Her på siden kan du læse, om din virksomhed er forpligtet til at udpege en DPO, og hvilken rolle den dataansvarlige og DPO’en har i virksomhedens behandlingsaktiviteter.
Hvad er en databeskyttelsesrådgiver?
Når en virksomhed eller organisation lever op til en række krav, skal den udpege en DPO. DPO’en skal arbejde for, at behandling af persondata sker i overensstemmelse med databeskyttelsesreglerne – men det er stadigvæk den dataansvarlige, som har det egentlige ansvar for det.
DPO’ens opgaver
DPO’ens opgaver omfatter bl.a.:
- Kontakt med tilsynsmyndigheder, herunder Datatilsynet
- Opsyn med databeskyttelsen i virksomheden
- Rådgivning af medarbejdere om databeskyttelse
- Orientering af ledelsen om dens forpligtelser mht. databeskyttelse
- Vejledning i forbindelse med registrerede personers forespørgsler og anmodninger, og evt. håndtering af klager fra disse
- Bistand i forbindelse med databrud
Skal min virksomhed have en DPO?
Databeskyttelsesforordningen kræver, at der udpeges en DPO, hvis de tre nedenstående betingelser alle er opfyldt.
Modsat offentlige myndigheder behøver de fleste private virksomheder ikke at udpege en DPO. Alligevel kan det for nogle virksomheder være nyttigt at udpege en sådan rådgiver på frivillig basis.
1) Det er virksomhedens kerneaktivitet at behandle personoplysninger
Den første betingelse er, at behandling af personoplysninger skal være virksomhedens kerneaktivitet.
”Kerneaktiviteter” betragtes som de centrale aktiviteter, der er nødvendige for at opnå den dataansvarliges eller databehandlerens mål. Fx skal behandling af sundhedsdata som patientjournaler betragtes som en af ethvert hospitals kerneaktiviteter, og hospitaler skal derfor udpege en databeskyttelsesrådgiver. På den anden side har alle virksomheder brug for at udføre visse støtteaktiviteter som fx at betale løn til deres ansatte. Dette er en nødvendig støttefunktion for virksomheden. Selvom disse aktiviteter er nødvendige eller vigtige, så betragtes de normalt som biaktiviteter, der understøtter virksomhedens hovedaktivitet.
Fx betragtes behandling af personoplysninger i forbindelse med HR, online bookingsystem og kundesupport ikke som kerneaktiviteter.
2) Der behandles personoplysninger i et stort omfang
Når det skal afgøres, om der er tale om ”et stort omfang”, ser man på flg. spørgsmål:
- Hvor mange personer behandles der oplysninger om?
- Hvor mange (forskellige) personoplysninger behandles?
- Hvor længe behandles oplysningerne?
- Hvad er behandlingens geografiske udstrækning?
3) Regelmæssig overvågning eller behandling af følsomme oplysninger
Den tredje betingelse for krav om en DPO er, at persondatabehandlingen
- består i regelmæssig og systematisk overvågning af personer, eller
- vedrører følsomme oplysninger eller oplysninger om strafbare forhold
Begrebet om regelmæssig og systematisk overvågning af registrerede er ikke defineret i forordningen, men inkluderer klart alle former for sporing og profilering på internettet, herunder med henblik på adfærdsbaseret annoncering.
Hvem kan udpeges til DPO?
Ifølge databeskyttelsesforordningen kan databeskyttelsesrådgiveren være medarbejder hos den dataansvarlige (intern DPO) eller vedkommende kan ”udføre hvervet på grundlag af tjenesteydelseskontrakt” – altså være ekstern.
Kvalifikationer
Databeskyttelsesforordningen kræver, at DPO’en "udpeges på grundlag af sine faglige kvalifikationer, navnlig ekspertise inden for databeskyttelsesret og -praksis samt evne til at udføre de opgaver, der er omhandlet".
Den nødvendige ekspertise bør fastlægges i henhold til de databehandlingsaktiviteter, der foretages, og den beskyttelse de behandlede personoplysninger kræver. Hvis databehandlingen eksempelvis er særlig kompleks, eller hvor der behandles følsomme data i stort omfang, kan databeskyttelsesrådgiveren have brug for en højere grad af ekspertise og støtte.
Uafhængighed
Databeskyttelsesrådgiveren skal kunne handle uafhængigt, og derfor skal virksomheden overholde følgende:
- Der må ikke gives instruktioner fra dataansvarlige eller databehandlere vedrørende DPO’ens udøvelse af sine opgaver
- Den dataansvarlige må ikke straffe eller afskedige DPO’en for udførelsen af sine opgaver
- Der må ikke eksistere en interessekonflikt med eventuelle andre opgaver og pligter
Vejledningerne siger også, at DPO’en ikke må være leder/beslutningstager inden for områder i virksomheden, hvor der træffes beslutninger om behandling af personoplysninger. Det betyder, at det i mange mindre og mellemstore virksomheder kan være vanskeligt at pege på en intern DPO, fordi vedkommende ikke selv må træffe beslutninger om persondata, men samtidig skal have kompetencer til at varetage stillingen.
Det er også vigtigt at understrege, at det er den dataansvarlige, som har det fulde ansvar for behandlingen af personoplysninger. Selvom det skyldes misvisende rådgivning fra DPO’en, er det den dataansvarlige, som sanktioneres, hvis databeskyttelsesreglerne ikke overholdes.
Hvilket ansvar har den dataansvarlige?
Den dataansvarlige har først og fremmest ansvaret for at udpege en DPO, hvis de tre betingelser fra databeskyttelsesforordningen er opfyldt. Derudover kræver forordningen, at virksomheden støtter databeskyttelsesrådgiveren ved at "tilvejebringe de nødvendige ressourcer til at udføre dennes opgaver, tilgå personoplysninger og behandlingsaktiviteter samt til opretholdelse af databeskyttelsesrådgiverens ekspertise". Det afhænger således af virksomhedens størrelse og arten af de databehandlingsaktiviteter, der udføres, hvilke ressourcer der skal stilles til rådighed for databeskyttelsesrådgiveren.
I tvivl om virksomheden skal have en DPO?
Er du i tvivl om, hvorvidt din virksomhed kan have fordel af en DPO, kan du spørge en af vores advokater med ekspertise i persondata til råds.
Skal vi hjælpe dig og din virksomhed til sikker håndtering af jeres persondata?