GDPR: Hvad er DPO’ens arbejdsopgaver?

By 
Henning Mortensen
November 22, 2019

I flere EU-lande har det igennem en årrække været obligatorisk at udpege en data protection officer. DPO’en har vejledt organisationen og fungeret som liaison mellem organisationen og de registrerede eller tilsynsmyndighederne. Det har været så stor en succes, at ordningen blev obligatorisk for alle EU-landene med tilblivelsen af forordningen. Reglerne for DPO'ens arbejdsområder er beskrevet i forordningens artikel 37-39.

Persondataforordningen gør det for en række organisationer obligatorisk at udpege en data protection officer (DPO). Man kan sige, at tanken er, at der skal være en uafhængig person i organisationen, der kan stille alle de spørgsmål og komme med de gode råd, som Datatilsynet ville komme med, hvis de kunne adressere alle organisationer. I denne artikel vil vi se lidt på, hvad DPO’ens arbejdsopgaver er.

Udpegelse af en DPO

Offentlige myndigheder og organer skal altid udpege en DPO. Private organisationer skal udpege en DPO, når deres kerneaktiviteter består i regelmæssigt og systematisk at overvåge de registrerede, eller når der i stort omfang behandles særlige kategorier af personoplysninger eller personoplysninger vedrørende straffedomme og lovovertrædelser. I praksis vil det være få private organisationer, der skal udpege en DPO. Private koncerner kan udpege en DPO på tværs af selskaberne, og offentlige organisationer kan udpege en fælles DPO.

DPO’ens stilling

DPO’en udpeges på baggrund af sine faglige kvalifikationer indenfor databeskyttelsesret og -praksis. Når man har udpeget en DPO, skal man meddele vedkommendes kontaktoplysninger til Datatilsynet. Den dataansvarlige skal sikre, at DPO’en har de ressourcer, der er nødvendige for vedkommendes arbejde – herunder med hensyn til foranstaltninger og uddannelse. DPO’en må ikke modtage instrukser vedrørende udførelsen af sine opgaver. Ligeledes må DPO’en ikke afskediges for at udføre sit arbejde. DPO’en skal rapportere til den øverste ledelse.

De registrerede skal have mulighed for at kontakte DPO’en, og vedkommendes kontaktinformationer skal bl.a. fremgå af oplysningspligten til de registrerede. DPO’en har tavshedspligt og er underlagt fortrolighed vedrørende udførelsen af sine opgaver.

DPO’en må gerne udføre andre arbejdsopgaver end dem, som er omfattet af DPO-stillingens beskrivelse. Disse arbejdsopgaver må dog ikke kunne medføre en interessekonflikt i forhold til DPO-opgaverne. Det er således i henhold til Justitsministeriet utænkeligt, at en CIO eller CHRO må være DPO. Der ses endnu ikke at være taget stilling til, om en CISO kan være DPO – det vil afhænge af, om der kan siges at være en interessekonflikt i den konkrete organisation. Hvis CISO'en i høj grad tager stilling til formålet med- og midlerne til behandling af personoplysninger i organisationen, vil der være en interessekonflikt, og en sådan CISO må således ikke være DPO. Hvis CISO'en derimod ikke har ansvaret for nogle systemer, som af ikke-sikkerhedsmæssige årsager behandler personoplysninger, vil det formodentlig være muligt for en CISO at være DPO.

DPO’ens arbejdsopgaver

DPO’en skal inddrages i alle spørgsmål vedrørende beskyttelse af personoplysninger og skal have adgang til såvel personoplysningerne som behandlingsaktiviteterne. De væsentligste arbejdsopgaver er at rådgive den dataansvarlige og de ansatte om, hvordan de kan efterleve de persondataretlige regler i lovgivningen, herunder GDPR-direktivet.

Rådgivningen kan f.eks relatere sig til men er ikke begrænset af:

  • Konkrete behandlinger af systemer, etablering af nye IT-tekniske løsninger eller processer
  • Sikring af fornødne oplysninger til de registrerede forud for behandling
  • Identifikation af den rette behandlingshjemmel i en konkret behandling af persondata
  • Anvendelsen af databehandlere og compliancetjek af databehandleraftaler
  • Videregivelse af personoplysninger til andre dataansvarlige
  • Overførsel af personoplysninger til tredjelande
  • Bistand til registrerede, som søger om indsigt, sletning m.v.
  • Rådgive om gennemførelse af konsekvensanalyser
  • Generelt foretage vurderinger af de registreredes risici, hvis organisationen behandler deres personoplysninger

DPO’en har også en central rolle i forhold til at overvåge, om organisationen efterlever forordningen og egne politikker. Det kan f.eks. betyde, at DPO’en må formulere en række kontroller, som organisationen skal efterleve og som evt. kan implementeres teknisk i form af forskellige typer automatiseret logning. I forbindelse med overvågningen er det også vigtigt, at DPO’en sørger for, at de ansatte, som behandler personoplysninger, har det rette kompetenceniveau, så de kan sikre organisationen efterlever reglerne.

Endelig skal DPO’en samarbejde med Datatilsynet og fungere som kontaktpunkt.

CPO og/eller DPO

Navnlig det forhold, at DPO’en har en kontrolforpligtelse i forhold til organisationens efterlevelse af reglerne, stiller det visse begrænsninger på DPO’ens mulighed for selv at skrive procedurer og regler i organisationen: Kan man forestille sig, at den samme person formulerer en regel og kontrollerer dens efterlevelse, eller vil dette kompromittere DPO’ens uafhængighed?

I en ideel verden vil det være nødvendigt at sikre funktionsadskillelse mellem disse opgaver. For store organisationer, hvor det er muligt at skille opgaverne ad, må det anses for nødvendigt at gøre det. I mindre organisationer vil der typisk kun være maksimalt én person, som har de fornødne persondataretlige kompetencer til at sikre organisationens compliance med reglerne. I dette tilfælde, må man hugge en hæl og klippe og tå og lade pågældende person løfte begge typer af opgaver. Alternativt må man betale for at outsource DPO-opgaven til en uafhængig, ekstern rådgiver.

I større organisationer kan man med fordel udpege en Chief Privacy Officer (CPO), som er projektleder for GDPR-projektet. Denne CPO kan så arbejde i samspil med DPO'en om GDPR-projektet, men på en sådan måde, at DPO'en i virkeligheden gennemfører uafhængige kontroller af CPO’ens/organisationens arbejde med reglerne.

I de tilfælde, hvor en organisation ikke er pligtig til at udpege en DPO efter loven, kan det overvejes i stedet at udpege en CPO, som får ansvaret for GDPR-projektet og med titlen får den fornødne autoritet til at gennemføre de samme tiltag, som DPO’en kunne have gjort; men hvor der ikke er helt de samme krav til uafhængighed og løsning af andre arbejdsopgaver i organisationen.

Links

Datatilsynets vejledning om Databeskyttelsesrådgivere:
https://www.datatilsynet.dk/media/6561/databeskyttelsesraadgivere.pdf

Artikel 29-gruppen om Databeskyttelsesrådgivere:
https://www.datatilsynet.dk/media/6837/databeskyttelsesraadgivere-dpo-er-wp243.pdf

Flere blogs indenfor området

Se alle blogs

Sådan mestrer du DPIA-processen

Få styr på DPIA-processen: 7 trin til succesfuld implementering af nye systemer

Tærskel- og konsekvensanalyse: Indledende screening vs dybdegående vurdering