Ikke alle virksomheder skal have en DPO

Kort fortalt skal din virksomhed have en DPO, hvis:

  • Jeres kerneaktivitet er behandling af personoplysninger,
  • Der sker behandling af personoplysninger i et stort omfang, og
    • behandlingen er regelmæssig og systematisk overvågning af personer eller
    • behandlingen omfatter følsomme oplysninger eller oplysninger om strafbare forhold.

Virksomheder, hvis produkt eller tjeneste direkte består i behandling af personoplysninger, vil skulle have en DPO, da deres kerneaktivitet er behandling af personoplysninger.

Man skal derfor have en DPO, hvis man som hovedaktivitet i virksomheden tilbyder eksempelvis cloud computing, hosting af hjemmesider/data, søgemaskiner, teleselskab, markedsundersøgelser, er internetudbyder eller har apps baseret på personoplysninger.

Virksomheder, hvis kerneaktivitet består af behandling af personoplysninger, skal dog også opfylde de to øvrige betingelser, førend virksomheden er forpligtet til at udpege en DPO.

Behandlingen skal nemlig også ske i et stort omfang, hvilket vil sige, at der skal være tale om en stor mængde personoplysninger, oplysninger om et stort antal personer, behandling af lang varighed og/eller stor geografisk udstrækning af behandlingsaktiviteterne.

Som eksempler på virksomheder nævner Datatilsynet i deres vejledning søgemaskiner og tele- og internetudbydere, der behandler personoplysninger i stort omfang.

Sidst, men ikke mindst, skal man også behandle data ved regelmæssig og systematisk overvågning af personer, eller man skal behandle følsomme oplysninger eller oplysninger om strafbare forhold.

Regelmæssig og systematisk overvågning af personer sker typisk, hvis man tilbyder lokalitetstracking via apps, adfærdsbaseret annoncering, e-mail retargeting, loyalitetsprogrammer eller har tilsluttede enheder som f.eks. intelligente målere.

Hvor skal en DPO placeres?

Da en DPO skal være uafhængig og i stand til at udøve uvildig rådgivning til virksomheden, må en DPO ikke være den øverste IT-ansvarlige eller den øverste HR-ansvarlige i virksomheden.

Det kan imidlertid både være en intern medarbejder, en ekstern konsulent eller en fælles ansat for hele eller flere virksomheder, der fungerer som DPO.

Kravene til DPO’ens position i virksomheden afhænger af den enkelte virksomhed, og det er således en konkret vurdering fra virksomhed til virksomhed, hvilken løsning der vil fungere bedst.

DPO’en bliver typisk en integreret del af organisationen, og han/hun kan derfor også med fordel have andre opgaver for virksomheden.

Hvis I vurderer, at I ikke har pligt til at ansætte en DPO, er det altid en god ide at dokumentere jeres overvejelser.

Her kan man læse Datatilsynets Vejledning om databeskyttelsesrådgivere.
I kan også læse EU’s guidelines til Data Protection Officers (DPO’s).