I dagens digitale verden er beskyttelse af personoplysninger en høj prioritet for både borgere og virksomheder. EU’s databeskyttelsesforordning, også kendt som GDPR, stiller krav om, at visse virksomheder skal udpege en databeskyttelsesrådgiver (DPO) i forlængelse af deres kerneaktiviteter og organisationer.
At overtræde denne forpligtelse kan føre til store administrative bøder, der kan nå op til 10.000.000 EUR eller 2 % af virksomhedens samlede globale omsætning. Det er derfor vigtigt at undersøge, om ens virksomhed er forpligtet til at udpege en DPO.
For offentlige myndigheder er det obligatorisk at udpege en DPO. For andre virksomheder/organisationer gælder kravet, hvis deres hovedaktivitet består i at behandle personoplysninger i et stort omfang, eller hvis karakteren af behandlingen eller dens formål kræver det. For eksempel er en vagtvirksomhed, der foretager overvågning, forpligtet til at udpege en DPO, da kerneaktiviteten i denne virksomhed er optagelse af billeder og/eller registrering af personoplysninger med det formål at overvåge.
Det er også relevant at udpege en DPO, hvis der indsamles og behandles en ikke ubetydelig mængde personoplysninger. Dette kan fx være tilfældet i forbindelse med adfærdsbaseret annoncering i en søgemaskine, behandling af kunde-geodata i en international kæde eller rejsedata og sporingsdata i forbindelse med kundeservice. Denne liste er ikke udtømmende, og det er vigtigt at foretage en konkret vurdering af mængden og typen af personoplysninger, der behandles, før man kan afgøre, om virksomheden er forpligtet til at udpege en DPO.
Endvidere vil en virksomhed være forpligtet til at udpege en DPO, hvis dens hovedaktiviteter består i regelmæssig og systematisk overvågning af personoplysninger i stort omfang. Dette kan fx omfatte alle former for sporing og profilering på internettet med henblik på adfærdsbaseret annoncering eller løbende vurdering af kunders kreditværdighed. Det kan også omfatte sporing af opholdssted via mobilapps, loyalitetsprogrammer eller overvågning.
Hvis kerneaktiviteten i virksomheden består af at behandle følsomme personoplysninger eller oplysninger vedrørende strafbare forhold i et stort omfang, vil virksomheden også være omfattet af DPO-kravet.
Når en virksomhed har konstateret, at den er forpligtet til, eller frivilligt ønsker at udpege en DPO, skal den tage stilling til, om DPO’en skal være intern eller ekstern. DPO’en skal være uafhængig af ledelsen og må ikke instrueres i udøvelsen af sine opgaver.
Uanset om man vælger en intern eller ekstern DPO-løsning, er det vigtigt, at DPO’en tilknyttes den øverste ledelse, og at rapporteringen sker hertil. Det betyder dog ikke, at den øverste ledelse kan instruere DPO’en i dens opgaver, da DPO’en skal betragtes som et selvstændigt organ i virksomheden og være upåvirket. Dette er også årsagen til, at DPO’en ikke kan afskediges i forbindelse med udførelse af dens arbejde.
Hvis virksomheden vælger at udpege en intern DPO, skal denne have tilstrækkelig ekspertise, og det skal sikres, at DPO’en ikke pålægges andre opgaver, der kan føre til interessekonflikter.
Vælges en ekstern DPO, skal der indgås en skriftlig aftale med den eksterne DPO, som sikrer, at DPO’en har tilstrækkelig ekspertise og ressourcer til at udføre opgaverne effektivt og uafhængigt.
DPO’ens primære opgaver er at informere virksomheden om dens databeskyttelsesretlige forpligtelser, overvåge om virksomheden overholder lovgivningen og bistå virksomheden med opgaver, oplysninger, kampagner mv. En DPO kan også være en positiv rolle i virksomheden, da den bidrager til at sikre overholdelse af lovgivningen og dermed giver kunderne tryghed og tillid til virksomheden.
For mange virksomheder kan det være vanskeligt at vurdere, om der er pligt til at udpege en DPO eller ej. I denne situation kan det være en god idé at søge professionel hjælp og rådgivning.
Er du i tvivl om, hvorvidt din virksomhed er forpligtet til at ansætte en DPO, er du velkommen til at kontakte DreistStorgaard, som kan hjælpe med at vurdere behovet for en DPO og eventuelt varetage rollen som DPO i virksomheden.
Af advokatfuldmægtig Sylvester Strand Thomsen
Certificeret CIPP/E og ISO 27701/2