GDPR-reglerne har indført et krav om, at nogle virksomheder skal have en databeskyttelsesrådgiver.
På engelsk kaldes en databeskyttelsesrådgiver “Data Protection Officer”, og derfor anvendes forkortelsen “DPO” ofte på dansk.
Databeskyttelsesrådgiveren har en rådgiverfunktion i en organisation, og skal inddrages i alle spørgsmål om databeskyttelse og rådgive om de databeskyttelsesretlige regler.
Hvorfor skal man have en DPO?
I databeskyttelsesforordningens artikel 37, 38 og 39 er reglerne for brugen af databeskyttelsesrådgivere angivet. Du kan læse de specifikke regler ved at følge nedenstående links:
Hvem skal have en databeskyttelsesrådgiver?
I de fleste tilfælde skal private virksomheder ikke udnævne en databeskyttelsesrådgiver.
En privat virksomhed er udelukkende forpligtet til at udnævne en databeskyttelsesrådgiver, hvis samtlige 3 forhold herunder gør sig gældende:
- Behandlingen af personoplysninger er virksomhedens kerneaktivitet.
- Der behandles personoplysninger i et stort omfang.
- Behandlingen består i regelmæssig og systematisk overvågning af personer eller behandlingen vedrører følsomme personoplysninger eller oplysninger om strafbare forhold.
Disse 3 kriterier vil blive forklaret i det følgende, men som følge af ansvarlighedsprincippet i artikel 5, så bør din virksomhed tage stilling til om der bør udnævnes en databeskyttelsesrådgiver.
Hvad er en kerneaktivitet?
Det skal forstås meget klart, at det udelukkende er virksomheder, hvor behandlingen af personoplysninger er kerneaktiviteten, som er omfattet.
Hvis du fx har et hotel og behandler personoplysningerne på dine gæster, så er dette blot en “biaktivitet”, og derfor IKKE en kerneaktivitet – på trods af, at du behandler flere personoplysninger om gæsterne.
Forsikringsselskaber og virksomheder der hoster hjemmesider på andres vegne har alle behandling af personoplysninger, og er derfor omfattet af kravet om at udnævne en DPO, da de har behandlingen af personoplysninger som en kerneaktivitet.
Hvad er “et stort omfang”?
Følgende 4 kriterier kan bruges til at vurdere om du behandler et stort omfang af personoplysninger:
- Stort antal personer er omfattet af din behandling.
- Du behandler mange personoplysninger om hver enkelt person.
- Din behandling strækker sig over flere geografiske områder.
- Du behandler personoplysningerne i en lang tidsperiode.
Hvis virksomhedens behandling af personoplysninger foregår i et begrænset omfang, så skal virksomheden ikke have en databeskyttelsesrådgiver.
En mindre lægepraksis behandling af patienternes oplysninger vil derfor ikke være omfattet, da behandlingen vil foregå for færre personer, og være geografisk begrænset.
Hvad er regelmæssig overvågning eller behandling af følsomme personoplysninger?
Hvis et forsikringsselskab systematisk overvåger forsikringstagerne, samt profilerer disse til at målrette forsikringspolicen, så vil selskabet være omfattet af kriteriet for systematisk overvågning.
Når der behandles følsomme personoplysninger eller personoplysninger om strafbare forhold, så vil virksomheden også være omfanget af kriteriet.
De fleste virksomheder behandler følsomme personoplysninger i deres HR-afdeling, og vil derfor være omfattet af dette kriterie. Dette er dog ikke tilstrækkeligt til at skulle udnævne en DPO, da samtlige 3 kriterier skal være opfyldt.
Hvem opfylder alle 3 kriterier?
De færreste virksomheder opfylder samtlige kriterier for at være underlagt kravet om at udnævne en databeskyttelsesrådgiver.
Eksempler på virksomheder, der opfylder samtlige 3 kriterier, og derfor bør udnævne en databeskyttelsesrådgiver:
- Privathospital.
- Stort forsikringsselskab.
- Teleudbyder.
Kan man friviligt udnævne en databeskyttelsesrådgiver?
Nogle virksomheder har frivilligt udnævnt en medarbejder eller et konsulentfirma til at varetage funktionen af databeskyttelsesrådgiver.
Hvis du overvejer at udnævne en databeskyttelsesrådgiver i din virksomhed, så skal du være opmærksom på, at reglerne i GDPR-lovgivningen vil gælde for denne jobfunktion.
Dette medfører, at DPO’ens kvalifikationer, arbejdsopgaver, stillingsbeskyttelse mv. skal efterleves.
I mange tilfælde forveksler virksomheder “databeskyttelsesrådgiver” med compliance-medarbejder.
En compliance-medarbejder kan sagtens varetage de samme funktioner som en databeskyttelsesrådgiver uden, at der er krav til at medarbejderen har denne titel.
Små- og mellemstore virksomheder, som ikke er underlagt krav om at udpege en databeskyttelsesrådgiver, bør derfor tænke sig om inden, at de udnævner en databeskyttelsesrådgiver.