DPO – HVAD ER DET, OG HVORNÅR SKAL MAN HAVE EN?

DPO – Hvad er det?

DPO står for ”Data Protection Officer”. På dansk kaldes DPO’en for databeskyttelsesrådgiver. DPO’ens opgave er at fungere som en slags ombudsmand ved at have indseende i virksomhedens databehandling og hjælpe til med at overholde forordningen. Han skal yde rådgivning til virksomheden overvåge deres persondatabehandling.

En virksomhed kan være forpligtet til at ansætte en DPO, eller den kan gøre det frivilligt. Hvis man ansætter en DPO, øger man klart chancerne for at overholde forordningen. Det sender også et godt signal til samarbejdspartnere, især hvis virksomheden er leverandør til det offentlige. Nogle virksomheder vil måske fremover kræve, at deres samarbejdspartnere ansætter en DPO, før de vil videregive personoplysninger.

En DPO kan både være ansat direkte i virksomheden, eller han kan udfylde rollen på konsulentbasis. Koncernforbundne virksomheder kan deles om en DPO. Desuden kan man også tildele DPO-rollen til en nuværende ansat, der varetager sine almindelige opgaver ved siden af, men der må ikke opstå nogen interessekonflikt, og personen skal have den fornødne ekspertise. Medarbejderen må ikke være en del af ledelsen eller have en anden ledende stilling i virksomheden.

Hvem skal have en DPO?

Det er naturligvis vigtigt for en virksomhed at vide, om den er forpligtet efter forordningen til at ansætte en DPO. Det kan sanktioneres med bøde, hvis man ikke lever op til en sådan pligt.
Det fremgår af forordningen, at man er forpligtet til at ansætte en DPO, når:

Virksomheden har en kerneaktivitet, der består af regelmæssig og systematisk overvågning
Virksomheden har en kerneaktivitet, der består af behandling af følsomme personoplysninger og oplysninger om strafbart forhold i stort omfang
Din organisation anses som en offentlig myndighed, lige meget hvor få følsomme oplysninger, der behandles

”Kerneaktivitet” skal forstås som hovedaktivitet. Er det kun en lille del af virksomhedens service, der kræver behandling af følsomme oplysninger eller regelmæssig og systematisk overvågning, vil det ikke være påkrævet at ansætte en DPO.
Dernæst skal behandlingen af følsomme oplysninger ske i ”stort omfang”. Her kan man lægge vægt på antallet af personer, mængden af data og varigheden af behandlingen. Artikel 29-gruppen (groft sagt det europæiske datatilsyn) har udtalt, at en enkelt læges eller en enkelt advokats behandling af fælsomme oplysninger næppe er behandling af oplysninger ”i stort omfang”.
”Overvågning” skal, udover traditionel tv-overvågning, også forstås som online overvågning og sporing.

Det er vigtigt at huske på, at man ikke er forpligtet til at ansætte en DPO, bare fordi man behandler følsomme oplysninger eller foretager systematisk overvågning. Disse behandlinger skal også være virksomhedens kerneaktivitet som beskrevet ovenfor.

I mange tilfælde er der ikke noget klart svar på, om din organisation er forpligtet til at have en DPO. Usikkerhed er ofte et grundvilkår i persondataretten, da reglerne er udformet som afvejningsregler. I tvivlstilfælde vil det blive muligt at rette henvendelse til Datatilsynet og få deres vurdering, om end man nok kan forvente længere sagsbehandlingstider i tiden op til forordningens ikrafttræden.

Forholdet mellem DPO og arbejdsgiver

Hvis din organisation er forpligtet til at have en DPO, skal ansættelsesforholdet leve op til visse krav i forordningen. DPO’en skal have de nødvendige, faglige kvalifikationer. Det skal offentliggøres, hvem der er DPO for din organisation sammen med vedkommendes kontaktoplysninger, og der skal ske anmeldelse til Datatilsynet. Hvis man vælger at ansætte en DPO frivilligt, er det de danske myndigheders opfattelse, at man skal leve op til de samme regler, som hvis ansættelsen var obligatorisk. Dog kan godt tildele en medarbejder rollen som ”ansvarlig” for persondatahåndteringen i virksomheden, uden der formelt er tale om en DPO, hvorefter ansættelsesforholdene firt kan bestemmes efter aftale og de almindelige ansættelsesretlige regler.

