Databeskyttelsesrådgivere (DPO'er)

På denne side finder du en samlet indgang til viden om DPO'ens rolle og opgaver. Indholdet er relevant for både nye og erfarne rådgivere, der arbejder med databeskyttelse. Du kan også finde en videopodcast om DPO'ens funktion i praksis, en omfattende FAQ med svar på de mest udbredte spørgsmål og konkrete tips til dig, der er ny i rollen.

Hvad er en databeskyttelsesrådgiver?

En databeskyttelsesrådgiver er en rådgiverfunktion i en organisation, der skal inddrages i alle spørgsmål om databeskyttelse og rådgive om de databeskyttelsesretlige regler. 

Databeskyttelsesrådgiverens funktion er at bidrage til, at den dataansvarlige overholder reglerne i databeskyttelsesforordningen. Rådgiveren er en integreret del af den dataansvarliges organisation og kan, afhængigt af omstændighederne, også varetage andre opgaver for den dataansvarlige.

Databeskyttelsesrådgiveren har dog en særlig rolle i forhold til Datatilsynet, da rådgiveren fungerer som kontaktled til og skal samarbejde med tilsynet.

Hvornår skal I udpege en DPO?

Hvis behandlingen foretages af en offentlig myndighed eller et offentligt organ (undtagen domstole, der handler i deres egenskab af domstol) skal myndigheden eller organet altid have en databeskyttelsesrådgiver, uanset om de er dataansvarlige eller databehandlere.

Ved private virksomheder gælder følgende:

  1. Jeres virksomheds kerneaktivitet er behandling af personoplysninger.
  2. I behandler personoplysninger i et stort omfang.
  3. Behandlingsaktiviteterne består i regelmæssig og systematisk overvågning af personer eller behandlingen vedrører følsomme oplysninger eller oplysninger om strafbare forhold.

Alle betingelser skal være opfyldt. En virksomhed, der f.eks. kun opfylder én eller to af betingelserne ud af de tre, vil ikke være forpligtet til at udpege en databeskyttelsesrådgiver.

Indmeld oplysninger om DPO til Datatilsynet. 

Hvordan arbejder man med databeskyttelse som DPO i en organisation?

I denne videopodcast dykker vi ned i rollen som DPO og de udfordringer og dilemmaer, der kan opstå i arbejdet med databeskyttelse. Panelet deler erfaringer og perspektiver fra både den private og offentlige sektor - og giver indblik i samarbejdet med ledelse, medarbejdere og den daglige beskyttelse af borgernes data.

Videopodcasten modereres af kommunikationskonsulent i Datatilsynet Hisar Sindi. I panelet deltager Sara Lynge, DPO i Danske Bank, Andreas Drægert, DPO i Glostrup, Ishøj, Rødovre og Tårnby Kommune, og Bibi Shah, DPO i Klima-, Energi- og Forsyningsministeriet. 

Vil du gerne lytte til podcasten uden video? Så kan du finde lydversionen her.

FAQ

Herunder finder du de oftest stillede spørgsmål om rollen som DPO og deres daglige arbejde med databeskyttelse.

DPO'ens rolle og ansvar

En databeskyttelsesrådgiver (DPO) overvåger og rådgiver om organisationens overholdelse af databeskyttelsesreglerne, og fungerer som kontaktperson for både tilsynsmyndigheder og registrerede personer. De primære opgaver inkluderer:

  • Rådgive om overholdelse af databeskyttelsesreglerne.
  • Overvågning af organisationens databeskyttelsesindsats.
  • Rådgive om konsekvensanalyser, og hvornår en konsekvensanalyse er nødvendig.
  • Samarbejde med Datatilsynet og fungere som kontaktperson.

En DPO er påkrævet i tre situationer:

  • Når en offentlig myndighed eller offentlig instans behandler personoplysninger.
  • Når en virksomheds kerneaktivitet indebærer systematisk overvågning af fysiske personer (fx adfærdsanalyse på nettet) i stort omfang.
  • Når en virksomheds kerneaktivitet består i behandling af følsomme personoplysninger eller oplysninger om strafbare forhold i stort omfang (fx hospitaler, forsikringsselskaber).

Der er ikke et endeligt svar på, hvordan en DPO bør prioritere sine opgaver. En god tommelfingerregel er dog at arbejde ud fra en risikobaseret tilgang. Det betyder, at man som DPO ikke nødvendigvis løser opgaverne i den rækkefølge, de kommer ind, men i stedet vurderer, hvilke opgaver der har størst betydning for beskyttelsen af personoplysninger. Opgaver, der vedrører behandlinger med høj risiko for de registrerede – f.eks. nye systemer eller behandling af følsomme personoplysninger – bør håndteres først.

