Hvem skal have en databeskyttelsesrådgiver (DPO)
Alle offentlige myndigheder skal have en DPO.
Hvis din virksomhed behandler persondata i større omfang som en del af kerneforretningen eller beskæftiger sig med overvågning af personer eller disses adfærd i større omfang, skal I have en databeskyttelsesrådgiver – også kaldet DPO.
Som eksempler på brancher, hvor udpegning af DPO – afhængig af virksomhedens størrelse og aktivitetsniveau – kan være relevant, kan nævnes:
- Hostingudbydere (cloud computing)
- Virksomheder, der udbyder marketingsundersøgelser
- Hosting af hjemmesider/internetudbydere
- Udviklere/udbydere af apps, der indsamler persondata
- Rekrutteringsfirmaer samt udbydere af personlighedstests
- Privathospitaler
- Forsikringsselskaber, der udbyder personskadeforsikringer eller sundhedsforsikringer
Valg af DPO kan i visse brancher være et konkurrenceparameter, hvorfor det kan være relevant at udpege en DPO, selv hvor virksomheden ikke er juridisk forpligtet til det.
DPO’ens rolle
DPO’en rådgiver myndigheden eller virksomheden om persondataspørgsmål og fungerer samtidig som en slags persondataretlig ”ombudsmand” for de personer, der behandles persondata om. Det er et krav i persondataforordningen, at DPO’en involveres i en række situationer, herunder i forbindelse med udarbejdelse af konsekvensanalyser (Data Protection Impact Assessments), som i visse tilfælde skal udarbejdes i forbindelse med iværksættelse af nye aktiviteter/forretningsområder, der involverer behandling af persondata. Endvidere er det et krav, at DPO’en involveres i tilfælde af databrud. DPO’en vil være kontaktpersonen mellem virksomheden og Datatilsynet.