DPO på tværs af Norden
Virksomheder skal måske udpege en databeskyttelsesrådgiver (DPO), når kerneaktiviteterne involverer behandling af personoplysninger i et stort omfang. Branchen kan i sig selv være nok til at fastslå, om det er tilfældet. Illustrativt er der ofte krav om DPO i IT-, hospitals-, sikkerheds-, og rekrutteringssektoren. Men det kan også gælde andre områder. Eksempelvis luftfartsindustrien, hvor IATA og ERA anbefaler en DPO.
Virksomheder kan enten udpege en DPO på et frivilligt eller obligatorisk grundlag. Virksomheder er forpligtede til at udpege en DPO, når kerneaktiviteten er behandling af personoplysninger i et stort omfang og omfatter:
- Regelmæssig og systematisk overvågning, eller
- Følsomme oplysninger, eller
- Oplysninger om strafbare forhold
Uanset om der er tale om en frivillig eller obligatorisk løsning, vælger mange virksomheder at udnytte muligheden for at udpege én DPO for hele koncernen. Men, det er stadig vigtigt at sørge for, at DPO’en har de rigtige kompetencer på tværs af de forskellige medlemslande, som vedkommende dækker.
Overvejelser når der udpeges en DPO
Kravene til hvilke kompetencer en DPO skal have er næsten ens på tværs af Norden. Men, hvis den DPO, der er blevet udpeget, er placeret uden for Norden, kan det være svært at opfylde kravene.
En DPO med ansvar på tværs af flere medlemslande kan især have svært ved at bevise, at følgende krav er opfyldt i hvert land:
- Let tilgængelig for hver enhed
- Klar til at informere og rådgive om databeskyttelsesforpligtelser
- Udstyret med de rigtige ressourcer (økonomisk, logistisk, etc.)
- I stand til at kommunikere med datasubjekter, myndigheder, etc.
- Samarbejdsparat i forhold til myndighederne, hvis det er nødvendigt
Alt efter koncernens størrelse og struktur kan det være nødvendigt at have mere end én DPO eller alternativt et DPO team, der kan supplere for de forskellige lande. DPO teamet vil i så fald bestå af den DPO, der er blevet udpeget, og vedkommendes medarbejdere.
Årsagen er, at kravene ellers indirekte vil gøre det svært – hvis ikke umuligt – at opfylde for én DPO alene. Eksempelvis betyder kravet om tilgængelighed, at der skal være en kommunikation over for datasubjekter, myndigheder og mere generelt internt i organisationen. Det kan være svært, hvis DPO’en ikke kan kommunikere på de lokale sprog. Det norske Datatilsyn har i den forbindelse understreget, at udgangspunktet er, at en DPO som minimum skal kunne tale de ”skandinaviske sprog”.
IUNO mener
Kravene til DPO’er er mere eller mindre ens på tværs af Norden. Derfor sker det også tit, at virksomheder foretrækker et par DPO’er fordelt over flere lande. De DPO’er kan herefter eventuelt være suppleret med et team, der har de tilstrækkelige kompetencer, eksempelvis for Norden.
IUNO anbefaler, at virksomheder har et klart overblik over de regler og forskelle, der er for hvert medlemsland. Ellers er det ikke sikkert, at den DPO, der er udpeget, lever op til kravene. Alternativt kan virksomheder overveje at outsource DPO-opgaven eksternt. I det tilfælde er det vigtigt at sikre, at den eksterne DPO også kan dokumentere over for virksomheden, at alle krav er opfyldt.
IUNO tilbyder DPO-løsninger i Norden. Du kan læse mere om det her.
Virksomheder kan enten udpege en DPO på et frivilligt eller obligatorisk grundlag. Virksomheder er forpligtede til at udpege en DPO, når kerneaktiviteten er behandling af personoplysninger i et stort omfang og omfatter:
- Regelmæssig og systematisk overvågning, eller
- Følsomme oplysninger, eller
- Oplysninger om strafbare forhold
Uanset om der er tale om en frivillig eller obligatorisk løsning, vælger mange virksomheder at udnytte muligheden for at udpege én DPO for hele koncernen. Men, det er stadig vigtigt at sørge for, at DPO’en har de rigtige kompetencer på tværs af de forskellige medlemslande, som vedkommende dækker.
Overvejelser når der udpeges en DPO
Kravene til hvilke kompetencer en DPO skal have er næsten ens på tværs af Norden. Men, hvis den DPO, der er blevet udpeget, er placeret uden for Norden, kan det være svært at opfylde kravene.
En DPO med ansvar på tværs af flere medlemslande kan især have svært ved at bevise, at følgende krav er opfyldt i hvert land:
- Let tilgængelig for hver enhed
- Klar til at informere og rådgive om databeskyttelsesforpligtelser
- Udstyret med de rigtige ressourcer (økonomisk, logistisk, etc.)
- I stand til at kommunikere med datasubjekter, myndigheder, etc.
- Samarbejdsparat i forhold til myndighederne, hvis det er nødvendigt
Alt efter koncernens størrelse og struktur kan det være nødvendigt at have mere end én DPO eller alternativt et DPO team, der kan supplere for de forskellige lande. DPO teamet vil i så fald bestå af den DPO, der er blevet udpeget, og vedkommendes medarbejdere.
Årsagen er, at kravene ellers indirekte vil gøre det svært – hvis ikke umuligt – at opfylde for én DPO alene. Eksempelvis betyder kravet om tilgængelighed, at der skal være en kommunikation over for datasubjekter, myndigheder og mere generelt internt i organisationen. Det kan være svært, hvis DPO’en ikke kan kommunikere på de lokale sprog. Det norske Datatilsyn har i den forbindelse understreget, at udgangspunktet er, at en DPO som minimum skal kunne tale de ”skandinaviske sprog”.
IUNO mener
Kravene til DPO’er er mere eller mindre ens på tværs af Norden. Derfor sker det også tit, at virksomheder foretrækker et par DPO’er fordelt over flere lande. De DPO’er kan herefter eventuelt være suppleret med et team, der har de tilstrækkelige kompetencer, eksempelvis for Norden.
IUNO anbefaler, at virksomheder har et klart overblik over de regler og forskelle, der er for hvert medlemsland. Ellers er det ikke sikkert, at den DPO, der er udpeget, lever op til kravene. Alternativt kan virksomheder overveje at outsource DPO-opgaven eksternt. I det tilfælde er det vigtigt at sikre, at den eksterne DPO også kan dokumentere over for virksomheden, at alle krav er opfyldt.
IUNO tilbyder DPO-løsninger i Norden. Du kan læse mere om det her.
Lignende
Nye krav til ”uafhængige” advokatundersøgelser i krænkelsessager