Generelt anbefaler Datatilsynet, at DPO’er løbende vurderer risici og tilpasser deres arbejde derefter.

DPO’ens uafhængighed og placering i organisationen

GDPR kræver, at DPO’en udfører sine opgaver uden interessekonflikter. Det betyder:

  • DPO’en må ikke have stillinger eller opgaver, hvor de skal bestemme, hvordan personoplysninger behandles (fx være it-chef, HR-chef eller juridisk chef).
  • DPO’en må ikke modtage instrukser om, hvordan de skal udføre deres opgaver.
  • DPO’en må ikke blive afskediget eller straffet for at udføre deres opgaver korrekt.
  • Organisationen skal give DPO’en de nødvendige ressourcer til at udføre sit arbejde effektivt.
  • DPO’en skal have direkte adgang til ledelsen.

DPO’en bør:

  • Påpege risici og mangler for ledelsen.
  • Foreslå forbedringer og løsninger.
  • Dokumentere sin rådgivning for at vise, at de har opfyldt deres forpligtelser.
  • Om nødvendigt tage kontakt til Datatilsynet for vejledning.

DPO’en skal have:

  • Tilstrækkelig tid til at udføre sine opgaver.
  • Adgang til relevant information om organisationens behandling af data.
  • Mulighed for efteruddannelse i databeskyttelse.

Ja, en DPO kan være en ekstern rådgiver eller virksomhed, der udfører rollen på vegne af organisationen. Det er ofte en god løsning for mindre virksomheder, som ikke har ressourcer til en intern DPO.

Samspillet mellem DPO'en og Datatilsynet

DPO’en kan kontakte Datatilsynet i flere tilfælde:

  • Ved tvivlsspørgsmål om implementering af databeskyttelsereglerne i organisationen.
  • Ved behov for vejledning, f.eks. ved komplekse konsekvensanalyser.
  • Hvis en konsekvensanalyse viser en høj risiko, der ikke kan reduceres, og organisationen er i tvivl om, hvad der skal gøres.
  • I forbindelse med anmeldelse af brud på persondatasikkerheden.

Datatilsynet kan også selv – hvis det vurderes nødvendigt – tage kontakt til DPO’en, f.eks. ved tilsyn eller hvis de modtager klager over organisationens databehandling.

DPO’en bør tage en dialog med den nærmeste leder eller HR-afdelingen for at belyse problematikken og sikre, at DPO’ens uafhængighed respekteres i overensstemmelse med gældende regler (jf. GDPR art. 38(3)). Hvis den interne dialog ikke fører til en tilfredsstillende løsning, eller hvis der foreligger klare indikationer på, at DPO’ens uafhængighed bliver kompromitteret, anbefaler Datatilsynet, at DPO’en kontakter Datatilsynet for yderligere vejledning.

I sager med potentielt alvorlige konsekvenser kan det være hensigtsmæssigt at søge uafhængig juridisk bistand for at sikre, at DPO’ens rettigheder og beskyttelse - i henhold til GDPR - opretholdes.

Nej, DPO’en er ikke juridisk ansvarlig for organisationens overtrædelser af databeskyttelsesreglerne. Ansvaret ligger hos den dataansvarlige (fx virksomheden eller myndigheden). DPO’ens opgave er at rådgive og overvåge - det er ledelsen, der træffer de endelige beslutninger.

DPO’ens rolle i konsekvensanalyser

En konsekvensanalyse er påkrævet, hvis en behandling sandsynligvis vil medføre høj risiko for de registreredes rettigheder og frihedsrettigheder, f.eks. ved:

  • Systematisk og omfattende profilering.
  • Behandling af følsomme data i stort omfang.
  • Omfattende overvågning (f.eks. kameraer i offentlige rum).

DPO’ens rådgivning i forhold til konsekvensanalyser kan bl.a. indebære rådgivning vedrørende:

  • Om der skal gennemføres en konsekvensanalyse.
  • Hvilken fremgangsmåde der skal anvendes ved gennemførelsen.
  • Om konsekvensanalysen kan gennemføres internt, eller om gennemførelsen kræver antagelse af ekstern bistand.
  • Hvilke sikkerhedsforanstaltninger som skal anvendes for at begrænse risici i forhold til de registreredes rettigheder og interesser.
  • Om konsekvensanalysen er korrekt gennemført, og om dens konklusioner er i overensstemmelse med de databeskyttelsesretlige regler.

