Blogindlæg

DPO - guide til databeskyttelsesrådgiver og regler

Publiceret den af
Del artiklen på:   

DPO - også kaldt "data protection officer"

DPO er en forkortelse for det engelske ”data protection officer”. På dansk kaldes vedkommende også for en ”databeskyttelsesrådgiver”.

Databeskyttelsesrådgiveren skal bl.a. sørge for at hjælpe med, at den dataansvarlige overholder reglerne i databeskyttelsesforordningen (GDPR). Den dataansvarlige kan for eksempel være en virksomhed/et selskab, en forening, et hospital, en privatskole eller lignende. Du kan læse mere om DPO’ens opgaver længere nede i denne artikel.

Databeskyttelsesrådgiverens rolle må siges at være vigtig, og rådgiveren er nævnt flere gange i persondataforordningen (GDPR). 

En databeskyttelsesrådgiver er i visse tilfælde lovpligtig at have. Det er for eksempel tilfældet for alle offentlige myndigheder og organer. Visse private organisationer (selskaber, foreninger mv.) skal også efter GDPR have en DPO. Du læse mere mere om, hvorvidt din organisation skal have en databeskyttelsesrådgiver eller ej længere nede.

Hvad er en DPO?

DPO'en har som nævnt en række forskellige opgaver.

Se vores video herunder, som forklarer hvad en DPO er på kun 1:18:

DPO'en skal først og fremmest hjælpe med at sørge for, at den dataansvarlige overholder GDPR. En DPO er også bindeleddet mellem den dataansvarlige og Datatilsynet. Det betyder, at DPO'en som hovedregel står for kontakten og samarbejdet med Datatilsynet.

Nogle tror fejlagtigt, at databeskyttelsesrådgiveren er en del af Datatilsynet. Det er ikke tilfældet. Rådgiveren har dog et tæt samarbejde med Datatilsynet og står for kontakten med dem. 

Udover at sørge for at den dataansvarlige overholder GDPR helt generelt samt være kontaktperson til Datatilsynet, har DPO'en også til opgave at underette og rådgive organisationen og de ansatte om databeskyttelse. I forordningen er det flere steder nævnt, at man lægger op til at sørge for, at organisationens medarbejdere uddannes inden for GDPR. For hvordan skal en organisation overholde GDPR, hvis medarbejderne ikke kender til reglerne? Medarbejderens ukendskab til reglerne fritager ikke organisationen for ansvar.

Hvis jeres medarbejdere ikke kender til reglerne og derfor ikke overholder GDPR, bliver organisationen derfor ansvarlig. Dette kan medføre bøder fra Datatilsynet, da de ikke ser i mellem fingrene med, at I som organisation ikke uddanner jeres medarbejdere. 

Her hos Persondatakonsulenterne kan vi både hjælpe jer med at fungere som ekstern DPO og sørge for, at jeres medarbejdere bliver uddannet tilstrækkeligt inden for GDPR. Læs mere om, hvordan vi kan hjælpe jer med vores eksterne DPO-service på vores side om ekstern DPO. 

Du kan læse mere om DPO-opgaverne længere nede i artiklen.

Hvem skal have en DPO?

Men hvem skal så have en DPO? Hvornår er det et krav, at man har en DPO, og hvornår er det ikke et krav?

Se vores video herunder, der forklarer, hvem der skal have en DPO på 2:16:

(Artiklen fortsætter under videoen...)

Jeres organisation skal have en databeskyttelsesrådgiver i et af disse tilfælde:

  1. Der er tale om en offentlig myndighed eller et offentligt organ - eller:
  2. Det er privat såsom et selskab, en forening eller lignende, hvor de 3 betingelser er tilstede (1: kerneaktivitet, 2: stort omfang og 3: regelmæssig/systematisk overvågning eller følsomme/strafbare oplysninger/forhold) 

Lad os se lidt nærmere på disse betingelser.

1. Tale om en offentlig myndighed eller et offentligt organ

Uanset om en offentlig myndighed er dataansvarlig eller databehandler (eller begge dele), skal de have en databeskyttelsesrådgiver (DPO'en). Dog gælder dette selvfølgelig kun, hvis myndigheden/organet 'behandler' personoplysninger - dette gør de fleste dog.

Dette står direkte i forordningens artikel 37, stk. 1, litra a.

