Tilbage til blog
4 min read

Hvad er en DPO? Og skal din virksomhed have en?

Isabella Lüders
By: Isabella Lüders GDPR | 23 juli

Siden maj 2018 er databeskyttelse blevet endnu mere vigtigt. Databeskyttelsesloven (GDPR) er nu obligatorisk for alle, som behandler persondata. Mange virksomheder har været nødt til at gøre sig bekendte med de 7 principper for databeskyttelse og tilpasse sine processer og hverdag. Reglerne kan dog være svære at forstå og endnu sværere at implementere, hvilket er grunden til at mange virksomheder har valgt at ansætte en databeskyttelsesrådgiver (DPO). Men hvad er en DPO egentlig, og har alle brug for en? Forhåbentligt vil denne artikel hjælpe dig med at forstå databeskyttelsesrådgiverens rolle, hvornår du burde ansætte en, og hvordan de kan gavne din organisation.

Hvad er en DPO (Data protection officer)?

En DPO er en person eller enhed, der har ansvar for at sikre korrekt håndtering af persondata i overensstemmelse med GDPR i ens organisation.

Rollen er særlig vigtig i virksomheder, der:
  • Offentlige myndigheder, der behand­ler data som regelmæssigt eller systematisk kræver overvågning.
  • Private virksomheder, hvor hovedaktiviteten er systematisk overvågning af personer eller behandling af særlige kategorier af data (fx helbredsoplysninger)

Nøgleansvarsområder:
 
  1. Rådgivning og overvågning af GDPR-overholdelse

  2. Uddannelse af medarbejdere i databeskyttelse

  3. Gennemførelse af DPIA’er (Data Protection Impact Assessments)

  4. Samarbejde med Datatilsynet

  5. Føring og vedligeholdelse af databehandlingsaktiviteter

Skal I have en DPO?

Uanset din virksomheds størrelse eller industri, så er der stor sandsynlighed for, at I håndterer personoplysninger på den ene eller anden måde. Virksomheden er derfor forpligtet til at have nogen til at overvåge overholdelsen af GDPR.

Det behøver dog ikke nødvendigvis gøres af en DPO. Der er dog tre kategorier er organisationer, hvor det er påkrævet at have en DPO:

  1. Offentlige myndigheder – Personoplysninger behandles af et offentligt organ eller myndighed

  2. Regelmæssig overvågning i stor skala – Behandling af personlige oplysninger er en kerneaktivitet og udføres regelmæssigt

  3. Specielle datakategorier i stor skala – Behandling af specifikke ‘specielle’ datakategorier, hvilket betyder følsomme personoplysninger, som en kerneaktivitet i stor skala

I nogle tilfælde falder en organisation muligvis ikke ind under nogle af disse kategorier, men vil alligevel kunne have fordel af at have en DPO.

Mange store virksomheder hyrer en DPO til at hjælpe med den voksende mængde af personoplysninger. De ser ofte en fordel i, at en specifik person har ansvaret for GDPR-arbejdet.

Hvis du er i tvivl, om I skal have en DPO, kan du med fordel tjekke Datatilsynets indhold ud, hvor de rådgiver om netop dette. 

Ikke alle har behov for en DPO

At have en DPO vil dog ikke være en fordel for alle. Hvis du arbejder i en lille virksomhed, kan det være meget lettere og billigere at dele ansvaret for overholdelse af GDPR mellem flere personer. Eller måske håndterer din organisation kun minimale mængder af data, som er lette at håndtere lovmæssigt. Det er også muligt, at du allerede har udviklet et funktionelt og effektivt system, som ikke behøver en omstrukturering. Det hele afhænger af din virksomheds kontekst.

Billede af Risiko-analyse skabelon

Hvad laver en DPO?

DPO’ens formål er at støtte de tiltag som virksomheden tager for at overholde EU's reguleringer, som håndhæves af dit lands databeskyttelsesmyndighed, altså Datatilsynet i Danmark. Hvis man ikke lever op til kravene af databeskyttelsesloven, kan det have alvorlige konsekvenser, da man kan få en bøde på op til 4 % af ens globale omsætning. På grund af arbejdets fortrolige natur i form af persondata, rapporterer DPO’en som regel direkte til den øverste ledelse uden indblanding fra organisationen.

Mere præcist, indebærer DPO’ens opgaver:

  1. At besvare spørgsmål og håndtere bekymringer i forbindelse med GDPR

  2. Informere organisationen og medarbejderne omkring deres GDPR-forpligtelser

  3. Overvåge overholdelsen af GDPR ved træning af personale og gennemførsel af revisioner

  4. Udførsel af risikovurderinger og konsekvensanalyse af databeskyttelse

  5. Samarbejde og kommunikation med samarbejdspartnere, databehandlere m.fl.

Hvad skal en DPO kunne?

At finde en kvalificeret kandidat er det første essentielle skridt til at få en god DPO. Selvom databeskyttelsesloven ikke nævner specifikke krav, foreslås det at DPO’ens ekspertiseniveau matcher datadriftens kompleksitet. Hvilket på mange måder siger sig selv og siger ingenting på samme tid. Her er nogle forslag til, hvad du kan lede efter hos en kandidat (man behøver ikke, at kunne tikke alle punkter af for at være DPO):

  • Relevant erfaring fra arbejde med EU- og globale fortrolighedslove (herunder udarbejdelses af fortrolighedspolitikker, teknologibestemmelser og arbejde med lovoverholdelse)

  • Har arbejdet med IT-programmering eller infrastruktur (inklusive certificering i informationssikkerhedsstandarder)

  • Erfaring med udførsel af revisioner af informationssystemer, certificeringsrevisioner og risikovurderinger

  • Evnen til at koordinere med flere samarbejdspartnere og tilsynsførende under arbejdet med adskillelige projekter

  • Evnen til at kommunikere med folk fra diverse afdelinger med forskellige vidensniveauer (Alt fra bestyrelsen, ledere og IT-personale til advokater og medarbejderen på gulvet)

  • Evnen til at anskaffe sig ny og påkrævet viden løbende

  • Erfaring med juridisk og teknisk træning, og i at øge bevidsthed

  • Erfaring med succesfuld håndtering af forskellige virksomhedskulturer og industrier

Det kan lyde voldsomt, men mange af de ovenstående punkter kan også læres henad vejen.

