#2 Skal alle virksomheder virkelig have en DPO?

Del artikel:

Da EU-dataforordningen blev vedtaget i december 2016, tiltrak den helt nye stilling som Data Protection Officer - eller DPO - sig en del opmærksomhed.

Nu har Justitsministeriet udtalt sig om deres tolkninger af forordningens bestemmelser om hvem, der skal have en databeskyttelsesrådgiver, som DPO'en hedder på dansk. Justitsministeriet har meldt ud, at bestemmelsen skal tolkes lettere end hidtil antaget. Således forventes det, at mange private virksomheder, f.eks. e-handelsbutikker, rejseselskaber, energiselskaber m.fl, ikke skal have en DPO. Virksomheder skal kun have en DPO, hvis følgende tre betingelser er til stede:

 

1.     Behandling af personoplysninger skal være virksomhedens kerneaktivitet

2.     Der skal behandles personoplysninger i et stort omfang

3.     Behandlingsaktiviteten består i regelmæssig og systematisk overvågning af personer eller behandlingen vedrører følsomme oplysninger

 

En virksomhed som Geomatic, der har som kerneaktivitet at behandle persondata på vegne af vores kunder, som gør det regelmæssigt og i stort omfang, samt systematisk overvåger personer, f.eks. i CPR-systemet, skal have en DPO. Men som dataansvarlig og kunde hos Geomatic, vil du ikke nødvendigvis skulle have en egen DPO - det arbejde kan du trygt overlade til en databehandler som Geomatic.

 

Dog har Justitsministeriet oplyst, at det for følgende typer af virksomheder må antages, at der skal udpeges en DPO; fagforeninger, banker- og forsikringsselskaber, IT-hosting eller lagring af oplysninger, herunder cloud-udbydere, samt udbydere af marketingsundersøgelser og analyser, herunder adfærdsbaseret markedsføring og systematisk tracking af personer. Alle disse virksomheder vil forventeligt skulle have en databeskyttelsesrådgiver.

 

Justitsministeriet har desuden udtalt at en DPO - modsat tidligere tolkninger - aldrig kan blive gjort personlig ansvarlig for en virksomheds overholdelse af lovgivningen. Alligevel anbefales det alle at tage frivillige initiativer til at ansætte en DPO, uanset om det er pålagt eller ikke, hvis man arbejder med persondata. Det behøver ikke være en intern ansat, men kan være en ekstern konsulent, man kan rådføre sig med på området. Det er nemlig fortsat enhver virksomheds pligt at overholde persondataloven, samt at kunne bevise dette, uanset om man er forpligtet til at have en DPO eller ej.

 

For at blive klar til dataforordningen, bør I rådføre jer med jeres databehandler, jeres DPO, hvis sådan er udpeget, eller med en autoriseret IT-revisor eller jurist på området. Du er også velkomne til at kontakte os for rådgivning om, hvordan din virksomhed bliver klar til den nye lovgivning.