Hvad er en DPO, og hvilke opgaver skal DPO’en varetage?
GDPR stiller krav til, at offentlige myndigheder og organisationer skal udpege en databeskyttelsesrådgiver (DPO). Private virksomheder skal typisk ikke udpege en DPO, men der kan være særlige tilfælde, hvor en privat virksomhed er forpligtet til at have en DPO. DPO’en har en særlig stilling og er med til at sikre, at din organisation lever op til de krav, der følger af GDPR. Men hvilke krav stilles der til DPO’en, hvilke opgaver skal denne løse, og skal DPO’en være intern eller ekstern?
Databeskyttelsesrådgiverens rolle og opgaver
En databeskyttelsesrådgiver (DPO) har flere opgaver, men hovedfunktionen er at rådgive om, hvordan din organisation overholder GDPR. Der er tale om en uafhængig rådgiverfunktion, og DPO’en prioriterer selv sine opgaver med hensyntagen til, hvad der i organisationen kan få størst konsekvens for de registrerede.
DPO’en har derudover til opgave at overvåge, om GDPR overholdes, underrette dataansvarlige i organisationen om de forpligtelser, der følger af GDPR samt samarbejde med Datatilsynet, herunder fungere som Datatilsynets kontaktpunkt.
Hvis din organisation har en DPO, er organisationen forpligtet til at inddrage DPO’en i forbindelse med alle de spørgsmål, der vedrører databeskyttelse og GDPR. Det betyder, at det altid skal drøftes med DPO’en, hvis der f.eks. skal implementeres en ny teknologi, hvor der sker behandling af personoplysninger, eller der skal behandles personoplysninger på en ny måde.
Selvom din organisation har en DPO, så er det stadig den øverste ledelse, der har ansvaret for, at GDPR overholdes. Derfor har ledelsen heller ikke pligt til at følge DPO’ens rådgivning, men det er en god idé. Viser det sig, at din organisation ikke overholder GDPR, men at DPO’ens råd og vejledning er fulgt, så kan det være en formildende omstændighed. Følges DPO’ens råd ikke, er det en god idé at begrunde det på skrift.
Skal DPO’en have en særlig uddannelse?
Der er stilles som sådan ikke krav om, at DPO`en skal have en bestemt uddannelse, men vedkommende skal have de rette kvalifikationer og ekspertise inden for GDPR samt have evnen til at udføre de opgaver, der følger med rollen som DPO.
Der stilles derfor indirekte krav om, at DPO`en skal have den nødvendige erfaring eller uddannelse, som gør personen i stand til at rådgive bredt inden for GDPR.
Skal din organisation vælge en intern eller ekstern DPO?
Det er helt op til ledelsen i din organisation at afgøre, om DPO-funktionen skal varetages af en intern medarbejder eller en ekstern rådgiver.
Fordelene ved at anvende en intern DPO kan være, at vedkommende har større kendskab til organisationen, og at den ansatte vil sidde fysisk i huset i modsætning til en ekstern DPO.
Vælger din organisation en intern DPO, så er der flere ting, du skal være opmærksom på:
- DPO’en må ved udførelsen af sine opgaver ikke være underlagt instrukser fra den dataansvarlige eller databehandleren. Det betyder, at DPO’en skal være uafhængig ved varetagelsen af sine opgaver som DPO. Som udgangspunkt kan en DPO derfor ikke pålægges at løse opgaver, som efterfølgende indgår i DPO’ens overvågning af, om GDPR er overholdt i organisationen.
- DPO’en må ikke løse opgaver i organisationen, hvor der kan opstå interessekonflikt med rollen som DPO. Det betyder, at DPO’en ikke samtidigt kan være ansvarlig for den dataansvarliges eller databehandlerens behandlingsaktiviteter, herunder for persondataretlige regler i organisationen, f.eks. som IT-ansvarlig eller HR-ansvarlig.
- DPO’en indtager en beskyttet stilling og må derfor ikke straffes eller afskediges som følge af sit arbejde.
Den interne DPO-rolle kan derfor være svær at håndtere i mange organisationer, fordi der er tale om en ansat, som ledelsen ikke kan instruere. Et alternativ til den interne DPO kan derfor være en ekstern DPO.
Fordelene ved en ekstern DPO er:
- at det kan sikres, at der ikke opstår interessekonflikter
- at DPO’en altid kan arbejde uafhængigt
- at DPO’en kan være ansat på deltid
- at DPO’en kan inddrage erfaringer og løsninger fra lignende organisationer
En ekstern DPO er kendetegnet ved, at vedkommende udfører samme rolle og opgaver som en intern DPO, men vedkommende er ansat et andet sted, f.eks. på et advokatkontor, i en revisionsvirksomhed eller IT-virksomhed.
Konflikten om, at DPO`en ikke må modtage instrukser fra ledelsen, vil med en ekstern DPO derfor ikke opstå på samme måde som med en intern DPO.
Har du spørgsmål eller brug for rådgivning?
Har du spørgsmål eller brug for rådgivning om DPO-funktionen eller GDPR generelt, så er du altid velkommen til at kontakte os.
Overvejer din organisation at få en ekstern DPO, så tag endelig kontakt til vores persondatateam for at høre nærmere om muligheden for et samarbejde. Vi tilbyder derudover en fast aftale om DPO-support, hvis din organisation har en intern DPO, som har behov for løbende sparring med en specialist fra vores persondatateam.
Vi indleder altid med en uforpligtende samtale, hvor vi sammen ser nærmere på, hvilke behov der er i din organisation, og hvordan vi kan imødekomme disse behov bedst muligt ud fra, hvordan din organisation er bygget op.