De eneste, der er undtaget fra DPO-kravet, er domstolene. Domstolene er ikke forpligtet til at udpege en databeskyttelsesrådgiver, så længe de handler i egenskab af en domstol.

2. Private/ikke-offentlige (selskaber, foreninger osv.)

For ikke-offentlige organisationer såsom almindelige virksomheder, foreninger og lignende, er der i visse tilfælde krav om udpegelse af DPO. De fleste skal dog ifølge forordningen ikke have en databeskyttelsesrådgiver.

Selv hvis der ikke er krav efter GDPR om, at jeres organisation skal have en data protection officer, kan dog alligevel være en god idé at rådføre jer med en rådgiver, som hjælper med mange af de samme opgaver, som en databeskyttelsesrådgiver udfører.

Ikke-offentlige organisationer skal have udpeget en databeskyttelsesrådgiver, hvis disse 3 betingelser er opfyldt:

  1. Behandling af personoplysninger skal være virksomhedens kerneaktivitet
  2. Der skal behandles personoplysninger i et stort omfang
  3. Behandlingsaktiviteten består i regelmæssig og systematisk overvågning af personer eller behandlingen vedrører følsomme oplysninger eller oplysninger om strafbare forhold

Disse krav står direkte i GDPR (forordningens) artikel 37, stk. 1, litra b og c.

Læs en uddybning af betingelserne herunder.

1. Kerneaktivitet

Den første betingelse er, at behandlingen af personoplysninger skal være virksomhedens kerneaktivitet.

Men hvad betyder 'kerneaktivitet' så?

Et andet ord for kerneaktivitet er 'hovedaktivitet'. Det vil sige et produkt eller en tjeneste, der direkte består i behandling af personoplysninger. 

Alle virksomheder har nogle 'biaktiviteter', hvor de behandler personoplysninger. Det er for eksempel alm. korrespondance med kunder og lignende. Dette er dog en biaktivitet.

Eksempel: En virksomhed, der behandler personoplysninger som en del af virksomhedens kernaktivitet, kunne for eksempel være en virksomhed, der laver marketingundersøgelser, som er baseret på personoplysninger.

Af andre eksempler på virksomheder, der behandler personoplysninger som kerneaktivitet kan nævnes:

  • Privathospitaler
  • Forsikringsselskaber
  • Søgemaskiner
  • Rekrutteringsvirksomheder
  • Hosting af hjemmesider/data

Okay, det var første betingelse. Hvad så med næste om, at behandlingen skal være i stort omfang?

2. Stort omfang

Hvis virksomhedens kerneaktivitet består af behandlingen af personoplysninger, er det ligeledes en betingelse, at virksomheden behandler personoplysninger i et "stort omfang".

Hvad betyder dette så?

Artikel 29-gruppen (gruppe med en repræsentant for hver medlemsland) har selv udtalt, at der bl.a. lægges vægt på:

  • Antallet af personer, der behandles oplysninger om
  • Volumen af personoplysninger og/eller de forskellige typer af personoplysninger, der bliver behandlet
  • Tidsperioden, der behandles oplysninger i (og om behandlingen eventuelt er permanent)
  • Den geografiske udstrækning af behandlingsaktiviteterne

Det er derfor en konkret vurdering, hvornår der er tale om stort omfang. Hvis der er tale om et stort antal personer, kan det tale for 'stort omfang'. Hvis der er tale om en behandling i en kort tidsperiode (oplysninger slettes for eksempel straks), så taler det imod 'stort omfang'.

Eksempler: Datatilsynet nævner i deres vejledning en række eksempler. For eksempel vil en mindre lægepraksis med et begrænset antal læger (og dermed også en begrænset mængde personoplysninger) IKKE være behandling i 'stort omfang'.
Hvis der er tale om en stor lægepraksis med mange læger, vil der om vendt også være tale om en stor mængde oplysninger, og dermed vil behandlingen normalt også ske i 'stort omfang'.

3. "regelmæssig og systematisk overvågning" eller "behandling af følsomme oplysninger eller oplysninger om strafbare forhold"

Tredje og sidste betingelse. "Regelmæssig og systematisk overvågning", eller hvis der er tale om "behandling af følsomme oplysninger" eller "strafbare forhold". Den sidste betingelse kan derfor deles op i 2 tilfælde:

  1. Hvis virksomheder foretager regelmæssig og systematisk overvågning eller
  2. virksomheden behandler følsomme oplysninger eller strafbare forhold

Hvis behandlingen af personoplysning både er en virksomheds kerneaktivitet, og det sker i stort omfang, skal virksomheden have en DPO, hvis behandlingen ligeledes består i regelmæssig og systematisk overvågning af personer, eller hvis behandlingen vedrører følsomme oplysninger eller oplysninger om strafbare forhold.