Det kan være udfordrende at lede efter en ny medarbejder til at udfylde rollen. Efterspørgslen for kvalificerede DPO’er meget høj, hvilket betyder, at det kan være tidskrævende og udfordrende at finde den rigtige. Og da GDPR først trådte i kraft i 2018, så finder man jo ikke en kandidat med 20 års erfaring i GDPR. Det er learning by doing, præcis ligesom med ens GDPR-arbejde på tværs af hele organisationen.

Et godt sted at starte med at lede efter en DPO, er jeres egen IT- eller juridiske afdeling, da de allerede har forståelse for hvordan og hvilken slags data, som bliver behandlet. Så her kan man ofte finde en, der allerede har stor viden og kan mange af de ting, som en DPO skal kunne. Da overholdelse af GDPR er et dynamisk område, skal man holde sig opdateret på det påkrævede beskyttelsesniveau og nylige udviklinger. Hvis nødvendigt, bør medarbejderen modtage nødvendig GDPR-træning eller certificeringer.

Hvordan kan en DPO gavne dig?

Her er en kort liste over de måder, hvorpå en DPO kan hjælpe dig og din organisation:

  1. DPO’en guider dig gennem de komplekse GDPR-regler og assisterer med lovlig datahåndtering

  2. De øger den overordnede lovoverholdelse ved at instruere bestyrelsesmedlemmer, ledere og medarbejdere i hvordan de håndterer personoplysninger

  3. I tilfælde af sikkerhedsbrud, vil DPO’en stå for at gennemføre nødvendige protokoller, om hvordan l skal reagere internt og offentligt, da dette skal rapporteres til Datatilsynet indenfor 72 timer

  4. De kan rådgive dig, når det kommer til tiltage, der indebærer databeskyttelse, f.eks. it-sikkerheden

Der er så meget, man kan gøre

Som du kan se, kan en DPO hjælpe den daglige drift i din organisation. De kan mindske usikkerhed og støtte dig i den store opgave, som behandling af persondata kan udgøre. DPO’en kan i sidste ende hjælpe med at beskytte dig mod store bøder og datalæk.

Men at have en DPO er ikke løsningen på alle problemer, og er måske slet ikke den rigtige løsning overhovedet for jer. Alle medarbejdere er en del af at sikre overholdelsen af GDPR – præcis ligesom med IT-sikkerheden. Derfor kan alle medarbejdere have gavn af awareness-træning. De bør lære om hvad personoplysninger er, hvad de 7 principper for databeskyttelse er, hvordan man behandler personlige oplysninger og meget mere. En generel øget bevidsthed hos ens team vil hjælpe med at gøre din organisation mere sikker.

Smart CTA_e-book DK

 

I vores podcast, IT-sikkerhed med CyberPilot, har vi taget en snak med Palle, som arbejder som DPO. Her kan du høre nogle af hans erfaringer med DPO-arbejdet.

 

FAQ

Hvad betyder DPO?

DPO står for Data Protection Officer, på dansk kaldet en databeskyttelsesrådgiver. Rollen er at sikre, at virksomheden overholder databeskyttelsesreglerne.

Er det lovpligtigt at have en DPO?

Ikke alle virksomheder er forpligtede. Du skal udpege en DPO, hvis din virksomhed:

  • Er en offentlig myndighed,

  • Regelmæssigt og systematisk overvåger personer, eller

  • Behandler følsomme oplysninger i stort omfang.

Kan man outsource rollen som DPO?

Ja, det er tilladt at bruge en ekstern DPO – mange mindre virksomheder vælger den løsning, da det kan være mere omkostningseffektivt og fleksibelt.

Hvad koster en DPO?

Prisen varierer. En intern DPO kan koste en fuldtidsløn, mens en ekstern løsning kan koste fra ca. 2.000–10.000 kr. pr. måned, afhængigt af behov og branche.

Skal en DPO være jurist?

Nej, men det er en fordel. Det vigtigste er, at DPO’en har solid viden om GDPR og kan agere uafhængigt og professionelt.

Hvad sker der, hvis man ikke har en DPO og burde have det?

Manglende udpegning af DPO – hvis det er lovpligtigt – kan føre til advarsler eller bøder fra Datatilsynet.
Back to blog
Recent articles
IT-sikkerhed Den Ultimative Guide Til En Stærk Sikkerhedskultur

En stærk sikkerhedskultur er grundlaget for en sikker organisation. Vi deler de bedste ting du kan gøre for at udvikle en sikkerhedskultur i din virksomhed.

Sarah Hofmann 14 min read - By Sarah Hofmann
Awareness træning GDPR-træning - Lær at beskytte dine oplsyninger - Cyberpilot

GDPR-awareness-træning hjælper dine medarbejdere med at være opdateret og opmærksom på de nuværende GDPR-regler.

Gillian Loones 9 min read - By Gillian Loones
GDPR Datatilsynet Har Udført 15 Tilsyn | Det Her SKAL Du Have Styr På

Her er alt, hvad du skal vide om de 15 tilsyn, som Datatilsynet har udført i efteråret. Vi fortæller, hvad du kan lære af dem.

Anders Bryde Thornild 6 min read - By Anders Bryde Thornild