Data Protection Officer (DPO)

Hvad er en Data Protection Officer?
Med EU-persondataforordningen (GDPR) følger en række skærpede krav til virksomheders indsamling, opbevaring og behandling af persondata. Især kravet om data accountability betyder, at den dataansvarlige virksomhed skal tage ansvar for sin databehandling. Det kræver, at der er styr på data og at virksomheden kan dokumentere, at der er styr på data.

En Data Protection Officer (DPO) skal have ekspertviden om både persondatajura og om gældende reglers praktiske implementering i en organisationen.

Hvornår skal man ansætte en Data Protection Officer?
GDPR stiller krav om, at en Data Protection Officer skal ansættes i en række bestemte tilfælde. Derudover er det vigtigt at være opmærksom på, at kravene om data ”accountability” gælder alle virksomheder, dvs. også virksomheder, der ikke har pligt til at ansætte en Data Protection Officer, og derfor vil alle virksomheder skulle overveje, om det er hensigtsmæssigt at ansætte en person, som har ansvaret for overholdelse af persondatareglerne på samme eller sammenlignelig vis med en Data Protection Officer. 

Data accountability betyder kort sagt, at man skal have styr på sine data og databehandling samt kunne dokumentere at have styr på data.

Krav om databeskyttelse
Kriterier for private dataansvarlige eller databehandlere er:

  1. Den dataansvarliges eller databehandlerens kerneaktiviteter består af behandlingsaktiviteter, der i medfør af deres karakter, omfang og/eller formål kræver regelmæssig og systematisk overvågning af registrerede i stort omfang, eller

  2. den dataansvarliges eller databehandlerens kerneaktiviteter består af behandling i stort omfang af særlige kategorier af oplysninger hhv. personoplysninger vedrørende straffedomme og lovovertrædelser.

Alle myndigheder, bortset fra domstolene, skal ansætte en Data Protection Officer, idet der dog er mulighed for at ansætte en fælles Data Protection Officer for flere myndigheder.

Databehandleraftaler
Hvis de persondata din virksomheden opbevarer bliver brugt eller registreret af samarbejdspartnere og leverandører, er det vigtigt at sikre, at de også lever op til reglerne i GDPR. Et redskab til det er såkaldte databehandleraftaler. Hvis du vil vide mere om denne type aftaler, kan du lytte til vores podcast om emnet: