Hvornår er en DPO lovpligtig?
GDPR artikel 37 udpeger tre situationer, hvor der skal udpeges en databeskyttelsesrådgiver: når behandlingen foretages af en offentlig myndighed (undtagen domstole), når kerneaktiviteten består i regelmæssig og systematisk overvågning af registrerede i stort omfang (fx adfærdssporing, lokationsdata, profilering), eller når kerneaktiviteten er behandling af følsomme oplysninger eller straffedomme i stort omfang (fx sundhedsdata, biometri).
Ordet “kerneaktivitet” er afgørende: almindelig medarbejder- og kundeadministration udløser ikke kravet, selvom den indeholder persondata. En dansk SMV i handel eller produktion skal derfor sjældent have en DPO — mens kommuner, regioner og statslige enheder altid skal, og det samme gælder fx sundhedsaktører og virksomheder, der lever af dataovervågning.
Hvad laver en DPO?
Opgaverne følger af artikel 39: informere og rådgive ledelse og medarbejdere om deres forpligtelser, overvåge efterlevelsen af GDPR og interne politikker (herunder ansvarsfordeling, awareness og audits), rådgive om konsekvensanalyser (DPIA) og overvåge deres gennemførelse, samarbejde med Datatilsynet og fungere som tilsynets kontaktpunkt — samt være kontaktpunkt for de registrerede, der vil udøve deres rettigheder.
Bemærk hvad der ikke står: DPO’en er rådgiver og vagthund, ikke den ansvarlige. Ansvaret for efterlevelsen ligger altid hos den dataansvarlige — altså ledelsen. En DPO flytter ikke ansvar; den kvalificerer det.
Uafhængighed: rollens vigtigste — og sværeste — krav
GDPR kræver, at DPO’en rapporterer direkte til øverste ledelse, ikke modtager instrukser om opgavernes udførelse, ikke kan afskediges eller straffes for at udføre dem — og ikke har interessekonflikter. Det sidste udelukker i praksis, at IT-chefen, HR-chefen eller direktøren selv tager rollen: man kan ikke uafhængigt overvåge behandlinger, man selv har besluttet.
Derfor vælger mange organisationer en ekstern DPO: en specialist på abonnement, der leverer uafhængigheden, fagligheden og kontaktpunktet uden en intern ansættelse. For mindre offentlige enheder og omfattede virksomheder er det ofte den eneste realistiske model. Også organisationer uden lovkrav udpeger i stigende grad en frivillig databeskyttelsesrådgiver — men vær opmærksom på, at en formelt udpeget DPO udløser hele regelsættet, inklusive anmeldelse til Datatilsynet og uafhængighedskravene.
DPO, CISO — hvad er forskellen?
Rollerne forveksles ofte, men de svarer på hver sit spørgsmål: CISO’en ejer informationssikkerheden (“er vores systemer og data beskyttet?”), mens DPO’en overvåger databeskyttelsen (“behandler vi persondata lovligt?”). De overlapper på sikkerhedsforanstaltninger (GDPR artikel 32), men DPO’ens uafhængighedskrav betyder, at samme person som hovedregel ikke kan bestride begge roller — CISO’en træffer netop de beslutninger, DPO’en skal efterprøve.