Skal din virksomhed udpege en DPO?

office-594132_1920

Kravene i forordningen er ganske specifikke, men der er stadig plads til fortolkning. Alle offentlige myndigheder skal have en DPO. Som privat virksomhed skal følgende 3 betingelser alle være opfyldt for at der er pligt til at udpege en DPO

  1. Behandling af personoplysninger skal være virksomhedens kerneaktivitet
  2. Der skal behandles personoplysninger i et stort omfang
  3. Behandlingsaktiviteten består i regelmæssig og systematisk overvågning af personer eller behandlingen vedrører følsomme oplysninger, herunder oplysninger om strafbare forhold

Begrebet ”kerneaktiviteter” går på, at behandlingen af personlysningerne er virksomhedens hovedaktivitet.

Hvis behandlingen af personoplysninger derimod er en biaktivitet, skal der ikke udpeges en DPO, hvilket betyder, at langt de fleste private virksomheder ikke skal have en DPO.

Den afgørende skillelinje er, om virksomhedens produkter eller tjenester består i behandling af personoplysninger eller om aktiviteterne er uløseligt forbundet hermed. Er dette tilfældet kan behandlingen betegnes som en hovedaktivitet.

Eksempler på hvor behandling af persondata er en hovedaktivitet (kerneaktiviteter)

  • Hosting eller lagring af oplysninger, herunder cloududbydere
  • Udbydere af marketingsundersøgelser
  • Forsikringsselskab (forsikringsydelsen uløseligt forbundet med behandlingen af personoplysninger)
  • Privathospital (patientbehandling uløseligt forbundet med journalbehandling)

Eksempler på hvor behandling af persondata er en biaktivitet

  • Kundekontakt
  • Support/salg
  • Personaleadministration
  • IT-support
  • Advokatfirmaers behandling af klient oplysninger

På trods af, at overstående biaktiviteter er vigtige for virksomheden, er der ikke tale om hovedaktivitet.

Der står ikke noget i Forordningen om, hvornår der er tale om behandling ”i et stort omfang”, men der må alt andet lige skulle en del til og at have det som kerneaktivitet/hovedaktivitet er ikke nok. Antallet af personer, der behandles oplysninger om, mængden af data, varigheden af behandlingen er alle momenter, som der skal tages hensyn til, når det vurderes om behandlingen er ”i et stort omfang”.

Hvis du vil læse yderligere finder du den danske version af Persondataforordningen her.

Eksempler på, hvad der ikke er behandling i et stort omfang, kan være en advokats eller praktiserende læges behandling af personoplysninger.

Hvorimod eksempler på behandling i stort omfang kan være: privathospitaler, forsikringsselskaber, fagforeninger, rejsekort mm.
Vedrørende ”regelmæssig og systematisk overvågning af de registrerede” er der tale om sporing/profilering af personer med henblik på at kortlægge for eksempel præferencer, adfærd og holdninger. Eksempler kan være: Drift af et telekommunikationsnetværk, kreditvurderinger, lokations-tracking, fx via apps, adfærdsbaseret markedsføring, Smart Cars.

Selvom kun ganske få virksomheder skal have en DPO jf. forordningen, så opfordrer de europæiske myndigheder til, at der frivilligt udpeges en DPO. Hvis der udnævnes en DPO, selvom der ikke er krav til det, så fanger bordet hvad angår pligter og rettigheder. DPO’en indtræder i ansvaret overfor Datatilsynet og DPO’en er stadig omfattet af beskyttelsen i forordningen, fx at vedkommende ikke må afskediges pga. uoverensstemmelser omkring sit arbejde som DPO. Der kan dermed ikke ske afskedigelse af DPO’en, fordi denne kommer med ubehagelige sandheder om virksomhedens implementering af forordningen. Til gengæld er DPO’en underlagt tavshedspligt.

Det vil – hvis ikke det er et krav at skulle have en DPO – også være en løsning, at udpege en person til at varetage DPO-opgaverne uden, at der indgås en konkret DPO-aftale. I den sammenhæng er det vigtigt, ikke at anvende DPO-titlen – det forpligter.

Med venlig hilsen

Mette Blanner
Partner,
DPO, CISA