Søg

Skal din virksomhed have en 'data protection officer'?... og kan indkøbschefen bruges?

Klumme: Der skal ske en konkret vurdering af, hvilke data din virksomhed behandler og i hvilket omfang, før du ved, om du har brug for en data protection officer. Og det er ikke alle og enhver, der kan bruges.

02. februar 2016 kl. 13.58
Artikel top billede
Martin von Haller Grønbæk Martin von Haller Grønbæk It-advokat, partner Bird & Bird

Data Protection Officer er en nyskabelse, som følger med implementeringen af den nye forordning.

Det første naturlige spørgsmål må derfor være: Hvad er en data protection officer (DPO)?

En DPO er en persondataansvarlig medarbejder eller ekstern tilknyttet konsulent, som skal have særlige professionelle kvalifikationer ("ekspertviden") indenfor persondataret, og som skal føre tilsyn med virksomhedens implementering og overholdelse af reglerne i praksis.

DPO'en skal særligt konsulteres forud for design, udbud, udvikling og opsætning af systemer, som foretager automatisk behandling af persondata.

Formålet er at sikre, at principperne om privacy by design og privacy by default overholdes.

Skal din virksomhed have en DPO?

Først og fremmest skal alle offentlige myndigheder have en DPO (bortset fra domstole).

For private virksomheder vil en DPO være obligatorisk i to tilfælde.

Første tilfælde er, hvis din virksomheds kerneaktivitet består i at behandle personoplysninger.

Det vil ikke være behandling af alle slags oplysninger, men personoplysninger som efter deres karakter, anvendelsesområde eller formål kræver regelmæssig og systematisk overvågning af personer på en stor skala.

Det er til stadighed uklart, hvad der ligger i dette, men groft sagt menes der formentlig, at hvis virksomhedens behandling af personoplysninger kvantitativt og/eller kvalitativt er omfattende og betydelig, så skal virksomheden udpege en DPO.

Dernæst vil din virksomhed skulle udpege en DPO, hvis virksomhedens kerneaktivitet består af behandling af følsomme oplysninger i stor skala eller oplysninger om kriminelle forhold.

Følsomme oplysninger er informationer om personer, der afslører race og etnisk oprindelse, politiske holdninger, religiøse eller filosofiske trosretninger, fagforeningsmedlemsskab, seksualitet og genetisk og biometrisk data.

Hvilken rolle har en DPO?

Det er vigtigt, at DPO'en er tilstrækkeligt uafhængig af virksomheden.

Dette gør udpegningen særligt vanskelig i praksis.

Det vil eksempelvis som udgangspunkt ikke være muligt at udpege sin indkøbschef som DPO, da der vil være fare for, at allokeringen af ressourcer til at varetage posten som DPO vil blive nedprioriteret på bekostning af indkøbsfunktionen.

Det er også tvivlsomt, om man kan udpege virksomhedens eksterne advokat, da der består en vis økonomisk - og dermed interessemæssig - forbindelse mellem parterne, og fordi DPO'en er forpligtet til at rapportere direkte til tilsynsmyndighederne, hvilket kunne komme i karambolage med advokatens tavshedspligt.

Særligt beskyttet

Der er som udgangspunkt intet til hinder for, at DPO'en er ansat i virksomheden, blot vedkommende er særligt beskyttet mod afskedigelse og sanktionering i medfør af stillingen som DPO.

Men som nævnt ovenfor skal man være varsom med, hvilken stilling DPO'en varetager, da det nemt kan resultere i interessekonflikter.

Virksomheder vil også kunne udnævne en ekstern DPO enten alene eller i fællesskab med andre, så længe DPO'en er let tilgængelig for hver af virksomhederne.

Position i virksomheden

DPO'en er, i kraft af dennes stilling, underlagt tavshedspligt og skal rapportere direkte til den øverste ledelse i virksomheden.

Vedkommende fungerer desuden som kontaktperson mellem virksomheden og Datatilsynet samt for kunder, samarbejdspartnere og ansatte, hvis data bliver behandlet i virksomheden.

DPO'en står yderligere for at efterse, at virksomhedens persondatapolitikker bliver overholdt, og at de relevante medarbejdere modtager behørig undervisning i forbindelse hermed.

Uddannelse

En DPO skal ifølge forordningen besidde 'ekspertviden' inden for persondataret og relateret praksis. Hvad der mere konkret ligger i 'ekspertviden' og DPO'ens uddannelse i øvrigt, kan du læse mere om i en kommende klumme.

Hvad kan du gøre allerede nu?

Det kan umiddelbart virke som om, kravene i persondataforordningen ligger langt ude i fremtiden.

Men ser man på alle de krav, der stilles til private og offentlige myndigheder, er det en god idé at gå i gang allerede nu.

Det kan selvfølgelig være svært at vurdere, om din virksomhed er underlagt forpligtelsen til at udpege en DPO.

Men din virksomhed kan allerede nu drage fordel af en grundig gennemgang af processerne for behandling af persondata og det personale, herunder hvorvidt der skal udpeges en DPO, der fremover skal beskæftige sig med persondataretlige problemstillinger.

Det vil give et bedre afsæt for opfyldelse af de fremtidige persondataretlige krav.

(Tak til mine Bird & Bird kollegaer, advokatfuldmægtig Amalie Langebæk og advokat Kamilla Pierdola Mondrup for hjælp med indlægget.)

