Hvis du er dataansvarlig og virksomhedsejer, så har du mere end en gang ligget søvnløs over begreberne GDPR og databeskyttelse. Det kan være en jungle at navigere i de mange betegnelser og ikke mindst foretage de nødvendige tiltag vedrørende databeskyttelse.

Du gør dit bedste for hele tiden at optimere, beskytte og værne om de persondata, som virksomheden behandler, eksempelvis oplysninger på dine kunder og ansatte. I den forbindelse er du stødt på endnu en betegnelse, nemlig DPO, for du har hørt i kontorkrogene og til netværksmøderne, at det er et krav til virksomheder, at de skal ansætte en Data Protection Officer i forbindelse med databeskyttelsesloven.

Nu er eftersøgningen om flere informationer omkring en DPO sat i gang, da det i høj grad kræver en forklaring. Men er det nu også et krav til virksomheder? Og hvad laver en DPO egentlig?

Artiklen kaster lys over en DPO’s rolle i virksomheder og organisationer, samt i hvilke tilfælde det er en forpligtigelse at udpege en person til at varetage stillingen som DPO.

Hvad er en DPO?

DPO står for Data Protection Officer. Det er stillingsbetegnelsen på en person, der udnævnes til det, som vi på dansk kalder for en databeskyttelsesrådgiver.

Overordnet set har personen til opgave at hjælpe med, at behandlingen af personoplysninger, i blandt andet en virksomhed, sker i henhold til databeskyttelsesloven. Det skal både ses i forhold til hvilke personoplysninger der behandles, og hvordan disse oplysninger behandles.

Der er tale om personoplysninger på kunder, ansatte og andre registrerede brugere.

Forskel på en dataansvarlig og databeskyttelsesrådgiver

Der er forskel på en dataansvarlig og databeskyttelsesrådgiver.

Databeskyttelsesrådgiveren udpeges af den dataansvarlige. En data protection officer eller databeskyttelsesrådgiver hjælper og rådgiver den dataansvarlige efter bedste evne, men det er den dataansvarlige, som i sidste ende står med ansvaret, hvis databeskyttelsesloven ikke overholdes. Databeskyttelsesrådgiveren kan ikke stilles til ansvar.

En DPOs arbejdsopgaver

Der er helt konkrete arbejdsopgaver, DPO’en som minimum skal varetage. Her følger et udpluk af de overordnede opgaver:

  • Rådgive om databeskyttelsesloven for de ansatte og ledelsen
  • Være opmærksom på overholdelse af reglerne ved databeskyttelsesloven
  • Rådføre ved udarbejdelse af konsekvensanalyser

Du kan læse om flere opgaver og uddybende beskrivelser til de nævnte arbejdsopgaver, som skal håndteres af DPO’en her.

Krav til en data protection officer

Der er ingen specifikke krav til uddannelsesbaggrund, og udpegelsen vil derfor ske på baggrund af personens faglige kvalifikationer. Der stilles krav til vedkommendes evner indenfor databeskyttelsesret- og praksis.

En virksomhed eller organisation vurderer selv, hvem der egner sig bedst til stillingen som DPO. Det betyder i princippet, at ansatte i en virksomhed kan komme i betragtning til jobbet. Det betyder også, at virksomheden kan vælge en ekstern person, altså en person som ikke er ansat, hvis den rette eksempelvis ikke er at finde i virksomheden.

Hvornår skal din virksomhed have en DPO?

Der er grundlæggende tre betingelser, hvor private virksomheder er forpligtede til at indstille en person til at være DPO. Bemærk, at det er alle tre betingelser, som skal være opfyldt, før din virksomhed er forpligtet til at udpege en person til stillingen. Det vil sige, at opfylder virksomheden kun en ud af de tre betingelser, er den således ikke forpligtet.

De tre betingelser er:

  1. Kerneaktiviteten i virksomheden er behandling af personoplysninger
  2. Der sker behandling af personoplysninger i et stort omfang
  3. Behandlingen af oplysninger består i regelmæssig og systematisk overvågning af personer. Det gælder også ved behandling af strafbare forhold og følsomme oplysninger.

De fleste private virksomheder vil som udgangspunkt behandle en eller anden form for personoplysninger, blandt andet foregår en hel del af behandlingerne i en HR-afdeling. I dette tilfælde er det ikke en forpligtelse at udpege en person til data protection officer, da Datatilsynet vil betegne behandlingen af oplysninger, i eksempelvis HR-afdelingen, som en gængs behandling af data.

Sagen er helt anderledes, når det kommer til offentlige myndigheder. De er altid forpligtede til at have en databeskyttelsesrådgiver. Læs mere om det her.

Mere om en data protection officer

Det kan virke komplekst, og kan kræve et par gennemlæsninger eller tre, når samtalen falder på emnerne DPO, GDPR og databeskyttelse, hvorfor du som dataansvarlig og virksomhedsejer med fordel kan læse videre om emnerne. Husk, at det altid er dit ansvar at have styr på den gældende lovgivning på området.

Du bør tage et nærmere kig på Datatilsynets beskrivelser om en Data Protection Officer, GDPR og databeskyttelse. Du finder uddybende informationer her.