Vi får ofte spørgsmålet fra vores kunder: ”Skal vi ansætte en DPO?” I langt de fleste tilfælde er svaret nej. Her er dog en gennemgang af reglerne, hvis du ikke er helt sikker. Gennemgangen dækker kun private virksomheder.

Private virksomheder skal opfylde tre betingelser for at være tvunget til at ansætte en DPO.

1. De skal behandle personoplysninger som en kerneaktivitet
2. Personoplysningerne skal behandles i stort omfang
3. De skal regelmæssigt og systematisk overvåge personer eller behandle personfølsomme oplysninger eller oplysninger om strafbare forhold.

Der skal med andre ord rigtigt meget til, før du lander i den kategori.

Kerneaktivitet
Når persondataforordningen taler om, at virksomheden skal have behandling af personoplysninger som sin kerneaktivitet, menes der ikke de almindelige aktiviteter, mange virksomheder foretager. Det er altså ikke behandling af medarbejderoplysninger i HR eller kundeoplysninger i salg, der hentydes til. Selve behandlingen skal være kerneydelsen. Det kan eksempelvis være rekrutteringsvirksomheder, der lever af at behandle oplysninger om ansøgere.

De færreste virksomheder behandler personoplysninger som en kerneaktivitet.

Stort omfang
Hvis man behandler store mængder af persondata, oplysninger om mange personer, i lang tid og over store geografiske afstande, så skal man overveje, om man behandler persondata i stort omfang. Men der skal virkelig være tale om et stort omfang. Større forsikringsselskaber, privathospitaler og teleudbydere vil være omfattet, men det skal være i det omfang.

Vores råd
De færreste danske virksomheder skal have en DPO. Men alle skal have styr på deres persondata. Har du brug for rådgivning eller værktøjer til nem håndtering af GDPR, så kontakt os gerne for en uforpligtende snak. Eller se vores ControlGDPR program eller GDPR Hjælp abonnement.