Hvornår skal du have en DPO til din virksomhed?

Datatilsynet har udgivet en vejleding “Vejledning om databeskyttelsesrådgivere”, hvor de kommer med bud på hvilke virksomheder der skal have en Data Protection Officer også kaldet DPO.

Som udgangspunkt er det en rigtig god vejledning, der har gode eksempler og beskriver tre områder en virksomhed skal kunne sige ja til, før de er forpligtiget til at have en DPO tilknyttet til virksomheden.

Følgende tre betingelser skal alle være opfyldt, før man er forpligtiget til at have en DPO tilknyttet sin virksomhed:

  1.  Behandling af personoplysninger skal være virksomhedens kerneaktivitet
  2.  Der skal behandles personoplysninger i et stort omfang
  3.  Behandlingsaktiviteten består i regelmæssig og systematisk overvågning af personer eller behandlingen vedrører følsomme oplysninger eller oplysninger om strafbare forhold

Eksempelvis står der i datatilsynets vejledning, at en praktiserende læge ikke er forpligtiget til at have en DPO tilknyttet. Men hvis MANGE praktiserende læger går sammen i et lægehus, så skal de have en DPO tilknyttet. Det er her særligt vigtigt, at have fokus på begrebet FÅ og MANGE læger. Vores anbefaling til tolkning er, at FÅ læger tolkes som 1 eller 2 læger, og mange som 3 eller flere læger tilknyttet. Uanset hvordan en sundhedsvirksomhed vælger at tolke begreberne. Så er det utroligt vigtigt, at man dokumenterer grundlag og argumentation for den beslutning man træffer i ledelsen.

Men også i forhold til punkt 2 lægges der op til stor tolkning.

Holder vi fast i lægehuset som eksempel og kigger på statistisk materiale for, hvor mange patienter en dansk praktiserende læge har i gennemsnit, så ligger tallet omkring 1800 patienter. Det betyder at eksemplet i vejledningen siger, at man som lægehus med over 3600 patienter tilknyttet, er forpligtiget til at have en DPO tilknyttet lægehuset.

Det er ingen nyhed, at læger har personfølsomme oplysninger om patienter som et led i deres arbejde, men grænsen omkring 3600 patienter virker relativt lavt i forhold til en forpligtigelse til at skulle have en DPO. Særligt i lyset af der i samme lovgivning skal udvises hensyn til implementeringsgraden hos SMV virksomheder med under 250 ansatte (det ene af tre SMV parametre). Og et lægehus med mere end 2 læger og øvrigt personale falder om andet under denne SMV definition.

Kigger vi på et forsikringsselskab, der som branche ligger i kategori med de praktiserende læger, hvor hovedaktiviteten er behandling af personoplysninger. Gælder der så samme rettesnor i forhold til antallet af kunder i denne branche? 

Hvis lægehuset er eksemplet og niveauet for de brancher der har behandling af persondata som kerneaktivitet. Betyder det at mange virksomheder kan sige ja til punkt 2 “behandling af personoplysninger i stort omfang”. Det vil utilsigtet kunne ramme mange små danske virksomheder som høre indenfor SMV definitionen hvis man ukritisk følger lægehus eksemplet i vejledningen.

Vangsaa Consult anbefaler derfor en mere pragmatisk tilgang til tolkningen af, om man har behandling af personoplysninger i stort omfang. Særligt hos SMV virksomheder.