Med GDPR skal virksomheder og organisationer overholde databeskyttelsesreglerne, samt vurdere om de bør have en databeskyttelsesrådgiver(DPO).
Denne DPO skal have en uafhængig rolle i virksomheden, og vil være ansvarlig for at overvåge virksomhedens efterlevelse af databeskyttelsesreglerne, samt bistå med virksomhedens GDPR efterlevelse – dog uden at have ansvaret for virksomhedens GDPR!
Ansvaret for at efterleve virksomhedens GDPR ligger på ledelsen og fx en GDPR-ansvarlig, hvilket ikke bør være DPO’en.
Troværdig
Det signalerer troværdighed til virksomhedens interessenter at have en DPO, som man kan kontakte for at spørge til behandlingen af deres data. Dette er særligt relevant for virksomheder, der håndterer f.eks. finansielle oplysninger eller følsomme personoplysninger.
Det er vigtigt at bemærke, at ikke alle organisationer er forpligtet til at udpege en DPO.
Offentlige virksomheder skal have en DPO, og det samme skal private virksomheder der udfører systematisk overvågning eller behandler følsomme personoplysninger i stor skala. Det kan du læse mere om i artiklen: Hvem skal have en Databeskyttelsesrådgiver?
DPO-services
Ved udlicitering af DPO-rollen, så vil den eksterne DPO typisk udføre følgende opgaver:
- Rådgivning af virksomheden om efterlevelse af GDPR-reglerne.
- Overvågning af GDPR-efterlevelse i virksomheden.
- Uddannelse af og awareness træning af medarbejdere om databeskyttelse.
- Kontaktpuntk for registrerede, myndigheder og tilsynsmyndigheder med spørgsmål vedrørende virksomhedens behandling af personoplysninger.
- Revision af organisationens behandlingsaktiviteter.
- Rådgivning om konsekvensanalyser vedrørende databeskyttelse.
- Orientering af virksomheden om eventuelle opdateringer eller ændringer af databeskyttelsesreglerne.
Ekstern DPO
Det kan være en udfordring at opfylde uafhængighedskravet til DPO-rollen, hvis der gøres brug af en intern medarbejder. Den interne medarbejder er jo en del af en organisation med både officielle og uofficielle ledelsesstrukturer, som kan påvirke dennes uafhængighed i rådgivningen ved databeskyttelsesspørgsmål.
Af blandt andet denne grund benytter mange organisationer sig af en ekstern DPO.
Den eksterne DPO er ofte en advokat specialiseret i GDPR, og som en virksomheden hyrer til at levere disse DPO-services for at opfylde forpligtelserne i henhold til GDPR.
Flere større advokatfirmaer udfører denne eksterne DPO-rolle for både offentlige institutioner, samt for private virksomheder. Herigennem opbygger de erfaring på tværs af organisationer i denne rolle.
Fordele ved at have en ekstern DPO?
Det har flere fordele at have en ekstern DPO f.eks. kan denne bidrage med ekspertise og erfaring fra andre organisationer.
DPO’en har et indgående kendskab til databeskyttelsesreglerne og kan give uafhængig og uvildig vejledning om at sikre overholdelse:
- Den eksterne DPO er uafhængig og kan give uvildig rådgivning.
- Den eksterne DPO bidrager med ekspertise og erfaring, som måske ikke er til stede i virksomhed, og som kan være svære at ansætte sig til.
- Den eksterne DPO kan hjælpe en virksomhed med at undgå bøder og sanktioner ved at sikre overholdelse af databeskyttelsesreglerne.
- Den eksterne DPO kan bidrage til at forbedre en virksomheden omdømme ved at sikre, at den beskytter personoplysninger på en ansvarlig måde.
Intern DPO
Mange virksomheder vil vælge at have en intern medarbejder ansat til at varetage organisationens DPO-opgaver. Dette kan have egne fordele og ulemper, som vi vil gennemgå i nedenstående.
Fordele ved at have en intern DPO?
En intern DPO kan give skræddersyet rådgivning, og er let tilgængelig for medarbejderne og i beslutningstagningen, hvilket giver mulighed for bedre overholdelse af GDPR-reglerne:
- Den interne DPO har en dyb forståelse for virksomhedens behandlingsaktiviteter og kan give specifik, skræddersyet rådgivning om databeskyttelse.
- Den interne DPO er let tilgængelig for medarbejderne og kan tilbyde løbende uddannelse og rådgivning.
- Den interne DPO har en direkte kommunikationslinje med den øverste ledelse og kan regelmæssigt orientere ledelsen om status for overholdelse af GDPR-reglerne.
- Den interne DPO har daglig adgang til at integrere databeskyttelse i organisationens kultur og processer.
- Den interne DPO kan løbende inddrages i virksomheden beslutningsproces, samt give input til indførelsen af foranstaltninger.
Opsummering
Det kan være attraktivt at hyre en ekstern DPO, da det er vanskeligt at efterleve kravene til DPO-rollen med en intern medarbejder pga. kompetence- og uafhængighedskravet. I sidste ende, så er der dog fordele og ulemper forbundet ved at vælge både en intern DPO eller en ekstern DPO.