Menu luk

DPO eller ej?

Det bliver op til bankerne selv at bevise, at behandling af følsomme persondata ikke er en kerneaktivitet, og at de derfor ikke behøver at ansætte en DPO, Data Protection Officer.

12. nov 2017
2 min

​Efter mange måneders venten har bankerne fået svar på, at de ikke per automatik er omfattet af kravet om at udpege en Data Protection Officer (databeskyttelsesrådgiver), når EU's omfattende forordning om persondatabeskyttelse træder i kraft i maj 2018.

En vejledning fra Justitsministeriet offentliggjort i slutningen af september 2017 nævner ikke banksektoren blandt de virksomhedstyper, som skal placere ansvaret for persondatasikkerhed hos en navngiven person. 

Men vejledningen kan godt betyde, at mange banker vælger at gøre det alligevel.

Det bliver nemlig op til pengeinstitutterne selv at vurdere, om de er omfattet af pligten til at udnævne en DPO (se boks).

Jyske Bank er et af de pengeinstitutter, som allerede i februar 2017 annoncerede efter en medarbejder til en stilling som databeskyttelsesrådgiver. En rundringning til en række større banker viser, at flere er på vej. Til gengæld er mindre banker på standby for at afvente, om deres aktiviteter falder ind under reglerne.

Hvad enten bankerne formelt ansætter en DPO eller ej, skal de forankre ansvaret for persondata-beskyttelse i organisationen, siger juridisk direktør i Finans Danmark Kenneth Joensen.

"For nogle banker vil det – uanset lovgivningen – være en fordel af have en DPO, mens det i mindre pengeinstitutter måske ikke er så vigtigt", siger han.

Landsdækkende forsikringsselskaber, privathospitaler og teleselskaber er virksomheder, der behandler persondata som en del af deres kerneaktivitet, og som derfor i vejledningen er omfattet af kravet om en DPO. Det gælder også alle offentlige organisationer.

Fakta om DPO

En databeskyttelsesrådgiver skal inddrages i alle spørgsmål om databeskyttelse og rådgive ledelse og medarbejdere om EU's databeskyttelsesregler. En DPO fungerer som en uafhængig kontrolfunktion og kan ikke afskediges i forbindelse med sin rådgivning.

Pligten til at udpege en DPO omfatter virksomheder og organisationer, der behandler persondata

  • som en kerneaktivitet
  • i stort omfang 
  • som led i en regelmæssig og systematisk overvågning 
  • som består af følsomme oplysninger.