Telenor fik sidste år en bøde på 4 mio. norske kroner af Datatilsynet i Norge. Virksomhedens brøde: DPO-funktionen fungerede ikke reelt effektivt og uafhængigt. Det er ledelsen, der skal sikre rammerne omkring DPO’en, og det kan sagen fra Norge lære dem noget om.
Visse virksomheder og organisationer skal, ifølge GDPR, have en databeskyttelsesrådgiver (en DPO). Han eller hun skal rådgive om databeskyttelse og føre tilsyn med, hvordan organisationen organiserer og behandler persondata.
DPO’en skal være uafhængig og have de nødvendige ressourcer til at kunne udføre sin rolle effektivt. Lidt som man kender det fra en revisor.
Det er altså ikke nok bare at udpege en medarbejder som DPO og krydse fingrene.
I 2022 fik Datatilsynet i Norge et anonymt tip, som gjorde, at de kiggede nærmere på DPO-rollen i teleselskabet, Telenor. Sagen blev først afgjort i 2025, og konklusionen var, at DPO’en ikke var reelt uafhængig i sit arbejde, og at funktionen ikke var organiseret, så den kunne arbejde effektivt med databeskyttelsen.
Hvis du er ansvarlig for DPO-funktionen i din organisation, kan du lære en del af dommen.
Læring nr. 1: Vurder, om I skal have en DPO
En sjov krølle på sagen er, at Telenor reagerede ved at nedlægge DPO-funktionen. Det fik Datatilsynet til at bede dem sende dokumentation for den vurdering.
Datatilsynet siger nemlig i afgørelsen, at hvis det ikke er åbenlyst, at man ikke skal have en DPO, skal man dokumentere sine overvejelser – ligegyldigt om man vælger at få en DPO eller ej.
Læring 2: Organiseringen skal være gennemtænk – og dokumenteret
I det hele taget går det igen, at Telenor ikke systematisk har dokumenteret deres overvejelser og procedurer. Det gælder også organiseringen af DPO-funktionen.
DPO’en blev involveret, men det foregik uformelt og fra sag til sag.
Datatilsynet påbyder derfor at sikre en beskrivelse af hvilke opgaver DPO’en skal involveres i, hvordan og hvornår det konkret skal ske.
Det er godt at skrive sig bag øret, at de procedurer skal være på plads.
Læring 3: Ressourcer skal der til
DPO’en i Telenor var halvtidsansat. Den anden halvdel af tiden var hun advokatfuldmægtig i koncernen. Datatilsynet slår fast, at man sagtens kan være DPO på deltid, men i det konkrete tilfælde kunne DPO’en ikke nå at udføre sine opgaver.
Halv tid var, med andre ord, for lidt.
Det er ledelsens opgave at sikre, at DPO’en har tiden og andre nødvendige ressourcer til effektivt at udføre sine opgaver. Ellers kan det altså føre til sanktioner fra myndighederne.
Læring 4: Deltid kan give interessekonflikter
Telenor havde ikke foretaget en vurdering af – og dokumenteret – hvorvidt DPO’en havde interessekonflikter i forhold til sin rådgivning og tilsyn. Det skal man altid vurdere.
Det betyder blandt andet, at han eller hun ikke må fastlægge formål og midler for behandling af personoplysninger.
Det er imidlertid blot én mulig interessekonflikt. I Telenor-sagen peger Datatilsynet på to andre mulige interessekonflikter.
- DPO’en var advokatfuldmægtig og refererede til en chefjurist, som i sagens natur er ansvarlig for, hvordan persondata bliver behandlet i den juridiske afdeling. Spørgsmålet er, om den advokatfuldmægtige vil være mere optaget af at stille chefen tilfreds end sin rolle som uafhængig DPO. Det peger tilsynet i hvert fald på.
- DPO’en havde aktier i Telenor. Det kan også, ifølge tilsynet, være et problem.
Under alle omstændigheder skulle Telenor tage stilling til uafhængigheden og sikre den i praksis.
Sagen viser, hvor svært det er at være DPO på deltid med andre opgaver i organisationen. Man skal hele tiden forholde sig til DPO-rollen, når man bliver tildelt andre opgaver.
Læring 5: DPO’en skal rapportere til øverste ledelseslag
Datatilsynet i Norge konstaterede også, at DPO’en i Telenor ikke rapporterede direkte til det øverste ledelseslag. Det skal en DPO ifølge GDPR.
Den problemstilling er endnu en klassiker. DPO-rollen er placeret forholdsvis lavt i hierakiet (måske for at undgå interessekonflikter). Det betyder, at DPO’en ikke har en naturlig adgang til ledelsen. Hans eller hendes kommunikation, rådgivning og vurderinger går igennem flere ledere, før den (måske) når topledelsen.
Det er vigtigt at formalisere og forklare rapporteringslinjerne og i sikre, at det i praksis sker.
Det gode råd: Gør det klart, at DPO’en minimum én gang om året skal udarbejde en årsrapport og lad DPO’en fremlægge den på et direktions- eller bestyrelsesmøde. Det vil også give mulighed for nogle gode diskussioner i ledelsen om databeskyttelse og risici.
Hvis du er ansvarlig for databeskyttelsen eller en DPO-funktion, kan du stille dig selv de her spørgsmål:
Har vi dokumenteret, hvorfor vi har – eller ikke har – en DPO?
Har vores DPO reel adgang til ledelsen?
Har vi vurderet og dokumenteret interessekonflikter og ressourcebehov?
