GDPR-reglerne har indført et krav om, at nogle virksomheder skal have en databeskyttelsesrådgiver.
På engelsk kaldes en databeskyttelsesrådgiver “Data Protection Officer”, og derfor anvendes forkortelsen “DPO” ofte på dansk.
Databeskyttelsesrådgiveren har en rådgiverfunktion i en organisation, og skal inddrages i alle spørgsmål om databeskyttelse og rådgive om de databeskyttelsesretlige regler.
Hvorfor skal man have en DPO?
I databeskyttelsesforordningens artikel 37, 38 og 39 er reglerne for brugen af databeskyttelsesrådgivere angivet. Du kan læse de specifikke regler ved at følge nedenstående links:
Hvem skal have en databeskyttelsesrådgiver?
I de fleste tilfælde skal private virksomheder ikke udnævne en databeskyttelsesrådgiver.
En privat virksomhed er udelukkende forpligtet til at udnævne en databeskyttelsesrådgiver, hvis samtlige 3 forhold herunder gør sig gældende:
- Behandlingen af personoplysninger er virksomhedens kerneaktivitet.
- Der behandles personoplysninger i et stort omfang.
- Behandlingen består i regelmæssig og systematisk overvågning af personer eller behandlingen vedrører følsomme personoplysninger eller oplysninger om strafbare forhold.
Disse 3 kriterier vil blive forklaret i det følgende, men som følge af ansvarlighedsprincippet i artikel 5, så bør din virksomhed tage stilling til om der bør udnævnes en databeskyttelsesrådgiver.