GDPR: Flere offentlige virksomheder skal udpege en data protection officer

Når GDPR træder i kraft næste år, er det vigtigere end nogensinde før, at de offentlige virksomheder har styr på deres databeskyttelse. Her kan en DPO, data protection officer, være til stor hjælp.

GDR-Data-Protection-Officer

En DPO har et særligt indblik i lovgivningen og reglerne på området for persondatabeskyttelse. Foto: Colourbox

I takt med at der qua GDPR-lovgivningen fra maj 2018 kommer strammere regler vedrørende databeskyttelse, er det vigtigt for virksomheder i både den private og offentlige sektor at være på forkant med de nye regler for at undgå store bøder, og her er en DPO måske vejen frem.  

Hvad er en DPO? 

Overordnet set har en DPO ansvaret for at rådgive de dataansvarlige hos en virksomhed om persondatabeskyttelse, da han eller hun har et særligt indblik i lovgivningen og reglerne på området.

Den ansvarlige DPO fungerer selvstændigt og har ansvaret for, at de nye GDPR-regler bliver fulgt og overholdt. Samtidig har den udpegede DPO også funktionen som kontaktperson til Datatilsynet, der kan komme på kontrolbesøg for at tjekke virksomhederne og deres datahåndtering.

En data protection officer kan også varetage områder inden for uddannelse og oplæring af de medarbejdere, som til daglig håndterer personfølsomme data. Det betyder alt andet lige, at man som den udnævnte DPO skal have gode kompetencer og viden vedrørende databehandling og databeskyttelse.  

Som privat eller offentlig virksomhed, der arbejder med persondata og samtidig er dataansvarlig, er det med den nye GDPR et krav fra EU, at man udpeger en DPO.

En data protection officer kan være ansat i én virksomhed, men fungere som rådgiver og konsulent hos flere virksomheder. På den måde kan flere virksomheder gå sammen om at være på forkant med de kommende regler om beskyttelse af data.

En DPO kan også være ansat hos de pågældende myndigheder og derfra operere i sit arbejde med at holde styr på, om offentlige instanser og virksomheder overholder de nye regler. 

Hvilke virksomheder og instanser skal have en DPO? 

Hos det offentlige er det obligatorisk, at alle myndigheder, på nær domstole, udpeger en ansvarlig DPO.

Hos private virksomheder er der som udgangspunkt to omstændigheder, der vil føre til, at der skal udpeges en DPO:   

  1. Kerneaktiviteten hos virksomheden består i at behandle personoplysninger af en sådan karakter, at der regelmæssigt og systematisk foregår en overvågning af personer på en stor skala. Det vil sige, at det er et krav fra EU's side, at der bliver udpeget en DPO, hvis din virksomhed arbejder med store mængder af personoplysninger. 

  2. Hvis din virksomheds kerneaktivitet består i at arbejde med følsomme personoplysninger. Følsomme oplysninger er blandt andet kriminelle forhold, information, der afslører noget om race, etnisk oprindelse, seksualitet eller politisk holdning. Er disse følsomme oplysninger i spil i det daglige virke i virksomheden, skal der altså udpeges en DPO.   

Men det betyder ikke, at virksomheder, der ikke nødvendigvis falder inden for disse to kategorier, kan se sig fri for at tage hånd om, hvordan de håndterer deres data. God databeskyttelse kan nemlig have en positiv indvirkning på en virksomheds renommé, og samtidig kan man undgå fremtidige bødestraffe.  

Sikkerheden og kravene til, hvordan data og følsomme oplysninger bliver håndteret, vil kun stige i de kommende år. Så derfor kan man som privat eller offentlig virksomhed lige så godt forberede sig og tage det lange seje træk – og dermed være upfront med regler og krav.  

Tiden er knap, før den nye GDPR-lov træder i kraft, og det er derfor vigtigt allerede nu at få styr på, hvordan EU's nye krav påvirker din virksomhed, og ikke mindst, om GDPR-loven har betydning for, om der skal udpeges en data protection officer, der kan varetage og rådgive om de komplekse regler, der følger med.