Når EU's person data forordning træder i kraft, vil der være krav om at visse typer af virksomheder skal udpege en Data Protection Officer (DPO). På dansk vil en sådan person få titel af databeskyttelsesrådgiver.
Man skal være opmærksom på, at det ikke er ligegyldigt hvilken titel, man giver den person, som skal rådgive virksomheden omkring data sikkerhed.
Hører man til den type virksomhed, hvor der ikke er krav om at udpege en DPO, men alligevel vælger at få ekstern hjælp til at få styr på virksomhedens persondata, skal man ikke give denne person titlen DPO. Gør man alligevel dette ville man ifølge oplysninger fra datatilsynet skulle opfylde samme krav, som der stilles til virksomheder, hvor der er krav en DPO.
En virksomhed have en DPO:
- Når virksomhedens kerneaktivitet består i behandlingen af personoplysninger.
- Når virksomheden foretager behandling af personoplysninger i stort omfang.
- Når virksomheden foretager regelmæssig og systematisk overvågning af personer.
- Hvis behandlingen af data omhandler følsomme oplysninger.
Eksempler på virksomheder som skal udpege en DPO i hostingvirksomheder, internetudbydere, teleselskaber, markeds analyse udbydere og offentlige virksomheder, som typisk ligger inde med personfølsomme oplysninger.
Virksomheder, som foretager regelmæssig og en systematisk overvågning af personer, kunne være udbydere af adfærdsbaserede annoncer, loyalitetsprogrammer eller apps som anvender data om lokalitet.
Hvor skal en DPO placeres rent organisatorisk?
Det er afgørende at en DPO skal være uafhængig. Man må derfor ikke udpege virksomhedens IT-chef eller HR-chefen.
Man kan dog godt udpeget en intern medarbejder i virksomheden som DPO. Man skal dog være klar over at en sådan person nyder særlige rettigheder fx i forbindelse med afskedigelse. Det for at sikre, at virksomhedsledelsen har sværere ved at lægge pres på en intern DPO. Der er krav om at, en DPO ikke må modtage instrukser, angående udførelsen af dennes opgaver. En DPO kan ikke fyres eller på anden måde udsættes for repressalier for at have udføre sine opgaver.
En intern DPO må ikke udføre andre opgaver i virksomheden, hvis disse opgaver afføde interessekonflikter med de opgaver, som skal udføres som DPO.
Flere virksomheder kan også i fællesskab ansætte en medarbejder, som kan fungere som DPO.
Alternativt kan man vælge at anvende en ekstern rådgiver eller konsulent. Dette kan være fornuftigt især for mindre virksomheder, da opgaverne for en intern DPO kan være en sådant et omfang, at det ikke berettiger ansættelse med en fuldtidsmedarbejder. Med en ekstern konsulent opnår man desuden en højere grad at uafhængighed i forhold til virksomhedsledelsen. Dette kan også, i en situation hvor datatilsynet kommer på inspektion, være med til at højne troværdigheden af den dokumentation som virksomheden har udformet.
Selvom en virksomhed ikke har pligt til at udpege en DPO, at det under alle omstændigheder fornuftigt at have dokumentationen for procedurer og politikker på plads.
DPO’en fungerer som rådgiver for virksomhedsledelsen i forhold til regler og forpligtelser i person data forordningen. Er der behov for at udarbejde konsekvensanalyser, rådgiver DPO’en også om udarbejdelsen af disse.
En DPO har adgang til fortrolige persondata og virksomheden er derfor forpligtet til at sikre, at DPO’en kan udføre sine opgaver fortroligt.
DPO’en varetager både opgaven som kontaktperson til den lokale databeskyttelsemyndighed, som i Danmark udgøres af datatilsynet og til de personer, som udbeder sig informationer om egne data, rettelse eller sletning af egne data.
Virksomhedens DPO har til opgave at sikre, at virksomheden leve op til kravene i den nye person data forordning. Derfor skal virksomheden sikre, at DPO’en har adgang til persondata oplysninger samt adgang til de nødvendige ressourcer for at kunne varetage sine opgaver på lovlig vis.