To DPO or not to DPO? That is the question…

25 juli 2017

I disse GDPR-tider stiller mange organisationer og virksomheder sig selv spørgsmålet: Skal vi have en DPO?

Siden forordningens offentliggørelse har det stået klart, at alle offentlige myndigheder og offentligretlige organer skal udpege en DPO. Justitsministeriet har dog noget opsigtsvækkende udtalt, at private virksomheder i de fleste tilfælde ikke skal have en DPO.

Private virksomheder skal kun udpege en DPO, når virksomheden har (1) en hovedaktivitet som består i behandling af personoplysninger, der enten foretages ved (2) regelmæssig og systematisk overvågning af personer, eller hvor der sker behandling af følsomme oplysninger eller oplysninger om strafbare forhold, og (3) at behandlingen foretages i et stort omfang.

Alle tre betingelser vil sjældent være opfyldt. F.eks. vil en virksomhed, der sælger rådgivningsydelser, og som i forbindelse med kundekontakt, salg og personaleadministration behandler personoplysninger, ikke være forpligtet til at have en DPO, da behandlingen er en biaktivitet.

Omvendt vil virksomheder, der behandler personoplysninger som led i f.eks. hosting- og cloud-tjenester, have en hovedaktivitet der består i behandling af personoplysninger. Behandlingen skal dog samtidig ske i "et stort omfang" og enten udgøre en ”regelmæssig og systematisk overvågning af de registrerede” eller være en ”behandling af følsomme oplysninger eller strafbare forhold” for at DPO-kravet kommer i spil.

Nedenfor er skitseret nogle eksempler på, hvornår en virksomhed er/ikke er forpligtet til at udpege en DPO:

Virksomhedens Kerneaktivitet Regelmæssig Og Systematisk Overvågning Eller Behandling Af Følsomme Oplysninger/Strafbare Forhold
Behandling I "Stort Omfang
Forpligtet Til At Udpege En DPO? 


1.
Virksomheden har en hovedaktivitet, som består i behandling af personoplysninger, herunder f.eks.

  • Hosting-udbydere
  • Cloud-udbydere
  • Forsikringsselskabers behandling af de forsikredes personoplysninger
  • Privathospitalers behandling af patienternes personoplysninger


2.
Virksomheden foretager regelmæssig og systematisk overvågning af de registrerede gennem f.eks.:

  • Profilering af kunders indkøbsmønstre på nettet
  • Adfærdsbaseret annoncering
  • Lokalitetstracking via applikationer

3.
Virksomheden behandler personoplysninger i stort omfang







 

JA

1.
Virksomheden har en hovedaktivitet, som består i behandling af personoplysninger

2.
Virksomheden foretager IKKE regelmæssig og systematisk overvågning af de registrerede, MEN foretager behandling af følsomme oplysninger om f.eks. om race, helbred eller politisk overbevisning
 

3.
Virksomheden behandler IKKE person-oplysninger i stort omfang

NEJ

1.
Virksomheden har IKKE en hovedaktivitet som består i behandling af personoplysninger

2.
Virksomheden foretager IKKE regelmæssig og systematisk overvågning af de registrerede eller behandling af følsomme oplysninger
 

3.
Virksomheden behandler oplysninger i stort omfang

NEJ

1.
Virksomheden har IKKE en hovedaktivitet som består i behandling af personoplysninger

2.
Virksomheden foretager både regelmæssig og systematisk overvågning af de registrerede og behandlinger af følsomme oplysninger
 

3.
Virksomheden behandler oplysninger i stort omfang

NEJ

Bird & Birds kommentar

Med Forordningens vedtagelse er der kommet et helt andet fokus på persondatabeskyttelse blandt virksomhedernes ansatte, kunder og samfundet generelt. Overholdelse af reglerne herom bliver dermed et væsentligt konkurrenceparameter.

Lægges hertil udsigten til bøder på op til 20 mio. EUR eller 4% af virksomhedens årlige omsætning, bør virksomheder generelt overveje at udpege en DPO eller compliance ansvarlig, selvom virksomhederne i mange tilfælde altså ikke er forpligtet til det.