#2 Skal alle virksomheder virkelig have en DPO?

Del artikel:

Da EU-dataforordningen blev vedtaget i december 2016, tiltrak den helt nye stilling som Data Protection Officer - eller DPO - sig en del opmærksomhed

 

Nu har Justitsministeriet udtalt sig om deres tolkninger af forordningens bestemmelser om hvem, der skal have en databeskyttelsesrådgiver, som DPO'en hedder på dansk. Justitsministeriet har meldt ud, at bestemmelsen skal tolkes lettere end hidtil antaget. Således forventes det, at mange private virksomheder, f.eks. e-handelsbutikker, rejseselskaber, energiselskaber m.fl, ikke skal have en DPO. Virksomheder skal kun have en DPO, hvis følgende tre betingelser er til stede

 

1.     Behandling af personoplysninger skal være virksomhedens kerneaktivitet

2.     Der skal behandles personoplysninger i et stort omfang

3.     Behandlingsaktiviteten består i regelmæssig og systematisk overvågning af personer eller behandlingen vedrører følsomme oplysninger

 

En virksomhed som Geomatic, der har som kerneaktivitet at behandle persondata på vegne af vores kunder, som gør det regelmæssigt og i stort omfang, samt systematisk overvåger personer, f.eks. i CPR-systemet, skal have en DPO. Men som dataansvarlig og kunde hos Geomatic, vil du ikke nødvendigvis skulle have en egen DPO - det arbejde kan du trygt overlade til en databehandler som Geomatic

 

Dog har Justitsministeriet oplyst, at det for følgende typer af virksomheder må antages, at der skal udpeges en DPO; fagforeninger, banker- og forsikringsselskaber, IT-hosting eller lagring af oplysninger, herunder cloud-udbydere, samt udbydere af marketingsundersøgelser og analyser, herunder adfærdsbaseret markedsføring og systematisk tracking af personer. Alle disse virksomheder vil forventeligt skulle have en databeskyttelsesrådgiver

 

Justitsministeriet har desuden udtalt at en DPO - modsat tidligere tolkninger - aldrig kan blive gjort personlig ansvarlig for en virksomheds overholdelse af lovgivningen. Alligevel anbefales det alle at tage frivillige initiativer til at ansætte en DPO, uanset om det er pålagt eller ikke, hvis man arbejder med persondata. Det behøver ikke være en intern ansat, men kan være en ekstern konsulent, man kan rådføre sig med på området. Det er nemlig fortsat enhver virksomheds pligt at overholde persondataloven, samt at kunne bevise dette, uanset om man er forpligtet til at have en DPO eller ej

 

For at blive klar til dataforordningen, bør I rådføre jer med jeres databehandler, jeres DPO, hvis sådan er udpeget, eller med en autoriseret IT-revisor eller jurist på området. Du er også velkomne til at kontakte os for rådgivning om, hvordan din virksomhed bliver klar til den nye lovgivning

Martin K. Glarvig portrait

Martin K. Glarvig

Linkedin

Chairman & Founder, Geomatic

Martin Glarvig er stifter og bestyrelsesformand i Geomatic. Med en baggrund som geodæt har dét at sætte samfundets data i spil dannet rammen om  den rådgivning om data, han har ydet til offentlige  og private kunder i over 20 år.  Han har været aktivt involveret i  tilblivelsen af dataforordningen, samt deltager  fortsat aktivt i den offentlige debat om dataetik,  samt implementering af forordningen i danske  lovgivning, herunder tilpasning på øvrige lovgivningsområder