Databeskyttelse

Databeskyttelsesrådgiver (DPO): rolle og hvornår den er påkrævet i 2026

Databeskyttelsesrådgiver (DPO) efter art. 37-39 GDPR: hvornår den er obligatorisk, opgaver, uafhængighed og forskellen på intern og ekstern DPO i 2026.

Also available in:English·Français·Deutsch·Español

En databeskyttelsesrådgiver (DPO, Data Protection Officer) er en uafhængig funktion, der fører tilsyn med, at en organisation overholder databeskyttelsesreglerne. DPO’ens rolle er defineret i artikel 37-39 i databeskyttelsesforordningen (GDPR): artikel 37 fastlægger, hvornår en DPO er obligatorisk, artikel 38 sikrer DPO’ens uafhængighed og stilling, og artikel 39 oplister de opgaver, DPO’en som minimum skal varetage. Det er vigtigt at forstå, at DPO’en ikke overtager ansvaret for compliance — det ansvar bliver hos den dataansvarlige. DPO’en rådgiver, overvåger og er kontaktpunkt, men udfører ikke selv compliance-arbejdet.

Denne guide gennemgår, hvornår du skal udpege en DPO, hvad opgaverne konkret er, hvilke krav der stilles til uafhængighed, og forskellen på en intern og en ekstern rådgiver.

Hvornår er en DPO obligatorisk?

Artikel 37, stk. 1, gør det obligatorisk at udpege en DPO i tre tilfælde:

  1. Offentlige myndigheder og organer (bortset fra domstole i deres egenskab af domstol). I Danmark betyder det, at kommuner, regioner, ministerier og styrelser skal have en DPO.
  2. Organisationer, hvis kerneaktiviteter består af behandlinger, der kræver regelmæssig og systematisk overvågning af registrerede i stort omfang — fx adfærdsbaseret annoncering, tracking eller lokationsovervågning.
  3. Organisationer, hvis kerneaktiviteter består af behandling i stort omfang af følsomme oplysninger (særlige kategorier, art. 9) eller oplysninger om strafbare forhold (art. 10) — fx hospitaler og sundhedsklinikker.

Databeskyttelsesloven (lov nr. 502 af 23. maj 2018) bygger videre på forordningens regler i dansk ret. Er du i tvivl om, hvorvidt din behandling er “i stort omfang”, peger EDPB’s vejledning (WP 243) på faktorer som antal registrerede, datamængde, varighed og geografisk udstrækning. Selv når en DPO ikke er lovpligtig, kan det være en fordel frivilligt at udpege en — men så gælder de samme krav i artikel 38-39.

Hvilke opgaver har DPO’en?

Artikel 39, stk. 1, oplister DPO’ens minimumsopgaver:

  • Informere og rådgive den dataansvarlige, databehandleren og medarbejderne om deres forpligtelser efter GDPR og anden databeskyttelseslovgivning.
  • Overvåge overholdelsen af reglerne og af organisationens egne politikker, herunder ansvarsfordeling, oplysning, uddannelse og audits.
  • Rådgive om og overvåge gennemførelsen af konsekvensanalyser efter artikel 35.
  • Samarbejde med Datatilsynet og fungere som tilsynets kontaktpunkt, herunder ved forudgående høring efter artikel 36.

I praksis bistår DPO’en desuden ofte med at vedligeholde fortegnelsen over behandlingsaktiviteter og med at håndtere de registreredes rettigheder, fx indsigtsanmodninger. Artikel 39, stk. 2, kræver, at DPO’en prioriterer efter risiko — altså bruger flest ressourcer på behandlinger med høj risiko for de registrerede.

Krav til uafhængighed (art. 38)

Artikel 38 sikrer DPO’ens uafhængighed gennem fire kerneelementer:

  1. DPO’en må ikke modtage instrukser om, hvordan opgaverne skal udføres (art. 38, stk. 3).
  2. DPO’en må ikke afskediges eller straffes for at varetage sine opgaver.
  3. DPO’en skal referere direkte til det øverste ledelsesniveau.
  4. De registrerede skal kunne kontakte DPO’en direkte om behandlingen af deres oplysninger.

Den dataansvarlige skal desuden inddrage DPO’en rettidigt i alle spørgsmål om beskyttelse af personoplysninger (art. 38, stk. 1) og stille de nødvendige ressourcer til rådighed (art. 38, stk. 2). DPO’en er underlagt tavshedspligt (art. 38, stk. 5).