En konsekvensanalyse skal som minimum indeholde følgende elementer:

  • Systematisk beskrivelse af behandlingen og formålet.
  • Vurdering af nødvendighed og proportionalitet.
  • Vurdering af risici for de registreredes rettigheder og frihedsrettigheder.
  • Foranstaltninger til at mindske risici.
  • Konklusion – skal behandlingen ændres eller godkendes?

Hvis en konsekvensanalyse viser en høj risiko, som ikke kan afværges, skal Datatilsynet høres, inden behandlingen starter.

Håndtering af brud på persondatasikkerheden og klager

Et brud på persondatasikkerheden skal anmeldes til Datatilsynet inden for 72 timer, hvis det ikke er usandsynligt, at bruddet indebærer en risiko for de registreredes rettigheder eller frihedsrettigheder.

Eksempler:

  • Hackere får adgang til kunders oplysninger.
  • Fortrolige oplysninger sendes til en forkert modtager.
  • Datatab uden backup, hvor registrerede ikke kan få gendannet deres data.

Hvis der sandsynligvis er en høj risiko for de registreredes rettigheder og frihedsrettigheder, skal de også underrettes direkte.

Når en dataansvarlig anmelder et brud på persondatasikkerheden til Datatilsynet, skal anmeldelsen som minimum:

  • Beskrive karakteren af bruddet på persondatasikkerheden, herunder, hvis det er muligt, kategorierne og det omtrentlige antal berørte registrerede samt kategorierne og det omtrentlige antal berørte registreringer af personoplysninger.
  • Angive navn på og kontaktoplysninger for databeskyttelsesrådgiveren eller et andet kontaktpunkt, hvor yderligere oplysninger kan indhentes.
  • Beskrive de sandsynlige konsekvenser af bruddet på persondatasikkerheden.
  • Beskrive de foranstaltninger, som den dataansvarlige har truffet eller foreslår truffet for at håndtere bruddet på persondatasikkerheden, herunder, hvis det er relevant, foranstaltninger for at begrænse dets mulige skadevirkninger.

OBS: Der indberettes via indberetningsportalen på virk.dk

DPO’en kan vejlede de registrerede om, hvordan de udøver deres rettigheder, herunder videresende en klage eller en rettighedsanmodning til den medarbejder eller enhed, der skal stå for håndteringen.

Den dataansvarlige bør i den forbindelse sikre, at organisationen har en klar proces for håndtering af klager over en behandling eller rettighedsanmodninger, f.eks. om indsigt i data eller sletning.

Ved spørgsmål i forbindelse med håndteringen af en klage eller en rettighedsanmodning kan DPO’en med fordel bistå sine kollegaer ved tvivl om f.eks. fortolkning af reglerne om indsigt.

Det er ikke et krav, at DPO’en altid skal være direkte involveret i behandlingen af alle brud på persondatasikkerheden. I organisationer med mange brud - f.eks. store koncerner eller offentlige myndigheder - kan det være uhensigtsmæssigt, at DPO’en skal inddrages i hvert enkelt tilfælde.

Datatilsynet anbefaler dog, at der er en klar og veldefineret procedure for, hvornår DPO’en skal orienteres og eventuelt inddrages. Det kan f.eks. være i tvivlstilfælde, hvor det ikke er klart, om bruddet skal anmeldes til Datatilsynet eller underrettes til de registrerede, eller hvor der er behov for rådgivning om håndtering og forebyggelse.

DPO’ens rolle er at rådgive og overvåge organisationens overholdelse af reglerne - herunder også i forbindelse med brud - men det er som udgangspunkt den dataansvarlige, der træffer beslutning om anmeldelse og håndtering.

DPO’ens udfordringer og best practices

Når databeskyttelse skal forankres i organisationen, kan det være en hjælp at arbejde strategisk med formidlingen. Her er tre greb, der kan understøtte processen:

  • Kommuniker databeskyttelse som en forretningsmæssig fordel, ikke kun et compliance-krav.
  • Brug konkrete eksempler på sanktioner for at vise risici.
  • Opbyg gradvist en kultur for databeskyttelse gennem dialog, træning og små sejre, frem for at forsøge at ændre alt på én gang.

DPO’en skal fastholde sin uafhængighed og samtidig opfordre til en åben, saglig og dokumenteret dialog med ledelsen og relevante interessenter. Det kan være en fordel at underbygge sine anbefalinger med konkrete eksempler, henvise til databeskyttelsesreglerne samt eksisterende vejledninger og praksis.