Hvad er regelmæssig og systematisk overvågning af registrerede personer?

I følge Datatilsynet selv er dette en virksomheds sporinger (tracking) eller profilering bl.a. via internettet. Det kan for eksempel være:

  • Telenet eller services forbundet hermed
  • Profilering i forbindelse med risikovurdering
  • Kreditvurderinger
  • Vurdering af forsikringspræmie
  • Lokationstracking via applikationer
  • Adfærdsbaseret annoncering

Hvis der er tale om et af disse tilfælde, vil du behandle oplysninger regelmæssigt og med systematisk overvågning og skal derfor have en databeskyttelsesrådgiver, hvis behandlingen også sker i stort omfang og er virksomhedens kerneaktivitet.

Hvad er behandling af følsomme oplysninger eller oplysninger om strafbare forhold?

 Følsomme oplysninger er også dem, der kaldes for oplysninger er 'særlig kategori'. De er oplistet i forordningens artikel 9.

Følsomme oplysninger/særlige kategorier dækker over:

  • Race eller etnisk oprindelse
  • Politisk, religiøs eller filosofisk overbevisning
  • Fagforeningsmæssigt tilhørsforhold
  • Behandling af genetisk data eller biometrisk data med det formål entydigt at identificere en fysisk person
  • Helbredsoplysninger
  • Oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering

Strafbare forhold er oplysninger om straffedomme og lovovertrædelser.

Opsummering - skal du have en DPO?

Lad os opsummere.

Du skal have en databeskyttelsesrådgiver, hvis du kan svare ja til disse 3 punkter:

  1. Din behandling af personoplysninger er virksomhedens kerneaktivitet
  2. Behandlingen af personoplysninger sker i et stort omfang
  3. Behandlingsaktiviteten består i regelmæssig og systematisk overvågning af personer eller behandlingen vedrører følsomme oplysninger eller oplysninger om strafbare forhold

Hvis du ikke kan svare ja til alle 3 punkter, er du ikke forpligtet til at skulle have en databeskyttelsesrådgiver. 

Selvom du ikke efter loven er forpligte til at skulle have en sådan rådgiver, skal du stadig overholde GDPR. Nogle private virksomheder vælger også at udpege en databeskyttelsesrådgiver, selvom de ikke er forpligtet til det. Husk dog, at hvis I vælger at gøre dette, skal rådgiveren leve op til forordningens krav. Rådgiveren skal derfor leve op til kravene angående opgaver, kvalifikationer, stilling, beskyttelse og inddragelse. 

Uanset om du/I udpeger en DPO eller ej, kan det være en god idé at få hjælp udefra til at sikre, at du/I overholder GDPR. 

Husk at DPO'en skal være uafhængig

Der gælder et krav om uafhængighed.

Det betyder, at I normalt ikke kan udpege en ansat i organisationen, som modtager instruks om, hvordan opgaverne skal udføres. 

DPO'en må ikke modtage instruks, må ikke afskediges eller straffes for at udføre sine opgaver og skal rapportere til øverste ledelsesniveau.

Datatilsynet skriver selv i deres vejledning om DPO'en:

  • Må ikke som led i sin funktion som databeskyttelsesrådgiver modtage instruks om, hvordan denne skal udføre sine opgaver (eller f.eks. om en bestemt vurdering eller fortolkning af forordningen)
  • Må ikke afskediges eller sanktioneres for at udføre sine opgaver
  • Rapporterer direkte til øverste ledelsesniveau

DPO uddannelse

Hvordan er det med DPO uddannelse? Hvad er kravene til uddannelsen for en data protection officer?

Lad os starte med at kigge i selve forordningen (GDPR). Det er nok det vigtigste sted at kigge. Der står i artikel 37, stk. 5:

"5. Databeskyttelsesrådgiveren udpeges på grundlag af sine faglige kvalifikationer, navnlig ekspertise inden for databeskyttelsesret og -praksis samt evne til at udføre de opgaver, der er omhandlet i artikel 39."

