Data Protection Officer

Data Protection Officer

Persondataforordningen gør det for en række organisationer obligatorisk at udpege en data protection officer (DPO). Man kan sige, at tanken er, at der skal være en uafhængig person i organisationen, der kan stille alle de spørgsmål og komme med de gode råd, som Datatilsynet ville komme med, hvis de kunne adressere alle organisationer. I denne artikel vil vi se lidt på, hvad DPO’ens arbejdsopgaver er.

I andre EU-lande har det igennem en årrække været obligatorisk at udpege en data protection officer. DPO’en har vejledt organisationen og fungeret som liaison mellem organisationen og de registrerede eller tilsynsmyndighederne. Det har været så stor en succes, at ordningen blev obligatorisk for alle EU-landene med tilblivelsen af forordningen. Reglerne for DPO er beskrevet i forordningens artikel 37-39.

Udpegelse af DPO

Offentlige myndigheder og organer skal altid udpege en DPO. Private organisationer skal udpege en DPO, når deres kerneaktiviteter består i regelmæssigt og systematisk at overvåge de registrerede eller når der i stort omfang behandles særlige kategorier af personoplysninger eller personoplysninger vedrørende straffedomme og lovovertrædelser. I praksis vil det være få private organisationer, der skal udpege en DPO. Private koncerner kan udpege en DPO på tværs af selskaberne, og offentlige organisationer kan udpege en fælles DPO.

DPO’ens stilling

DPO’en udpeges på baggrund af sine faglige kvalifikationer indenfor databeskyttelsesret og -praksis. Når man har udpeget en DPO, skal man meddele vedkommendes kontaktoplysninger til Datatilsynet. Den dataansvarlige skal sikre, at DPO’en har de ressourcer, der er nødvendige for vedkommendes arbejde – herunder med hensyn til foranstaltninger og uddannelse. DPO’en må ikke modtage instrukser vedrørende udførelsen af sine opgaver. Ligeledes må DPO’en ikke afskediges for at udføre sit arbejde. DPO’en skal rapportere til øverste ledelse.

De registrerede skal have mulighed for at kontakte DPO’en, og vedkommendes kontaktinformationer skal bl.a. fremgå af oplysningspligten til de registrerede. DPO’en har tavshedspligt og er underlagt fortrolighed vedrørende udførelsen af sine opgaver.

DPO’en må gerne udføre andre arbejdsopgaver end dem, som er omfattet af DPO-stillingen. Disse andre arbejdsopgaver må dog ikke kunne medføre en interessekonflikt i forhold til DPO-opgaverne. Det er således i henhold til Justitsministeriet utænkeligt, at CIO eller CHRO må være DPO. Der ses endnu ikke at være taget stilling til, om CISO kan være DPO – det vil afhænge af, om der kan siges at være en interessekonflikt i den konkrete organisation. Hvis CISO i høj grad tager stilling til formålet med og midlerne til behandling af personoplysninger i organisationen, vil der være en interessekonflikt, og en sådan CISO må således ikke være DPO. Hvis CISO derimod ikke har ansvaret for nogle systemer, som af ikke-sikkerhedsmæssige årsager behandler personoplysninger, vil det formodentlig være muligt for CISO at være DPO.

DPO’ens arbejdsopgaver

DPO’en skal inddrages i alle spørgsmål vedrørende beskyttelse af personoplysninger og skal have adgang til såvel personoplysningerne som behandlingsaktiviteterne. De væsentligste arbejdsopgaver er at rådgive den dataansvarlige og de ansatte om, hvordan de kan efterleve de persondataretlige regler.

