Som følge af det øgede fokus på ansvarlig databehandling er der for visse virksomheder et krav om at have en DPO – Data Protection officer. På dansk, en databeskyttelsesrådgiver.
En databeskyttelsesrådgiver i en organisation er en rådgiver, som skal inddrages og rådgive organisationen i alt, hvad der handler om databeskyttelse. Formålet med en sådan rådgivende funktion er at understøtte og hjælpe den dataansvarlige, så databeskyttelsesforordningen bliver overholdt i organisationen. En databeskyttelsesrådgiver er ikke en del af Datatilsynet, men en slags kontaktled, ansat i organisationen, som skal samarbejde sammen med Datatilsynet. Rådgiveren kan derved godt have andre uafhængige opgaver hos den dataansvarlige.
De virksomheder, hvis kerneaktivitet omhandler databehandling, er forpligtiget til at udpege en databeskyttelsesrådgiver. Det er i de fleste tilfælde ikke en pligt for den private sektor at have en databeskyttelsesrådgiver. Virksomheder, der behandler persondata på helt almindeligt plan, vil derfor ikke være forpligtiget til at have en DPO.
Datatilsynet har opstillet tre betingelser for, hvornår en virksomhed er omfattet af kravet om at udpege en DPO:
- Først og fremmest skal behandlingen af persondataoplysninger være en del af virksomhedens kerneaktivitet. Det vil sige, at virksomhedens essentielle aktivitet skal bestå af persondatabehandling. Altså skal virksomhedens produkter/tjenester direkte bestå af databehandling.
- For det andet skal persondata behandles i et stort omfang. Ved bedømmelse af i hvor stort et omfang en virksomhed behandler persondata, lægger Datatilsynet vægt på, hvor stor en mængde af persondata, der er tale om, om det er oplysninger vedrørende et stort antal af personer, om databehandlingen er permanent eller over en lang periode – og hvor stor udstrækningen af databehandlingen er rent geografisk.
- Den sidste betingelse for at en virksomhed er underlagt kravet om en udpegelse af en DPO, er at behandlingen af persondata består af enten regelmæssig og systematisk overvågning af personer, eller vedrører følsomme personoplysninger eller oplysninger om strafbare forhold.
Kun hvis alle disse tre betingelser er opfyldt, er virksomheden forpligtiget til at udpege en databeskyttelsesrådgiver.