Hvad er en databeskyttelsesrådgivers opgaver?

Databeskyttelsesrådgiveren (DPO’en) bistår den dataansvarlige med at sikre, at databeskyttelsesreglerne overholdes. Det indebærer b.la. at yde uafhængig rådgivning til ledelsen og medarbejderne i organisationen. DPO’en fungerer endvidere som kontaktperson for de registrerede og indgår i samarbejde med Datatilsynet.

Risikobaseret tilgang og uafhængig rolle

Databeskyttelsesforordningen forudsætter, at DPO’en tager højde for de risici, der er forbundet med behandlingen af personoplysninger. Risikovurderingen skal ske på baggrund af behandlingens art, omfang, formål og kontekst - det betyder, at DPO’en skal fokusere sin indsats dér, hvor risikoen vurderes størst. Ledelsens prioriteringer kan derfor godt afvige fra DPO’ens vurderinger. Det er op til DPO’en selv at disponere sin tid og sine ressourcer i den uafhængige rolle.

At informere og yde rådgivning

En af DPO’ens hovedopgaver er at vejlede både ledelse og medarbejdere i, hvordan den dataansvarlige (eller databehandleren) bedst overholder databeskyttelsesreglerne. Det er ofte den opgave, der fylder mest i DPO’ens hverdag. Det er vigtigt at understrege, at DPO’ens rolle er rådgivende - det er den dataansvarlige, der træffer beslutningerne og bærer det endelige ansvar for overholdelsen af databeskyttelsesreglerne.

At bistå med efterlevelse af databeskyttelsesreglerne

En DPO skal overvåge, at databeskyttelsesreglerne efterleves. Det betyder ikke, at DPO’en har ansvar for at sikre overholdelsen, men skal derimod være opmærksom på, hvordan organisationen arbejder med databeskyttelse og komme med input og anbefalinger. Det kan f.eks. omfatte:

  • Indsamling af oplysninger til brug for kortlægning af behandlingsaktiviteter
  • Vurdering og kontrol af, om behandlingen lever op til gældende regler
  • Udarbejdelse af anbefalinger, der fremmer regeloverholdelse
  • Forslag til ansvarsfordeling i arbejdet med databeskyttelse
  • Opfølgning på initiativer, der øger bevidstheden om databeskyttelse og sikrer relevant oplæring

At yde rådgivning om vurdering af konsekvensanalyser (DPIA’er)

DPO’en skal – når det er nødvendigt – rådgive om konsekvensanalyser (DPIA’er) og overvåge, at de gennemføres korrekt. Det er dog fortsat den dataansvarlige, der har ansvaret for selve gennemførelsen.

Ifølge databeskyttelsesforordningen er den dataansvarlige forpligtet til at søge rådgivning, når en konsekvensanalyse skal gennemføres (jf. artikel 35 i databeskyttelsesforordningen). Rådgivningen kan b.la. omfatte:

  • Hvorvidt det er nødvendigt at gennemføre en konsekvensanalyse
  • Hvilken metode der bør anvendes
  • Om konsekvensanalysen bør gennemføres internt eller med ekstern bistand
  • Hvilke tekniske og organisatoriske sikkerhedsforanstaltninger der bør iværksættes
  • Om konsekvensanalysen er gennemført korrekt og i overensstemmelse med databeskyttelsesreglerne

Samarbejde med Datatilsynet og rolle som kontaktperson for de registrerede

Databeskyttelsesrådgiveren skal samarbejde med Datatilsynet og fungere som kontaktperson ved henvendelser fra tilsynet. DPO’en skal endvidere sikre, at Datatilsynet modtager de nødvendige oplysninger for at udføre sit arbejde.

De registrerede skal have mulighed for at kontakte databeskyttelsesrådgiveren med spørgsmål om deres rettigheder og behandling af deres oplysninger. Det er derfor vigtigt, at DPO’ens kontaktoplysninger er let tilgængelige – f.eks. i en privatlivspolitik eller andre relevante steder på organisationens hjemmeside.