Det er grundlæggende, at en databeskyttelsesrådgiver udpeges på baggrund af de faglige kvalifikationer. Det er derfor nødvendigt, at rådgiveren har tilstrækkelige kompetencer inden for databeskyttelsesret- og praksis.

Skal en DPO så være uddannet jurist eller have en anden bestemt uddannelsesmæssig baggrund?

Nej, Datatilsynet skriver selv i deres vejledning, at organisationen selv må vurdere, hvem der er bedst egnet.

Der er ikke noget krav til, at rådgiveren for eksempel skal være uddannet jurist, advokat eller have anden bestemt uddannelse.

Datatilsynet skriver:

"Der er ikke krav om, at en databeskyttelsesrådgiver skal have en bestemt uddannelsesmæssig baggrund, f.eks. som jurist."

Dog skriver Datatilsynet også, at det er en konkret vurdering. Jo mere kompleks behandlingen af personoplysninger er, jo større krav er der til stillingen. For eksempel vil der normalt være større krav til en databeskyttelsesrådgiver i Novo Nordisk end et enkeltmands marketingbureau.

I mange tilfælde vil vores grundige "Master"-kursus for eksempel være tilstrækkelig.

Du kan købe vores kursus til DPO'er og andre, som står med opgaven af implementere GDPR her.

DPO opgaver

Hvad skal DPO'en så lave?

Som nævnt tidligere skal en 'data protection officer' sørge for, at rådgive den dataansvarlige, så de bedst muligt overholder GDPR. 

GDPR oplister nogle specifikke opgaver, som databeskyttelsesrådgivere som minimum skal varetage. Der står følgende opgaver i artikel 39 i forordningen:

  • Underrette og rådgive organisationen og de ansatte om databeskyttelse
  • Overvåge overholdelsen af de databeskyttelsesretlige regler i organisationen
  • Rådgivning i forbindelse med konsekvensanalyse, hvis en sådan skal udarbejdes
  • Samarbejde med Datatilsynet på vegne af organisationen
  • Være Datatilsynets kontaktpunkt i spørgsmål vedrørende behandling bl.a. ved forudgående høring, hvis en konsekvensanalyse er foretaget, som viser at behandlingen vil føre til høj risiko i mangel af foranstaltninger

Databeskyttelsesrådgiveren står derfor bl.a. for rådgivning om beskyttelse af personoplysninger, overvejelser om hvordan man sikrer, at man er compliant, om der skal købes nye IT-systemer, udarbejde de forskellige nødvendige politiker, stå til rådighed ved spørgsmål fra ledelsen osv. Derudover skal DPO'en sørge for at uddanne personale i databeskyttelse, komme med oplysningskampagner. 

En databeskyttelsesrådgiver har derfor mange opgaver. Hvis du har brug for en rådgiver til at varetage disse opgaver, hjælper vi gerne med vores ekstern DPO-service. 

Læs mere om vores eksterne DPO-service her.

Brug for mere hjælp?

Brug for mere hjælp efter at have læst denne gratis artikel?

Du kan bl.a. læse Datatilsynets vejledning for DPO'er. Du kan finde den her.

Hvis du har brug for en DPO, bistår vi gerne som ekstern DPO. Vi kan hjælpe med at sørge for, at du er compliant og overholder kravene i GDPR.

Vil I selv udpege en databeskyttelsesrådgiver? Så kan I også købe vores Master-kursus, som er henvendt til bl.a. databeskyttelsesrådgivere. Du kan læse mere om kurset her.

 

Kontakt os her for at høre nærmere

 

DISCLAIMER: Ovenstående er skrevet ud fra bedste fortolkning af Persondataforordningen/GDPR på nuværende tidspunkt. Ændringer i love, vejledninger, praksis mv. kan have betydning for fortolkningen fremadrettet. Vi anbefaler altid, at du får juridisk rådgivning, hvis du vil være sikker på at overholde reglerne. Kontakt os for at høre nærmere.

Del artiklen på:   
Kunder vi rådgiver
Om Persondatakonsulenterne ApS

Vores mål er at levere rådgivning om GDPR i øjenhøjde, så alle kan være med.
Vi rådgiver i konkrete sager og assisterer virksomhederne med deres GDPR compliance arbejde. Sideløbende udvikler vi online kurser, samt afholder fysiske kurser og foredrag.

Det arbejder vi med
Læs de seneste blogindlæg
Kontakt os