DPO’en skal inddrages i alle væsentlige spørgsmål om persondatabehandling, og han skal have de nødvendige ressourcer til at varetage denne opgave. DPO’en skal være uafhængig af arbejdsgiveren i den forstand, at han ikke må mødes med sanktioner for at udføre sine opgaver (heriblandt afskedigelse), og han skal referere til den øverste ledelse inden for organisationen. Udadtil skal de registrerede have mulighed for at kontakte DPO’en og få rådgivning om deres retsstilling. Indadtil i organisationen skal DPO’en rådgive om reglerne og overvåge, at reglerne bliver overholdt.

Hvis man vil vide mere om DPO’en har både de danske myndigheder og den fælleseuropæiske Artikel 29-gruppe udstedt vejledninger om spørgsmålet. Begge vejledninger kan findes inde på Datatilsynets hjemmeside.

Leoni Advokaters samarbejdspartnere

For at klæde dig godt på til de nye regler, har vi hos Leoni Advokater indledt et samarbejde med konsulentvirksomheden eNavigate, konsulentvirksomheden AKON og it-virksomheden n etI P.

På eNavigates hjemmeside vil vi i en række blogindlæg besvare spørgsmål i den nye persondataforordning, der vedrører digital markedsføring og eCommerce. På bloggen har du også mulighed for at stille os spørgsmål om persondata helt kvit og frit. Find bloggen her.

Implementering af forordningen stiller krav til din virksomheds it. Derfor har vi allieret os med it-virksomheden n etIP , der giver gode råd til, hvordan din virksomhed kan indrette sig it-teknisk.

netIP anbefaler - DPO’ens muligheder

Såfremt I skal, eller vælger at have en DPO (Data Protection Officer ) udpeget/ansat, bør vedkommende udover mandat og kompetencer, have mulighed for at danne sig overblik over virksomhedens behandling af data. Sandsynligvis må DPO’en skulle samarbejde med repræsentanter for hver enkelt afdeling/funktion, for at danne sig et overblik over databehandling og arbejdsgange.

Den efterfølgende opfølgning, i form af sikring og påvisning af, at databehandling fortsat er i overensstemmelse med reglerne og formål, kan selvfølgeligt også klares med besøg/kontakt hos den enkelte afdeling med jævne mellemrum. Hvis kontakten ”kun” er med jævne mellemrum er der dog en risiko for at utilsigtede hændelser i mellemtiden går ubemærkede hen, og det vil selvfølgeligt i en vis udstrækning forstyrre den sikkert travle hverdag, for de der tilspørges.

Som alternativ, eller bedre endnu som supplement, kan I tage værktøj i brug, der løbende logger, eller overvåger, hvad der sker på jeres systemer. Med det rette værktøj vil DPO’en, og andre for hvem det er relevant, kunne få overblik over både data-bevægelser og rettighedsændringer i jeres systemer, og chancen øges dermed for at eventuelle afvigelser fra vedtagne procedurer og rutiner fanges.

Persondatabeskyttelse kræver, at en virksomheds ansatte skal ændre deres vaner, og at kulturen i virksomheden udvikles. Det er ikke altid en let opgave at sætte skub i sådan en udvikling. Vi har derfor inviteret konsulentvirksomheden AKON til at give deres bud på, hvordan man bedst takler denne problemstilling.

AKON er en konsulentvirksomhed, der beskæftiger sig med rådgivning om psykisk arbejdsmiljø, ledelse & organisation og forretningsudvikling.

Ønsker du at vide mere?

Implementering af regler og paragraffer er aldrig i virksomhedens fokus – og sådan skal det også være. Der er ingen, der bliver erhvervsdrivende for at sidde og nusse med regnskaber, fakturaer, persondatabeskyttelse og andre administrative opgaver. Som virksomhedsleder skal du have fokus på det, du brænder for.

Vi er her for at løfte arbejdsbyrden for dig, så du har frie hænder til at lave det, der betyder noget for dig.

Leoni Advokater har fokus på persondataforordningen, hvis du ønsker at vide mere omkring dette, er du velkommen til at kontakte Bent Bro Miltersen som er Leoni Advokaters ekspert på området.

Nærværende materiale er udarbejdet til undervisningsbrug og kan ikke anvendes i forbindelse med løsning af konkrete problemstillinger. Såfremt du ønsker konkret rådgivning inden for persondataret, opfordres man til at henvende sig til Leoni Advokater med spørgsmål og problemstillinger.