EU vedtog i 2016 en ny persondataforordning, som blandt andet fastlægger reglerne for, hvornår og hvordan en virksomhed må behandle personoplysninger. Forordningen indeholder en række nyskabelser i forhold til de nugældende regler, herunder at offentlige myndigheder og visse private virksomheder fremover skal udpege en DPO (databeskyttelsesrådgiver).

DPO står for ”Data Protection Officer”, og det er hensigten, at DPO`en igennem rådgivning og overvågning skal understøtte, at virksomheden overholder persondataforordningen. I praksis skal DPO’en blandt andet kontrollere, at virksomheden har udarbejdet de nødvendige persondatapolitikker, og at medarbejderne er instrueret heri, samt sikre at politikkerne og instrukserne overholdes og ajourføres.

DPO-kravet gælder for alle offentlige myndigheder, som derfor skal have tilknyttet en DPO, når reglerne i persondataforordningen begynder at finde anvendelse fra den 25. maj 2018. Private virksomheder skal derimod kun have udpeget en DPO, hvis (samtlige af) de følgende 3 betingelser er opfyldt:

1. Behandling af personoplysninger er virksomhedens kerneaktivitet

Her er fokus på ordet kerneaktivitet. Alle virksomheder behandler personoplysninger, men ofte behandles de kun for at understøtte virksomhedens kerneaktivitet. F.eks. anses behandling af HR-oplysninger og kundeoplysninger i forbindelse med kontakt og salg til kunder for en biaktivitet, der understøtter virksomhedens hovedaktivitet, der typisk er levering af tjenesteydelser eller varer. Privatskoler, håndværksfag og detailhandel vil derfor som udgangspunkt ikke have behandling af personoplysninger som kerneaktivitet.

Hvis virksomhedens hovedaktivitet direkte består i behandling af personoplysninger, eller hvis virksomhedens produkt uløseligt er forbundet med behandling af personoplysninger, vil virksomheden blive omfattet af reglen. Det kan f.eks. være virksomheder, der udbyder marketingsundersøgelser, privathospitaler, forsikringsselskaber, teleselskaber og stillingsbesættende virksomheder.

2. Der sker behandling af personoplysninger i et stort omfang

Ved vurderingen af, om en virksomhed behandler personoplysninger i et stort omfang, lægges der blandt andet vægt på, hvor mange personer, virksomheden behandler personoplysninger om, samt hvor mange typer af personoplysninger, der indhentes og registreres. Derudover er det afgørende, hvor længe oplysningerne behandles, og hvilket geografisk område virksomheden opererer inden for.

Et forsikringsselskab, som kun udbyder forsikringer til en bestemt og mindre landsdel, vil med al sandsynlighed ikke blive omfattet af reglen, da denne ikke behandler en stor mængde af personoplysninger om et væsentligt antal personer, og virksomhedens ydelser kun udstrækker sig over et begrænset geografisk område. Det samme gælder en lægepraksis med et begrænset antal læger. Omvendt vil et landsdækkende forsikringsselskab eller en stor lægepraksis formentlig opfylde betingelsen.

3. Behandlingsaktiviteten består i regelmæssig og systematisk overvågning af personer, eller  behandlingen vedrører følsomme personoplysninger eller oplysninger om strafbare forhold

Virksomheder, hvis kerneaktivitet består af behandling af personoplysninger i et stort omfang, skal enten foretage regelmæssig og systematisk overvågning af personer  eller behandle følsomme oplysninger eller oplysninger om strafbare forhold  for at være forpligtet til at udpege en DPO.

En virksomhed, som foretager sporringer eller profilering, f.eks. via internettet, vil blive anset for at foretage regelmæssig og systematisk overvågning. Kreditvurderinger og lokalitetstracking via applikationer og adfærdsbaseret annoncering er alle eksempler herpå.

Følsomme personoplysninger er blandt andet oplysninger om race eller etnisk oprindelse, politisk eller religiøs overbevisning, fagforeningsmæssige forhold eller helbredsoplysninger. Det er derfor også afgørende, om virksomheden behandler denne type oplysninger, eller om virksomheden behandler straffeattester.

Som følge af ovenstående vil mange private virksomheder derfor ikke være tvunget til at udpege en DPO. Alle private virksomheder skal dog stadig overholde persondataforordningens regler, og det kan derfor i mange tilfælde være en god idé at udpege en DPO, selvom dette ikke er et lovkrav. Vælger en virksomhed at udpege en DPO på frivillig basis, vil der dog gælde de samme krav til DPO`en, som hvis virksomheden var forpligtet til at udpege en DPO. Alternativt kan der udpeges en ansvarlig for håndtering af virksomhedens personoplysninger, som har nogle af de tilsvarende funktioner som DPO`en.

HjulmandKaptain kan varetage rollen som DPO

Hvis du ikke ønsker at ansætte en ny medarbejder eller udpege en eksisterende medarbejder til DPO (eller en lignende funktion), kan rollen også varetages af en ekstern rådgiver.

HjulmandKaptain hjælper mange virksomheder med at blive klar til den 25. maj 2018, hvor persondataforordningens regler finder anvendelse fra, og vi har derfor stor erfaring i at arbejde med håndtering af personoplysninger i mange forskellige typer af virksomheder. Vi vil derfor også kunne varetage en rolle som DPO for din virksomhed eller alternativt være den faste sparringspartner og kontrollør i forhold til virksomhedens løbende håndtering af personoplysninger.  

Hvis du vil høre mere om HjulmandKaptains persondatarådgivning og DPO-rollen, er du meget velkommen til at kontakte os.

Du kan også læse mere om databeskyttelsesrådgivere i Datatilsynets vejledning fra september 2017 her.

Kontakt

Tak for din henvendelse

Vi har sendt dig en kvittering via mail og kontakter dig hurtigst muligt.

Har din virksomhed spørgsmål vedrørende DPO-rollen?

Vores advokater står klar til at hjælpe

Vil du vide mere, eller har du brug for hjælp, så udfyld felterne. Så kontakter vi dig hurtigst muligt.