DPO (Databeskyttelsesrådgiver)

En DPO er en person, der rådgiver din virksomhed om databeskyttelse og fungerer som kontaktpunkt til Datatilsynet. GDPR kræver, at visse virksomheder udpeger en DPO, men rollen kan også være frivillig og er ofte en god idé, selv når den ikke er lovpligtig.

Tilbage til ordbog

Hvad er en DPO?

En DPO (Data Protection Officer, på dansk databeskyttelsesrådgiver) er en person, der er udpeget i henhold til GDPR artikel 37–39 til at rådgive organisationen om dens databeskyttelsesforpligtelser. DPO'en har tre kernefunktioner: rådgivning om overholdelse af databeskyttelseslovgivningen, overvågning af at organisationen følger sine egne politikker og loven, og fungere som kontaktpunkt for tilsynsmyndigheden og de registrerede.

DPO-rollen blev indført med GDPR for at sikre, at organisationer har en intern ekspert, der kan give uafhængig vejledning om databeskyttelsesspørgsmål. DPO'en bærer ikke personligt ansvar for manglende overholdelse; det ansvar forbliver hos den dataansvarlige eller databehandleren.

Hvornår skal du have en DPO?

I henhold til GDPR artikel 37 er udpegning af en DPO obligatorisk i tre situationer:

Offentlige myndigheder og organer: Enhver organisation, der er en offentlig myndighed eller et offentligt organ (undtagen domstole, der handler i deres judicielle egenskab), skal udpege en DPO.
Systematisk overvågning i stor skala: Organisationer, hvis kerneaktiviteter kræver regelmæssig og systematisk overvågning af registrerede i stor skala, skal udpege en DPO. Eksempler inkluderer adfærdsbaserede annoncenetværk og svindelforebyggelsestjenester.
Behandling af følsomme data i stor skala: Organisationer, hvis kerneaktiviteter indebærer behandling i stor skala af særlige kategorier af data (f.eks. sundhedsdata, biometriske data) eller data om straffedomme, skal udpege en DPO.

Selv når det ikke er obligatorisk, vælger mange organisationer frivilligt at udpege en DPO som en del af deres bredere GDPR-compliance-strategi. Hvis du frivilligt udpeger en DPO, gælder de fulde krav i artikel 37–39.

Intern eller ekstern DPO

DPO'en kan være en medarbejder i organisationen (intern DPO) eller en ekstern tjenesteudbyder (ekstern DPO). Begge muligheder er udtrykkeligt tilladt i GDPR. En intern DPO skal kunne kombinere rollen med andre opgaver, forudsat at der ikke er interessekonflikt. En ekstern DPO er engageret under en serviceaftale og betjener ofte flere organisationer.

Intern DPO: Bedre kendskab til organisationens processer, men risiko for interessekonflikter, hvis DPO'en også har en ledelses- eller IT-rolle.
Ekstern DPO: Større uafhængighed og ofte bredere erfaring på tværs af flere organisationer, men kan have brug for mere tid til at forstå den specifikke kontekst.

DPO'ens uafhængighed

GDPR stiller strenge krav til DPO'ens uafhængighed. Organisationen må ikke instruere DPO'en i, hvordan vedkommende skal udføre sine opgaver, må ikke afskedige eller straffe DPO'en for at udføre sine pligter og skal sikre, at DPO'en rapporterer direkte til det højeste ledelsesniveau. DPO'en skal også have de nødvendige ressourcer til at udføre sine opgaver og vedligeholde sin ekspertviden.

Anmeldelse til Datatilsynet: I henhold til GDPR artikel 37, stk. 7 skal organisationen meddele DPO'ens kontaktoplysninger til tilsynsmyndigheden. I Danmark sker dette via Datatilsynets online anmeldelsesformular. Manglende anmeldelse er i sig selv en overtrædelse.

Ofte stillede spørgsmål om dpo (databeskyttelsesrådgiver)

Hvad er en DPO?

En DPO (Data Protection Officer, databeskyttelsesrådgiver) er en person, der er udpeget i henhold til GDPR til at rådgive organisationen om databeskyttelse, overvåge overholdelse og fungere som kontaktpunkt for tilsynsmyndigheden og de registrerede.

Hvornår er en DPO obligatorisk under GDPR?

En DPO er obligatorisk for offentlige myndigheder, for organisationer hvis kerneaktiviteter kræver systematisk overvågning af registrerede i stor skala, og for organisationer der behandler særlige kategorier af data i stor skala.

Kan en DPO være ekstern?

Ja. GDPR tillader udtrykkeligt både interne og eksterne DPO'er. En ekstern DPO er engageret under en serviceaftale og kan betjene flere organisationer, forudsat at vedkommende er tilgængelig for hver enkelt.

Hvad er DPO'ens vigtigste ansvarsområder?

DPO'en rådgiver om databeskyttelsesforpligtelser, overvåger overholdelse af GDPR og organisationens egne politikker, samarbejder med tilsynsmyndigheden og fungerer som kontaktpunkt for de registrerede og myndigheden.

Skal DPO'en anmeldes til Datatilsynet?

Ja. I henhold til GDPR artikel 37, stk. 7 skal organisationen meddele DPO'ens kontaktoplysninger til tilsynsmyndigheden. I Danmark sker dette via Datatilsynets online anmeldelsesformular.