DPO (Databeskyttelsesrådgiver)
En DPO (Data Protection Officer) eller databeskyttelsesrådgiver er en person, der rådgiver virksomheden om GDPR-compliance og fungerer som kontaktpunkt til Datatilsynet. Visse virksomheder er forpligtet til at udpege en DPO, men alle kan vælge at gøre det frivilligt.
Hvornår er en DPO påkrævet?
En DPO er obligatorisk i tre tilfælde: Når behandlingen foretages af en offentlig myndighed eller et offentligt organ (undtagen domstole); når virksomhedens kerneaktivitet består af behandlingsaktiviteter, der kræver regelmæssig og systematisk overvågning af registrerede i stort omfang; eller når kerneaktiviteten består af behandling af særlige kategorier af data (følsomme oplysninger) eller straffedomme i stort omfang. I Danmark har Datatilsynet vejledt om, at 'stort omfang' typisk omfatter behandling af data om mere end 5.000 registrerede.
DPO'ens opgaver
DPO'en har flere lovbestemte opgaver: at informere og rådgive den dataansvarlige eller databehandleren og dennes ansatte om forpligtelserne i GDPR; at overvåge overholdelsen af GDPR, herunder tildelingen af ansvar, bevidstgørelse og uddannelse af personale; at rådgive om konsekvensanalyser vedrørende databeskyttelse (DPIA) og overvåge gennemførelsen; at samarbejde med Datatilsynet; og at fungere som kontaktpunkt for Datatilsynet og de registrerede.
Uafhængighed og beskyttelse
DPO'en skal have en uafhængig stilling i virksomheden. Det betyder, at DPO'en ikke må modtage instrukser vedrørende udøvelsen af sine opgaver, ikke må afskediges eller straffes for at udføre sine opgaver, og skal rapportere direkte til den øverste ledelse. DPO'en kan have andre opgaver i virksomheden, men der må ikke være interessekonflikter. Typisk kan en IT-chef eller HR-chef ikke samtidig være DPO, da de træffer beslutninger om databehandling.
Intern eller ekstern DPO
En DPO kan enten være en ansat i virksomheden eller en ekstern konsulent, der varetager funktionen på kontraktbasis. Mange mindre virksomheder vælger en ekstern DPO for at sikre den nødvendige ekspertise og uafhængighed. Uanset om DPO'en er intern eller ekstern, skal virksomheden offentliggøre kontaktoplysningerne og meddele dem til Datatilsynet.
Vigtigste punkter
- Obligatorisk for offentlige myndigheder og visse private virksomheder
- Skal have uafhængig stilling og rapportere til øverste ledelse
- Opgaver omfatter rådgivning, overvågning og kontakt til Datatilsynet
- Kan være intern ansat eller ekstern konsulent
- Må ikke have interessekonflikter med andre roller i virksomheden