Find ud af, hvornår du skal have en Data Protection Officer (DPO), og hvilke krav en databeskyttelsesansvarlig skal opfylde.
En Data Protection Officer (DPO) er en form for intern databeskyttelsesombudsmand, der skal understøtte, at virksomheden overholder reglerne i persondataforordningen.
Personen skal inddrages i alle spørgsmål, der drejer sig om databeskyttelse, og er også virksomhedens kontaktperson til Datatilsynet.
Ikke alle virksomheder skal have en DPO
Kort fortalt skal din virksomhed have en DPO, hvis:
- Jeres kerneaktivitet er behandling af personoplysninger,
- Der sker behandling af personoplysninger i et stort omfang, og
- behandlingen er regelmæssig og systematisk overvågning af personer eller
- behandlingen omfatter følsomme oplysninger eller oplysninger om strafbare forhold.
Virksomheder, hvis produkt eller tjeneste direkte består i behandling af personoplysninger, skal have en DPO. Det skal de, da deres kerneaktivitet er behandling af personoplysninger.
Man skal derfor have en DPO, hvis man f.eks. tilbyder cloud computing, hosting, søgemaskiner, og markedsundersøgelser. Det samme gør sig gældende, hvis man er tele- eller internetudbyder – eller har apps baseret på personoplysninger.
Man skal dog også opfylde de to øvrige betingelser, førend virksomheden er forpligtet til at udpege en DPO.
Behandlingen skal nemlig også ske i et stort omfang. Det vil sige, at der skal være tale om en stor mængde personoplysninger, et stort antal personer, behandling af lang varighed og/eller stor geografisk udstrækning af aktiviteterne.
Som eksempler på virksomheder nævner Datatilsynet i deres vejledning søgemaskiner og tele- og internetudbydere, der behandler personoplysninger i stort omfang.
Sidst, men ikke mindst, skal man også behandle data ved regelmæssig og systematisk overvågning af personer, eller man skal behandle følsomme oplysninger eller oplysninger om strafbare forhold.
Regelmæssig og systematisk overvågning af personer sker typisk, hvis man tilbyder lokalitetstracking via apps, adfærdsbaseret annoncering, e-mail retargeting, loyalitetsprogrammer eller har tilsluttede enheder som f.eks. intelligente målere.
Hvor skal en DPO placeres?
Da en DPO skal være uafhængig og i stand til at udøve uvildig rådgivning til virksomheden, må en DPO ikke være den øverste IT-ansvarlige eller den øverste HR-ansvarlige i virksomheden.
Det kan imidlertid både være en intern medarbejder, en ekstern konsulent eller en fælles ansat for hele eller flere virksomheder, der fungerer som DPO.
Kravene til DPO’ens position i virksomheden afhænger af den enkelte virksomhed, og det er således en konkret vurdering fra virksomhed til virksomhed, hvilken løsning der vil fungere bedst.
DPO’en bliver typisk en integreret del af organisationen, og han/hun kan derfor også med fordel have andre opgaver for virksomheden.
Hvis I vurderer, at I ikke har pligt til at ansætte en DPO, er det altid en god ide at dokumentere jeres overvejelser.
Her kan man læse Datatilsynets Vejledning om databeskyttelsesrådgivere.
I kan også læse EU’s guidelines til Data Protection Officers (DPO’s).
Hvis du vil vide mere
Du kan altid få hjælp og finde svar på vores temaside om persondataforordningen eller deltage i en af vores arrangementer om emnet.
Er du generelt interesseret Etik, Privacy og sikkerhed, skal du måske være med i IT-Branchens it-sikkerhedsudvalg. Kontakt Martin Jensen Buch, hvis du vil høre mere om, hvad udvalget laver.