Skal din virksomhed have en DPO? Er svaret nej, er næste spørgsmål: Bør den have en DPO?
DPO står for Data Protection Officer, der er en person i eller uden for virksomheden, som sikrer, at databeskyttelseslovgivningen overholdes. DPOen har en særlig stilling i forhold til Datatilsynet, idet DPOen er kontaktled til og skal samarbejde med tilsynet. Virksomhedens DPO skal derfor løbende inddrages i spørgsmål vedrørende behandling af personoplysninger, sikkerhedsbrud og systemopsætning mv.
Hvem skal have en DPO?
Det er forholdsvis sjældent, at private virksomheder omfattes af reglerne om pligt til at udpege en DPO. For private virksomheder er det kun en pligt, hvis virksomhedens kerneaktivitet består i at behandle følsomme personoplysninger eller oplysninger om strafbare forhold i et stort omfang, eller hvis virksomheden foretager regelmæssig og systematisk overvågning af personer i væsentligt omfang. Dette gælder uanset, om virksomheden er dataansvarlig eller databehandler.
Det er således de færreste private danske virksomheder, der rent faktisk har pligt til at have en DPO. En virksomhed, der behandler personoplysninger, fx oplysninger om medarbejdere og kunder som led i almindelig virksomhedsdrift, vil som udgangspunkt ikke være forpligtet til at have en DPO.
Hvem bør have en DPO eller compliance-rådgiver?
Det gør de virksomheder, der jævnligt behandler personoplysninger og vil sikre sig, at behandlingen sker korrekt og i overensstemmelse med persondataforordningen og databeskyttelsesloven, og som gerne vil have en person klar til at tage over med det samme i tilfælde af, at der indgives klage mod virksomheden, Datatilsynet kommer på tilsynsbesøg eller lignende, og som i det hele taget sørger for, at virksomheden løbende holder sig ajour med persondatareglerne.
Selv om det ikke er et krav at have en DPO, kan der altså være mange gode grunde til at have nogen til at varetage de opgaver, der normalt ligger hos en DPO. I de tilfælde, hvor der frivilligt, men officielt, udpeges en DPO, gælder de samme krav til DPOen, som hvis virksomheden havde været forpligtet til at udpege en DPO. Det betyder, at kravene til DPOens opgaver, kvalifikationer, stilling, beskyttelse og inddragelse skal efterleves. Vælger en virksomhed derimod at udpege en medarbejder eller ekstern konsulent, som man fx kalder compliance-rådgiver, er virksomheden ikke forpligtet til at efterleve forordningens krav til en DPO til punkt og prikke.
