Den nye persondataforordning medfører et krav om, at visse virksomheder skal udpege en DPO. Derfor har vi lavet dette blogindlæg, for at hjælpe med at klargøre, hvad en DPO er og hvilke virksomheder, der skal have en DPO. 

Hvad er en DPO? 

DPO er en forkortelse for ’Data Protection Officer’ som på dansk betyder databeskyttelsesrådgiver. En DPO skal udpeges på baggrund af sine faglige kvalifikationer og kan være både intern og ekstern. Arbejdsopgaverne, der påhviler DPO’en, omfatter b.la. en central rådgivnings- og overvågningsrolle samt uddannelse af ansatte vedr. overholdelse af de nye regler om databeskyttelse. DPO’en skal desuden inddrages i alle overvejelser og løsninger ift. kravene i forordningen. DPO’en er ansvarlig for risikovurdering og prioritering af opgaver forbundet med virksomhedens behandlingsaktiviteter, og er desuden ansvarlig for at formidle oplysninger vedr. data- og sikkerhedsbrud og for at underrette herom så hurtigt som muligt. 

DPO’en er dog alene en rådgiver, hvorfor DPO’en ikke er personligt ansvarlig for en virksomheds manglende overholdelse af forordningen. Det er altid den dataansvarlige og databehandlerens ansvar, at behandlingen af personoplysninger er lovlig og sker i overensstemmelse med forordningens bestemmelser. DPO’en kan ikke samtidig være øverste ansvarlig for organisationens lovlige behandling af personoplysninger dvs., at DPO’en ikke kan være f.eks. den øverste IT-ansvarlige eller den øverste HR-ansvarlige. 

Hvilke virksomheder skal have en DPO? 

De organisationer, der skal have en DPO, er først og fremmest offentlige myndigheder uanset størrelse og ansvarsområder med undtagelse af domstolene. 

De private virksomheder, der skal have en DPO, er de virksomheder, hvis hovedaktivitet består af omfattende databehandling, som kræver regelmæssig og systematisk overvågning. Også virksomheder, hvis hovedaktivitet består af omfattende behandling af følsomme personoplysninger f.eks. helbredsoplysninger eller oplysninger vedr. strafbare forhold, skal have en DPO. 

Hvis ikke den private virksomhed kan nikke genkendende til ovenstående, hvis behandlingen af f.eks. kundedata ikke er virksomhedens hovedaktivitet, er der ikke som udgangspunkt krav om at udpege en DBO. Det er imidlertid altid en god idé at beslutte sig for, hvem der skal have ansvaret for behandlingen af persondata i ens virksomhed.