Skal du have en DPO, hvis du driver en webshop og bruger digitale kanaler?

En Data Protection Officer (DPO) eller på dansk en databeskyttelsesrådgiver kan I mange tilfælde være en god ide at udpege I din virksomhed. For nogle virksomheder er det endda påkrævet, at de ansætter en DPO!

Har du fulgt med i min blogserie om persondataforordningen, er du allerede klar over, at især ehandelsvirksomheder står overfor en udvidet forpligtigelse i forhold til at beskytte deres kunders persondata. Du er også klar over, at du skal være ekstra vågen, hvis du anvender personoplysninger, som led i en effektiv digital markedsføringsindsats. En DPO kan være med til at sikre, at du overholder persondataforordningen, så du ikke laver uheldige manøvre. Det kan være utilsigtet, men alligevel en overtrædelse af forordningen, der kan koste dig en stor bøde.

I dette indlæg taler jeg med Bent fra Leoni Advokater om, hvornår det er hensigtsmæssigt at have en DPO, hvornår du er pålagt at udpege en, samt hvilken rolle DPO’en skal have i virksomheden.

En DPO kan sikre, at din ehandelsvirksomhed overholder persondataforordningen?

For nogle er det frivilligt og for andre virksomheder er det et krav at de har en DPO.Har du en digital tilstedeværelse, blot i form af et website, er der stor sandsynlighed for, at du behandler personoplysninger. Specielt ehandelsvirksomheder indsamler og behandler mange persondata i forbindelse med en kundes køb. Disse virksomheder skal derfor være ekstra opmærksomme på at persondataforordningen overholdes af alle der har adgang til og håndterer persondata i virksomheden. Betyder det at disse virksomheder bør udpege en DPO?

Bent: Det kan bestemt være en god ide for virksomheder at udpege en databeskyttelsesrådgiver. DPOen kan være med til at sikre, at en webshop eller en virksomhed, der i et eller andet omfang bruger persondata til deres digitale markedsføring, overholder forordningens regler.

Anbefalingen fra EU er også, at alle virksomheder der behandler personoplysninger udnævner en DPO. De webshops og virksomheder, der ansætter en databeskyttelsesrådgiver signalerer også til omverdenen, at de tager persondataforordningens regler alvorligt og aktivt arbejder med at virksomheden overholder GDPR.

Ansættelse af en DPO kan således være en del af strategien, for de webshops eller virksomheder, der ser muligheder i at brande sig på at de overholder forordningen. Overholdelse af GDPR, som et konkurrenceparameter berørte jeg også i det forrige blogindlæg. Det kan du læse det her.

Er der andre muligheder end at ansætte en intern DPO?

For nogle ehandelsvirksomheder, kan det måske virke lidt voldsomt og omkostningstungt, at ansætte en databeskyttelsesrådgiver. Er der andre muligheder end at ansætte en DPO?

Bent: DPOen må gerne være en konsulent eller en ansat i virksomheden, der kan varetage andre opgaver samtidigt. Det er dog et krav, at der ikke kan opstå interessekonflikter. Derfor kan en digital marketingmedarbejder eller en, der sidder i IT-afdelingen ikke anbefales, selvom det kunne være nærliggende. Konsulenten eller medarbejderen skal også have den nødvendige viden og ekspertise. Den udpegede databeskyttelsesrådgiver må heller ikke sidde i virksomhedens ledelse eller have en anden ledende position.

Er virksomheden ikke forpligtet til at ansætte en DPO, er det også en mulighed, at en ansat udpeges som ansvarlig for overholdelse af GDPR uden der formelt er tale om en databeskyttelsesrådgiver. Det giver virksomheden friere rammer i forhold til ansættelsesforholdet. Jeg vil ikke nødvendigvis anbefale virksomheder i alle størrelser at ansætte en DPO, men jeg vil klart råde selv små virksomheder til at have en person i virksomheden, der er ansvarlig for at gennemføre de persondataretlige regler og sørge for, at der sker noget på området – der er trods alt heller ikke mere end ca. fire måneder til, at persondataforordningen træder i kraft. Hvis der ikke er en ansvarlig, er der en stor risiko for, at der ikke sker noget som helst i virksomheden.

Hvornår SKAL en webshop have en DPO?

De fleste virksomheder er ikke forpligtet til at have en DPO. Bent, kan du gøre os klogere på, hvornår du er pålagt at ansætte en? Kan en webshop f.eks. være forpligtet til at udpege en DPO?

Bent: Du kan være forpligtet til at ansætte en DPO, hvis din kerneaktivitet i virksomheden er at håndtere eller bearbejde følsomme personoplysninger i stort omfang, eller hvis der er tale om en offentlig myndighed. Der er dog ikke et entydigt svar på, hvornår det er påkrævet. Umiddelbart vil webshops kun være forpligtet til at udpege en DPO, hvis de behandler følsomme persondata i et stort omfang – hvilket nogle webshops med sikkerhed gør. Det er dog vigtigt at få afklaret, da man kan risikere at få en bøde. Er du i tvivl kan du kontakte datatilsynet for at få deres vurdering.

Er du I tvivl om din virksomhed er forpligtet til at udpege en DPO, kan du kontakte datatilsynet. På datatilsynets hjemmeside bliver der også løbende publiceret vejledninger omkring persondataforordningen.

Hvad er DPO’ens rolle?

DPOen skal hjælpe med at virksomheden lever op til persondataforordningen.Vælger du helt frivilligt at udpege en DPO eller er du pålagt dette på grund af dine hovedaktiviteter i virksomheden, er der en række opgaver DPOen er ansvarlig for. Hvilken rolle og opgaver skal DPOen udføre i virksomheden?

Bent: DPO’ens vigtigste opgave er at hjælpe virksomheden med at overholde persondataforordningen. Det betyder konkret, at de skal have en rådgivende rolle overfor ledelsen og de ansatte i virksomheden. De skal overvåge, at alle håndteringer at persondata lever op til reglerne i forordningen. Det er også deres opgave at være kontakt til tilsynsmyndigheder og samarbejde med disse. Derudover skal de være kontaktperson, hvis de kunder eller brugere, virksomheden har indsamlet persondata om, har spørgsmål eller indsigelser. Det betyder at kontaktinformation på DPOen skal stå i din privatlivspolitik på dit website eller din webshop.

For at DPOen kan udføre sin opgave, er det vigtigt at DPOen inddrages i alle processer, beslutninger og aktiviteter, der vedrører håndtering af ansattes og/eller kunders data. Derudover skal DPOen have tildelt de nødvendige ressourcer for at udføre sin opgave.


Spørg eksperterne om EU persondataforordningenNæste gang tager vi fat på emnet IT-sikkerhed, hvor jeg taler med Bent om beskyttelse og sikring af de indsamlede personoplysninger. Vi taler også om, hvad du skal gøre, hvis dit website bliver hacket og andre får fat i dine kunders persondata. Har du nogle spørgsmål, som du gerne vil have besvaret omkring IT-sikkerhed og GDPR tager vi dem gerne med i indlægget. Du skal blot stille dem i kommentarfeltet herunder.

Som altid kan du stille alle dine spørgsmål til persondataforordningen her på eNavigates blog.

*Vær opmærksom på, at du ikke kan se dit spørgsmål, før jeg har godkendt det.

Tinne Bering

Tinne Bering rådgiver virksomheder om digital strategi og markedsføring. På eNavigates blog skriver hun faglige blogindlæg om digital markedsføring og trends.

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *

This site uses Akismet to reduce spam. Learn how your comment data is processed.