For at sikre sporbarhed og gennemsigtighed bør DPO’en dokumentere de faglige diskussioner og beslutningsprocesser, således at det fremgår, hvilke overvejelser og argumenter der har været gjort i forhold til fortolkningen af databeskyttelsesreglerne.

Hvis der er tale om en alvorlig situation, hvor DPO’ens uafhængighed er truet, kan det være nødvendigt at kontakte Datatilsynet. DPO’en bør dog altid søge at afklare tvivl og uenigheder internt, evt. med støtte fra eksterne eksperter, før en officiel henvendelse til Datatilsynet foretages.

En DPO kan med fordel fungere som sparringspartner i udarbejdelsen af interne risikovurderinger for at sikre, at relevante GDPR-aspekter inddrages. Ligeledes kan en DPO bidrage til udarbejdelsen af databehandleraftaler ved at rådgive om konkrete databeskyttelseskrav - forudsat at den endelige implementering placeres hos de operationelle enheder.

Generelt bør en DPO involveres i den praktiske udformning af GDPR-opgaver under forudsætning af, at vedkommende opretholder sin uafhængige kontrol- og tilsynsfunktion. På den måde undgås, at DPO’ens rolle kommer til at påvirkes af interne interesser.

Interessekonflikter kan opstå, hvis DPO’en både skal rådgive om og evaluere de tiltag, som vedkommende selv har været med til at implementere. En sådan overlapning kan kompromittere objektiviteten og svække den uafhængige kontrolfunktion.

Ligeledes kan en konflikt opstå, hvis DPO’en deltager i beslutninger, der direkte påvirker egne ansættelsesvilkår eller den strategiske prioritering af GDPR-indsatsen i organisationen.

Som udgangspunkt bør en person ikke varetage rollen som DPO, hvis vedkommende samtidig har en funktion, der indebærer at træffe beslutninger om formål eller metoder for behandling af personoplysninger. Hver organisation skal foretage en konkret vurdering for at sikre, at DPO’en ikke befinder sig i en interessekonflikt som følge af andre opgaver eller roller. Det betyder f.eks., at rollen som DPO ikke bør kombineres med en ledende stilling – såsom administrerende direktør, HR-chef, it-chef eller tilsvarende.

For at forebygge potentielle konflikter anbefales det, at DPO’ens rolle og opgavefordeling drøftes og dokumenteres sammen med ledelsen. En klar rollebeskrivelse, der tydeligt adskiller rådgivningsopgaver fra den interne evaluering, er afgørende for at sikre DPO’ens uafhængighed, og sikrer en gennemsigtig opgavefordeling mellem DPO’en og resten af organisationen.

Der er flere situationer, hvor det er relevant at inddrage DPO'en. Det gælder blandt andet:

  • Ved overvejelser og beslutninger om, hvordan organisationens compliance med databeskyttelsesreglerne sikres.
  • Ved overvejelser i forbindelse med datasikkerhed, herunder databeskyttelse gennem design og standardindstillinger.
  • Ved udarbejdelse af konsekvensanalyser.
  • Ved regelmæssig træning af medarbejdere, hvor DPO’en kan rådgive omkring, hvordan det kan gøres bedst muligt.
  • Ved etablering af en proces for håndtering af de registreredes rettigheder kan DPO’en rådgive omkring, hvordan en sådan procedure kan tilrettelægges.

Det kan være en god idé at oprette et internt databeskyttelsesnetværk med repræsentanter fra forskellige enheder i organisationen. Et sådant netværk kan bidrage til at styrke samarbejdet på tværs og sikre, at databeskyttelsesarbejdet forankres bredt. DPO’en kan spille en central rolle i at facilitere netværket og skabe fælles forståelse for databeskyttelsesprincipperne.

Der er ikke fastlagte krav til, hvordan en DPO skal tilrettelægge sit arbejde – det afhænger i høj grad af den enkelte organisation, dens størrelse, ressourcer og databehandlingsaktiviteter.

Nogle DPO’er vælger at arbejde ud fra et årshjul for at skabe struktur og overblik. Det kan f.eks. være med faste tidspunkter til statusopfølgninger, intern rapportering og dialog med ledelsen. For nogle kan det også give mening at udarbejde en årlig opsamling eller rapport, som samler op på årets aktiviteter og udviklingen i databeskyttelsesarbejdet – men det er ikke et krav.

Hvis man vælger at arbejde med årshjul eller årsrapport, kan det være en måde at synliggøre sin indsats og sikre en løbende evaluering. Det vigtigste er dog, at DPO’en løser sine opgaver på en måde, der er tilpasset organisationens behov og risikobilledet – ikke at man følger en bestemt skabelon.