Normalt har den administrerende direktør og bestyrelsen altid ansvaret for at virksomheden overholder love og regler, men for at det fungerer i praksis, skal ansvaret fordeles. Af hensyn til privatlivets fred sker dette over for en ansvarlig person, til hver medarbejder og til leverandører, der behandler eller har adgang til persondata. Desværre bliver dette ofte ikke gjort i organisationer, der mangler en DPO. Det betyder, at arbejdet i tidligere GDPR-projekter gradvist forringes, når organisation, rutiner eller systemer ændres, når fortolkningen af loven præciseres, eller når kunders og leverandørers roller ændres. Risikoen er derfor stor for, at organisationen ikke følger reglerne over tid, og derved øges risikoen for hændelser, bøder og dårligt omdømme.
Nogle organisationer er ved lov forpligtet til at udpege en DPO. Personen skal afsætte tid til planlægning, opfølgning og udførelse af opgaver, for at organisationen kan sikre overholdelse af loven. DPO'ens ansvar er at bistå organisationen med at fastlægge regler, rutiner og uddannelse og i givet fald være kontaktperson for tilsynsmyndigheden. DPO'en har desuden til opgave løbende at kontrollere overholdelsen af reglerne og indberette eventuelle afvigelser til ledelsen. DPO'en må ikke have nogen anden rolle i organisationen, som betyder, at de håndterer personoplysninger, f.eks. anden ledelsesrolle i organisationen, hvilket skaber en interessekonflikt. Det er for at sikre uafhængig og objektiv gennemgang og kontrol.
Læs mere om, hvilke organisationer der er forpligtet til at udpege en DPO her >
Hvis din organisation ikke er forpligtet til at udpege en DPO, kan det være klogt at udpege en rolle med tilsvarende opgaver. Her kan rollen, ligesom DPO'en, fordelagtigt købes som en service ("DPO-as-a-Service"). Fordelene ved dette er bl.a. at man får adgang til eksperter på området og at man nemmere kan regulere omfanget - f.eks. tid og omkostninger.
Først og fremmest anbefaler vi at foretage en gennemgang af, hvordan organisationen i øjeblikket håndterer GDPR, det indebærer at udføre en GAP-analyse. (Bemærk: Gennemgang/revision skal faktisk udføres mindst årligt i henhold til GDPR.) GAP-analysen viser, hvilke mulige tiltag der skal tages for at genoprette overholdelse af reglerne.
Sideløbende med GAP-analysen anbefaler vi også, at du gennemgår ledelsesrutinerne. Det vil sige hvilke roller og ansvarlige personer, der løbende administrerer og opdaterer GDPR-reglerne, når organisation, rutiner eller systemer ændres. Hos Cegal hjælper vi dig gerne med GAP-analyse og den løbende styring. Vi har gennemført mange GDPR-projekter og har konsulenter, der har haft rollen som ansat DPO i både store, mellemstore og små organisationer. Vi har pakkeløsninger, der nemt kan tilpasses til din virksomheds størrelse og kompleksitet.