Læs også om den kommende persondata-forordning:

Ingen vej uden om "Retten til at blive glemt": Sådan skal du forholde dig

Reglerne om samtykke og cookies bliver mere indviklede: Det betyder de for dig

Lovkrav på vej om 'Privacy by Design' og 'Privacy by Default' - det kommer det at betyde for dig

Store udfordringer for it-afdelingen: Disse fire ting skal du have styr på i den nye EU-persondatalov

Hvad betyder den nye persondata-forordning for din virksomhed? Her er overblikket

Seneste nyt

|Vis seneste uge

Annonce

Læses lige nu

    SOS International

    License & Vendor Manager

    Midtjylland

    KMD A/S

    Senior Solution Architect

    Fyn

    SOS International

    Ambitiøs Java-udvikler til agilt team for telefoniområdet i SOS

    Midtjylland

    Netcompany A/S

    Operations Engineer til drift af Infrastruktur

    Københavnsområdet

    Se flere it-stillinger
    Computerworld Events

    Vi samler hvert år mere end 6.000 deltagere på mere end 70 events for it-professionelle.

    Ekspertindsigt – Lyt til førende specialister og virksomheder, der deler viden om den nyeste teknologi og de bedste løsninger.
    Netværk – Mød beslutningstagere, kolleger og samarbejdspartnere på tværs af brancher.
    Praktisk viden – Få konkrete cases, værktøjer og inspiration, som du kan tage direkte med hjem i organisationen.
    Aktuelle tendenser – Bliv opdateret på de vigtigste dagsordener inden for cloud, sikkerhed, data, AI og digital forretning.
    Executive roundtable: Cyberrobusthed i praksis

    Sikkerhed | Aarhus C

    Executive roundtable: Cyberrobusthed i praksis

    Cyberangreb rammer driften. NIS2 og DORA kræver dokumenteret gendannelse under pres. Få konkret metode til at teste, måle og bevise robusthed på tværs af cloud, SaaS og leverandører. Deltag i lukket roundtable med Commvault og Hitachi.

    Sådan etablerer du digital suverænitet

    Digital transformation | København Ø

    Sådan etablerer du digital suverænitet

    Digital suverænitet afgør kontrol over data, systemer og afhængigheder i Danmark. Computerworld samler Dansk Erhverv og IBM-eksperter om konkrete arkitekturvalg, governance og platforme, der sikrer reel kontrol. Få overblik og handlekraft.

    Cyber Briefing: AI kan udnytte dine VPN‑svagheder og lække dine data på sekunder

    Sikkerhed | Online

    Cyber Briefing: AI kan udnytte dine VPN‑svagheder og lække dine data på sekunder

    AI-agenter arbejder konstant og i maskinhastighed. Klassiske VPN-modeller mister overblik, kontrol og sporbarhed. Hør hvordan adgang, handlinger og automatisering sikres i en AI-drevet virkelighed. Tilmeld dig nu

    Se alle vores events inden for it

    Computerworld

    Opinion

    Navnenyt fra it-Danmark

    Markus Dalsgaard Sisseck, Business Developer hos Martinsen Rådgivning & Revision, har pr. 21. januar 2026 fuldført uddannelsen Master i it, linjen i organisation på Aalborg Universitet via It-vest-samarbejdet. Færdiggjort uddannelse

    Markus Dalsgaard Sisseck

    Martinsen Rådgivning & Revision

    Immeo har pr. 1. februar 2026 ansat Patricia Oczki som Marketing Manager. Hun kommer fra en stilling som Head of Marketing and Communication hos Coach Solutions. Nyt job

    Patricia Oczki

    Immeo

    Renewtech ApS har pr. 1. februar 2026 ansat Mads Linné Kaasgaard, 31 år, som Marketing Specialist. Han skal især beskæftige sig med med at løfte Renewtechs brand og kommunikation yderligere ud globalt. Han kommer fra en stilling som Marketing Manager hos Induflex A/S. Han er uddannet fra Aalborg Universitet og har en Cand. Merc. i Sprog & International Virksomhedskommunikation. Nyt job

    Mads Linné Kaasgaard

    Renewtech ApS

    Renewtech ApS har pr. 1. februar 2026 ansat Kirsten Skriver som Warehouse Team Lead. Hun skal især beskæftige sig med udviklingen af det globale lagersetup hos Renewtech. Hun kommer fra en stilling som Lagerchef hos BORG Automotive Reman A/S. Nyt job

    Kirsten Skriver

    Renewtech ApS

    Se mere fra navnenyt

    Mest læste

    1 Nye lønregler kan føre til uro og opsigelser i mange danske virksomheder: "Pludselig er der folk, som finder ud af, at de får for lidt i løn"
    2 Nyt hackerværktøj kan stjæle følsomme data fra din iPhone - så nemt er det
    3 Guldager: Jeg har allerede bygget mange apps, og jeg kan altså ikke kode - alligevel sidder jeg nu aften efter aften og hyggekoder
    4 Lucky Luke streamer også hurtigere end sin egen skygge
    5 Har ikke andre muligheder: Statens It nødt til at tegne ny million-kontrakt med Microsoft Danmark - ejer alle rettigheder
    6 Kæmpebank vil erstatte 20.000 ansatte med AI / FBI køber data om borgeres lokation / Instagram dropper kryptering af beskeder
    7 Konsulenter skal omfavne AI – ellers må de finde et andet job
    8 Dansk leksikon anklager ChatGPT for “verdenshistoriens største tyveri”

    Se seneste uge