DPO eller ej? Langt de fleste virksomheder kan undvære en Data Protection Officer

Justitsministeriet løfter nu sløret for, hvordan EU's databeskyttelsesforordning skal fortolkes.

EU's databeskyttelsesforordning indfører fra næste år kravet om, at bestemte virksomheder ansætter en databeskyttelsesansvarlig - eller DPO. Men langt de fleste virksomheder kan godt undlade at slå stillingen op i første omgang.

Sådan lyder beskeden fra Justitsministeriet, som i går, torsdag, afslørede dele af det foreløbige arbejde med at fortolke forordningen og implementere den i dansk lov. Se præsentationen her.

Læs også: Data Protection Officer – krav eller ej?

Kravet om en DPO har længe været præget af uklarhed. Men til trods for den store opmærksomhed DPO-kravet har fået blandt virksomheder og jurister, vil det kun gælde et fåtal, mener Justitsministeriet ud fra den foreløbige fortolkning af EU-reglerne.

»Man kan frivilligt vælge at have en DPO,« fortæller Anders Lotterup, der er chefkonsulent i Justitsministeriets databeskyttelseskontor.

»Men for langt de fleste virksomheder vil det ikke være et krav,« understreger han på et stormøde, som torsdag blev afholdt i København. Stormødet, som ministeriet har arrangeret, inviterede virksomheder til at komme og høre, hvor langt i processen statens jurister er kommet.

Kerneaktivitet

Den danske version af forordningen understreger, at der først er krav om en DPO, hvis behandling af persondata er en del af din virksomheds kerneaktivitet.

På stormødet kunne Anders Lotterup uddybe, hvad man skal forstå ved den formulering.

»Her taler vi om virksomheder, hvis produkt er uløseligt forbundet med behandling af persondata,« siger Anders Lotterup.

Læs også: Har du styr på organisationens persondata og din DPO? Gigabøder ved datalæk er på trapperne

Det kan for eksempel være diverse cloud-tjenester og udbydere af marketingsundersøgelser. Og også forsikringsselskaber og privathospitaler, fordi forretningen her er meget tæt forbundet med behandling af persondata.

Men med kerneaktivitet forstås ikke almindelige aktiviteter som salg, HR-databehandling, kundekontakt, it-support og så videre. I de discipliner betragtes behandlingen af persondata generelt som en biaktivitet, forklarer Anders Lotterup, der også understreger, at kravet om DPO gælder for alle offentlige organisationer.

»Det bliver hverdagskost i det offentlige, men ikke i det private,« siger han.

Ingen grønspættebog

Selv virksomheder, der har bygget forretningen op på at behandle persondata, skal ikke nødvendigvis ud og hyre en DPO.

Dels kommer det an på hvor meget data der behandles - fx vurderet udfra antallet af berørte personer og tiden, hvor data opbevares. Her kan en privatpraktiserende læge for eksempel godt undvære udgiften, mens et privathospital med flere tusind patienter må udpege en DPO.

Endelig siger reglerne, at data enten skal være følsomme eller indsamles systematisk - det kunne som eksempel gælde et forsikringsselskab.

Læs også: Justitsministeriet: Dataforordning skal turbo-behandles

»Der skal meget til før DPO er et krav,« siger Anders Lotterup og fortsætter:

»Men man skal stadig huske, at man skal kunne påvise, at man overholder af forordningen.«

Justitsministeriet vil til april publicere en større vejledning til, hvordan forordningen skal fortolkes. Dokumentet skal udgøre det juridiske grundlag for det lovforslag, som formelt gør forordningen til en del af dansk lov.

Virksomheder skal dog ikke forvente at få svar på alle spørgsmål, siger Jakob Lundsager, der er kontorchef i Justitsministeriet.

»Det bliver ingen grønspættebog,« siger han og fortsætter:

»Der vil opstå mange situationer, som ikke er adresseret i publikationen. Men den bliver det juridiske fundament, som vi kan arbejde videre ud fra.«

Opdateret 13. februar med link til Justitsministeriets præsentation.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (1)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
John Foley

Det bliver spændende at læse, hvilke forslag Justitsministeriet kommer frem til vedrørende sanktionsmuligheder overfor offentlige myndigheder og eget embedsværk. EU's persondataforordning overlader dette vigtige emne til de enkelte medlemslande, og det er nok her de store forskelle mellem landende kommer frem.
Persondataforordningen efterlader ingen tvivl om de mange og alvorlige sanktioner der kan og vil blive taget i anvendelse overfor private virksomheder og enkeltpersoner. Men det overlades til de enkelte medlemslande selv at afgøre, hvordan de nationale offentlige myndigheder og embedsværket skal sanktioneres i tilfælde af sjusk og mangelfuld varetagelse af befolkningens tvangslagrede og personfølsomme oplysninger i deres varetægt.

  • 3
  • 0
Log ind eller Opret konto for at kommentere