DPO – OFTE STILLEDE SPØRGSMÅL

Persondatalov: Et af de helt store emner i forbindelse med den kommende, nye lov om persondata er kravet om en DPO. Vi har derfor lavet en FAQ omkring Data Protection Officer rollen – i hvert fald som ser ud nu, inden den praktiske implementering besluttes endeligt.

Hvad er en Data Protection Officer (DPO)?

Den kommende persondatalov stiller krav om, at visse virksomheder og organisationer skal have en Data Protection Officer (DPO). Kort fortalt, så varetager en Data Protection Officer en uafhængig og uvildig rolle i forhold til databeskyttelse.

DPO’ens primære interesse er at sikre korrekt databeskyttelse, og har blandt andet autoritet til at igangsætte interne undersøgelser. Desuden er DPO’en primær kontaktperson for tilsynsmyndigheder og registrerede personer, som ønsker information vedr. deres persondata. De specifikke krav er nærmere beskrevet nedenfor.

En DPO skal vælges med omhu, da personen udpeges for mindst et par år ad gangen, og da vedkommende, hvis intern for virksomheden, på mange måder kan minde om at være ansat på vilkår som en tillidsmand. Hvis man vælger løsningen med en ekstern organisation/virksomhed til at udføre rollen som DPO, så vil aftalen givetvis være bindende i perioden.

Hvornår skal man have en DPO?

Det skal man, hvis man kan nikke ja til bare ét af disse tre punkter:

  • Hvis man er en offentlig myndighed (undtagen domstole)
  • Hvis man er en virksomhed, hvis primære ydelse er at behandle persondata, som forudsætter jævnlig og systematisk overvågning af de registrerede personer
  • Hvis man er en virksomhed, hvis primære ydelse er at behandle ”særlige kategorier af oplysninger” om registrerede personer, fx politisk tilhørsforhold, helbredsoplysninger, seksuel orientering etc.

Vi venter dog også, at en del virksomheder udpeger en DPO, selvom der ikke er et lovmæssigt krav om det, af branding-årsager. Det kan sende et stærkt signal om troværdighed og tillid, hvis man kan sige, at man har en DPO, ligesom vi i dag ser det med it-revisorerklæringer.

Hvad skal en DPO lave?

En DPO har en lang række opgaver i forbindelse med databeskyttelse, og de spænder vidt. Ansvarsområderne er eksempelvis:

  • Holder opsyn med korrekt databeskyttelse
  • Rådgivning og anbefalinger mht. rettigheder og forpligtelser ift. databehandling
  • Håndterer registrerede personers forespørgsler vedr. deres persondata
  • Holder ledelsen orienteret om dens forpligtelser i forhold persondataloven
  • Fungerer som primær kontaktperson for tilsynsmyndigheder (fx Datatilsynet)
  • Er ansvarlig for at overvåge datalæk, og give besked til relevante myndigheder om eventuelle læk af persondata
  • Dokumentation af offentlige og lovgivningsmæssige krav til bortskaffelse og destruktion af data, samt tilgang til data.

Hvad er kravene til en DPO?

DPO’en skal være ekspert i persondatalovgivning og gældende lovgivning i forhold til behandling af persondata i virksomheder. Personen skal selvsagt også have stor viden om databeskyttelse og dermed også it-tekniske forhold. Desuden skal DPO’en også være meget uafhængig i forhold til organisationen.

Selvom det følgende ikke er lovkrav til DPO’en, så anbefaler vi, at man udpeger en person:

  • som er god til at kommunikere, da det er vigtigt, at personen forstår at formidle sin viden omkring korrekt databeskyttelse og databehandling til andre i virksomheden. Det kan have stor indflydelse på sikkerheden af databehandlingen, og desuden skal personen både kunne formidle viden til alle niveauer af organisationen, uanset om det er teknikere eller ledelse.
  • som er god til at rådgive om praktiske løsninger, da det er et af ansvarsområderne for en DPO. Det er derfor vigtigt, at vedkommende har et godt kendskab til best practice.

Hvordan får man en DPO?

Man kan enten internt ansætte eller udpege en DPO, men da der er store krav til DPO’ens uafhængighed og uvildighed, kan det fratage mange personer i virksomheden muligheden.

Alternativt kan man have en ekstern DPO, som eksempelvis kan være it-konsulenter indenfor ledelse og compliance. Da vi fungerer som uvildige konsulenter, og i forvejen er vant til at yde rådgivning og erklære os om forhold i relation til persondata og databeskyttelse, kan vi derfor påtage os rollen som ekstern Data Protection Officer.

Kravene i den kommende persondatalov, og specifikt til DPO-rollen, er stadig ved at blive endeligt formuleret i forhold til hvordan vi fra dansk side skal tolke forordningen, så der kan forekomme ændringer til ovenstående. Vi skriver løbende om ændringer og nyheder, og du er naturligvis altid velkommen til at kontakte os for at høre mere om persondatalovgivning og DPO-rollen.