Ordbog | Cegal

DPO (Data Protection Officer)

Skrevet af Redaktionen | 13-06-2023 09:28:12

Hvad er en DPO? 

Da GDPR blev indført i 2018, blev der fastsat krav til, hvordan overholdelse af loven skulle sikres. Blandt andet er det obligatorisk for nogle organisationer at udpege en Data Protection Officer (DPO), eller på dansk databeskyttelsesrådgiver, mens andre ikke er forpligtet til at udpege en DPO. For de fleste organisationer er det en fordel at udpege en rolle svarende til DPO, selvom det ikke er påkrævet.

Hvad gør en DPO? 

De data, som DPO'en er ansvarlig for
(beskrevet mere detaljeret i GDPR, artikel 39):

  • At informere og være rådgiver.
  • At overvåge regel-efterlevelse.
  • At rådgive og udføre DPIA (Data Protection Impact Analysis)
  • At samarbejde med tilsynsmyndigheden, i Danmark Datatilsynet.
  • At være kontaktperson for personer, hvis personoplysninger vi behandler.

DPO’en skal tage højde for de risici, der er forbundet med organisationens håndtering af personoplysninger.

Det er organisationens ansvar at sikre at DPO’en aktivt deltager og har adgang til de nødvendige ressourcer, samt at DPO’en har en stor grad af selvstændighed.

Det indebærer bl.a. at DPO’en skal:

  • Have direkte adgang til øverste ledelse.
  • Sikre, at registrerede har adgang til direkte kontakt med DPO’en.
  • Være underlagt tavshedspligt.
  • Sikre, at der ikke er nogen interessekonflikt, der stammer fra en anden funktion i organisationen. Det vil sige, at DPO’en ikke må have en opgave, der indebærer ansvar for behandling af personoplysninger eller sikkerhed i den forbindelse. (Der er fældende domme inden for EU, hvor DPO’en er blevet pålagt bøder, da de ikke blev anset for at være fri for interessekonflikter.)

Data Protection Officer er en bred rolle med fokus på at hjælpe organisationen med at handle i overensstemmelse med GDPR. Dette inkluderer blandt andet rådgivning, uddannelse, kravstilling og at fungere som kontaktperson.

Større og mere komplekse organisationer kan blive nødt til at etablere grupper med flere personer for at kunne håndtere arbejdsbyrden. Mindre eller mellemstore organisationer kan blive nødt til at ansætte en DPO, selvom arbejdsbyrden ikke er så stor, at en fuldtidsstilling er nødvendig. Dette, sammen med kravet om, at DPO'en ikke må komme i en interessekonflikt, gør, at det kan være passende at købe denne rolle som en tjeneste, også kendt som DPO-as-a-Service.

Hvilke organisationer skal have en DPO? 

Ifølge GDPR-forordningen skal en DPO udpeges, hvis:

  • Behandlingen af personoplysninger udføres af en myndighed eller en offentlig institution (dog ikke domstole i deres dømmende virksomhed).
  • Den dataansvarliges eller databehandlerens kerneaktivitet består af persondatabehandling, der kræver regelmæssig og systematisk overvågning af de registrerede i stort omfang, eller;
  • Den dataansvarliges eller databehandlerens primære aktivitet indebærer omfattende behandling af såkaldte følsomme personoplysninger eller oplysninger om lovovertrædelser.

Konkret skal alle myndigheder og offentlige virksomheder udpege en DPO.

For den private sektor bør der foretages en vurdering. Nøgleordene for denne vurdering er regelmæssig og systematisk overvågning, hvor stort et omfang og følsomme personoplysninger.
Hvis disse nøgleord passer på jeres organisation, bør I sandsynligvis udpege en DPO.

Selvom det obligatoriske krav ikke er opfyldt, er det en fordel, hvis organisationen sikrer, at tilsvarende opgaver udføres, men under en anden titel.

Skal en DPO være ansat?

En DPO behøver ikke at være ansat af organisationen. Det kan endda lette situationen ved at undgå interessekonflikter. Det kan også være svært for mange organisationer at finde en fuldtidsstilling og samtidig opretholde den nødvendige ekspertise for at fungere som DPO. I disse tilfælde vil det sandsynligvis være mere effektivt at ansætte en ekstern part til denne rolle.

Cegal og DPO

Når en virksomhed oplever et sikkerhedsbrud, påvirker det ikke kun virksomheden selv, men også dens samarbejdspartnere og kunder, hvis personlige oplysninger virksomheden har i sin besiddelse. Her skal DPO'en og IT-afdelingen vide, hvem de skal gå til.

Cegal hjælper kunderne med at bl.a. datasikkerhed for at undgå utilsigtet adgang til data, hærdning af databaser efter internationale standarder og ikke mindst at sikre en datastruktur der er mulig at genetablere, når behovet opstår, med så lidt tab af data som muligt.
Se hele indlægget