Hvad er en databeskyttelsesrådgiver eller DPO?

Faglig nyhedI de fleste tilfælde skal private virksomheder ikke udpege en databeskyttelsesrådgiver, men her kan du læse, hvornår det er relevant.

Om revisor

Private virksomheder (dataansvarlige og databehandlere) skal kun udpege en DPO (Data Protection Officer), hvis 1) virksomhedens kerne-/hovedaktivitet er behandlingsaktiviteter, der i medfør af deres karakter, omfang og/eller formål 2) kræver regelmæssig og systematisk overvågning af registrerede eller behandling af følsomme oplysninger eller straffedomme og lovovertrædelser 3) i stort omfang.

I de fleste tilfælde vil private virksomheder ikke skulle udpege en databeskyttelsesrådgiver, fordi alle 3 betingelser skal være opfyldt for, at en privat virksomhed har pligt til at udpege en databeskyttelsesrådgiver. Hvis behandlingen af personoplysninger er en biaktivitet, skal der ikke udpeges en DPO.

Databeskyttelsesrådgiveren udpeges på grundlag af sine faglige kvalifikationer, navnlig ekspertise inden for databeskyttelsesret og -praksis samt evne til at udføre opgaverne. Databeskyttelsesrådgiveren kan være en medarbejder eller en ikke-ansat konsulent. Der er ikke krav om en bestemt uddannelsesmæssig baggrund for databeskyttelsesrådgivere, som f.eks. jurist. Der må sigtes til en person med juridiske kompetencer inden for databeskyttelsesret og en vis praktisk erfaring.

Den dataansvarlige eller databehandleren offentliggør kontaktoplysninger for databeskyttelsesrådgiveren og meddeler disse til tilsynsmyndigheden.

Databeskyttelsesrådgivere har tavshedspligt, jf. databeskyttelsesloven § 24.

Læs mere i Datatilsynets vejledning fra december 2017.

 

Hvis du vil være GDPR-rådgiver, har FSR – danske revisorer indgået et samarbejde med Lexoforms, som klæder jer medlemmer godt på.