Rådgivningen kan f.eks relatere sig til.:

  • konkrete behandlinger af systemer, etablering af nye IT-tekniske løsninger eller processer
  • at sikring af fornøden oplysning af de registrerede forud for behandling
  • identifikation af den rette behandlingshjemmel i en konkret behandling
  • anvendelse af databehandlere og compliancetjek af databehandleraftaler
  • videregivelse af personoplysninger til andre dataansvarlige
  • overførsel af personoplysninger til tredjelande
  • bistand til registrerede, som søger om indsigt, sletning m.v.
  • rådgive om gennemførelse af konsekvensanalyser
  • generelt foretage vurderinger af de registreredes risici ved at organisationen behandler personoplysninger

DPO’en har også en central rolle i forhold til at overvåge, at organisationen efterlever forordningen og egne politikker. Det kan f.eks. betyde, at DPO’en må formulere en række kontroller, som organisationen skal efterleve og som evt. kan implementeres teknisk i form af forskellige former for automatiseret logning. I forbindelse med overvågningen er det også vigtigt, at DPO’en sørger for, at de ansatte, som behandler personoplysninger, har det rette kompetenceniveau til at være i stand til at sikre, at organisationen efterlever reglerne.

Endelig skal DPO’en i samarbejde til Datatilsynet og fungere som kontaktpunkt.

CPO og/eller DPO

Navnlig det forhold, at DPO’en har en kontrolforpligtelse i forhold til organisationens efterlevelse af reglerne, stiller visse begrænsninger på DPO’ens mulighed for selv at skrive procedurer og regler i organisationen: Kan man forestille sig, at den samme person formulerer en regel og kontrollerer dens efterlevelse, eller vil dette kompromittere DPO’ens uafhængighed? I en ideel verden vil det være nødvendigt at sikre funktionsadskillelse mellem disse opgaver. For store organisationer, hvor det er muligt at skille opgaverne ad, må det anses for nødvendigt at gøre det. I mindre organisationer vil der typisk kun være maksimalt én person, som har de fornødne persondataretlige kompetencer til at sikre organisationens compliance med reglerne. I dette tilfælde, må man hugge en hæl og klippe og tå og lade pågældende person løfte begge typer af opgaver eller betale for at outsource DPO-opgaven til en uafhængig ekstern rådgiver.

I større organisationer kan man med fordel udpege en Chief Privacy Officer (CPO), som er projektleder for GDPR-projektet. Denne CPO kan så arbejde i samspil med DPO om GDPR-projektet, men på en sådan måde at DPO i virkeligheden gennemfører uafhængige kontroller af CPO’ens/organisationens arbejde med reglerne.

I de tilfælde, hvor en organisation ikke er pligtig til at udpege en DPO efter loven, kan det overvejes i stedet at udpege en CPO, som får ansvaret for GDPR-projektet og med titlen får den fornødne autoritet til at gennemføre de samme tiltag, som DPO’en kunne have gjort, men hvor der ikke er helt de samme krav til uafhængighed og løsning af andre arbejdsopgaver i organisationen.

Links

Datatilsynets vejledning om Databeskyttelsesrådgivere:
https://www.datatilsynet.dk/media/6561/databeskyttelsesraadgivere.pdf

Artikel 29-gruppen om Databeskyttelsesrådgivere:
https://www.datatilsynet.dk/media/6837/databeskyttelsesraadgivere-dpo-er-wp243.pdf

Om Henning Mortensen

Om Henning Mortensen

Henning har igennem mere end 15 år rådgivet og udgivet en række vejledninger og værktøjer til danske virksomheder om it-sikkerhed og persondataret i sin rolle som chefkonsulent i Dansk Industri. I dag er Henning IT-sikkerhedschef og Chief Privacy Officer ved Brødrene A&O Johansen A/S og sidder derfor på daglig basis og arbejder med forordningen i praksis. Henning er desuden formand for Rådet for Digital Sikkerhed, medlem af Virksomhedsrådet for IT-sikkerhed, Privacy Evangelist for Wired Relations – easy GDPR software og en hyppigt anvendt underviser og foredragsholder. Henning Mortensen blev tildelt Databeskyttelsesprisen 2018 for sit lange seje træk med at omsætte databeskyttelse til konkret vejledning og gode råd, som er anvendelige for både myndigheder og store og små virksomheder.

Følg Henning Mortensen på Linkedin