDPR og databeskyttelse. Det kan være en jungle at navigere i de mange betegnelser og ikke mindst foretage de nødvendige tiltag vedrørende databeskyttelse.
Du gør dit bedste for hele tiden at optimere, beskytte og værne om de persondata, som virksomheden behandler, eksempelvis oplysninger på dine kunder og ansatte. I den forbindelse er du stødt på endnu en betegnelse, nemlig DPO, for du har hørt i kontorkrogene og til netværksmøderne, at det er et krav til virksomheder, at de skal ansætte en Data Protection Officer i forbindelse med databeskyttelsesloven.
Artiklen kaster lys over en DPO’s rolle i virksomheder og organisationer, samt i hvilke tilfælde det er en forpligtigelse at udpege en person til at varetage stillingen som DPO.
DPO står for Data Protection Officer. Det er stillingsbetegnelsen på en person, der udnævnes til det, som vi på dansk kalder for en databeskyttelsesrådgiver.
Overordnet set har personen til opgave at hjælpe med, at behandlingen af personoplysninger, i blandt andet en virksomhed, sker i henhold til databeskyttelsesloven. Det skal både ses i forhold til hvilke personoplysninger der behandles, og hvordan disse oplysninger behandles.
Der er tale om personoplysninger på kunder, ansatte og andre registrerede brugere.
Der er forskel på en dataansvarlig og databeskyttelsesrådgiver.
Databeskyttelsesrådgiveren udpeges af den dataansvarlige. En data protection officer eller databeskyttelsesrådgiver hjælper og rådgiver den dataansvarlige efter bedste evne, men det er den dataansvarlige, som i sidste ende står med ansvaret, hvis databeskyttelsesloven ikke overholdes. Databeskyttelsesrådgiveren kan ikke stilles til ansvar.
Der er helt konkrete arbejdsopgaver, DPO’en som minimum skal varetage. Her følger et udpluk af de overordnede opgaver:
Du kan læse om flere opgaver og uddybende beskrivelser til de nævnte arbejdsopgaver, som skal håndteres af DPO’en her.
Der er ingen specifikke krav til uddannelsesbaggrund, og udpegelsen vil derfor ske på baggrund af personens faglige kvalifikationer. Der stilles krav til vedkommendes evner indenfor databeskyttelsesret- og praksis.
En virksomhed eller organisation vurderer selv, hvem der egner sig bedst til stillingen som DPO. Det betyder i princippet, at ansatte i en virksomhed kan komme i betragtning til jobbet. Det betyder også, at virksomheden kan vælge en ekstern person, altså en person som ikke er ansat, hvis den rette eksempelvis ikke er at finde i virksomheden.
Der er grundlæggende tre betingelser, hvor private virksomheder er forpligtede til at indstille en person til at være DPO. Bemærk, at det er alle tre betingelser, som skal være opfyldt, før din virksomhed er forpligtet til at udpege en person til stillingen. Det vil sige, at opfylder virksomheden kun en ud af de tre betingelser, er den således ikke forpligtet.
De tre betingelser er:
De fleste private virksomheder vil som udgangspunkt behandle en eller anden form for personoplysninger, blandt andet foregår en hel del af behandlingerne i en HR-afdeling. I dette tilfælde er det ikke en forpligtelse at udpege en person til data protection officer, da Datatilsynet vil betegne behandlingen af oplysninger, i eksempelvis HR-afdelingen, som en gængs behandling af data.
Sagen er helt anderledes, når det kommer til offentlige myndigheder. De er altid forpligtede til at have en databeskyttelsesrådgiver. Læs mere om det her.
Det kan virke komplekst, og kan kræve et par gennemlæsninger eller tre, når samtalen falder på emnerne DPO, GDPR og databeskyttelse, hvorfor du som dataansvarlig og virksomhedsejer med fordel kan læse videre om emnerne. Husk, at det altid er dit ansvar at have styr på den gældende lovgivning på området.
Du bør tage et nærmere kig på Datatilsynets beskrivelser om en Data Protection Officer, GDPR og databeskyttelse. Du finder uddybende informationer her.