Artikel 38, stk. 6, tillader, at DPO’en varetager andre opgaver, forudsat at der ikke opstår en interessekonflikt. Det er en klassisk faldgrube: en person, der både er DPO og fx IT-chef, HR-chef eller juridisk chef, kan ende med at skulle føre tilsyn med sine egne beslutninger. En sådan konflikt underminerer hele funktionen.

Intern eller ekstern DPO?

DPO’en kan være en medarbejder eller en ekstern leverandør på kontrakt (art. 37, stk. 6). En koncern kan udpege én fælles DPO, forudsat at vedkommende er let tilgængelig fra hver enhed (art. 37, stk. 2).

  • Intern DPO giver dyb kendskab til organisationen, men kræver, at man kan sikre reel uafhængighed og undgå interessekonflikter.
  • Ekstern DPO giver specialistviden og indbygget uafhængighed, men kræver, at leverandøren får tilstrækkelig indsigt i organisationens behandlinger.

Uanset model kræver artikel 37, stk. 5, at DPO’en udpeges på grundlag af faglige kvalifikationer — særlig ekspertise i databeskyttelsesret og -praksis. Der kræves ingen bestemt certificering, men niveauet skal svare til kompleksiteten af organisationens behandlinger. En platform som Legiscope kan understøtte DPO’ens arbejde ved at samle fortegnelse, konsekvensanalyser, databehandleraftaler og brudlog ét sted, så tilsynsopgaven bliver dokumenterbar.

DPO’ens forhold til Datatilsynet og de registrerede

DPO’en er organisationens kontaktpunkt udadtil i databeskyttelsesspørgsmål. Over for Datatilsynet fungerer DPO’en som fast kontaktperson og samarbejder ved tilsynssager, forudgående høring efter artikel 36 og anmeldelse af brud. Kontaktoplysningerne på DPO’en skal offentliggøres og meddeles til Datatilsynet (art. 37, stk. 7).

Over for de registrerede skal DPO’en være direkte tilgængelig: de registrerede kan kontakte DPO’en om alle spørgsmål vedrørende behandlingen af deres oplysninger og udøvelsen af deres rettigheder (art. 38, stk. 4). Det er derfor almindeligt at oplyse DPO’ens e-mailadresse i privatlivspolitikken. DPO’en behøver dog ikke selv at behandle hver indsigtsanmodning, men skal føre tilsyn med, at organisationen håndterer dem korrekt og til tiden.

Frivillig DPO og alternativer

Er en DPO ikke lovpligtig, kan du vælge mellem tre modeller:

  • Frivillig DPO. Du udpeger en DPO, selv om du ikke er forpligtet. Fordelen er et klart kontaktpunkt og styrket tillid — men vær opmærksom på, at de fulde krav i artikel 38-39 så gælder, herunder uafhængighed og beskyttelse mod afskedigelse.
  • Databeskyttelseskoordinator uden DPO-titel. Mange virksomheder udpeger en intern ansvarlig for databeskyttelse uden at kalde vedkommende DPO. Så gælder DPO-reglerne ikke formelt, men du får et fast kontaktpunkt. Undgå at kalde funktionen “DPO”, hvis du ikke vil være bundet af artikel 38-39.
  • Ekstern rådgivning ad hoc. Mindre organisationer kan trække på ekstern juridisk rådgivning efter behov i stedet for en fast funktion.

Uanset model er ansvaret for overholdelse den dataansvarliges — funktionen flytter ikke ansvaret, den styrker tilsynet med det. Sørg for, at den valgte model har adgang til fortegnelsen, konsekvensanalyserne, databehandleraftalerne og brudloggen.

Kvalifikationer, ressourcer og retsgrundlag

Artikel 37, stk. 5, kræver, at DPO’en udpeges på grundlag af faglige kvalifikationer, navnlig ekspertise i databeskyttelsesret og -praksis. Der kræves ingen bestemt certificering, men niveauet skal svare til kompleksiteten af organisationens behandlinger — et hospital, der behandler helbredsoplysninger i stort omfang, har behov for dybere ekspertise end en virksomhed, der kun behandler almindelige medarbejderoplysninger. En effektiv DPO kombinerer juridisk viden om GDPR med teknisk forståelse for it-systemer og datastrømme, og bør have ret til løbende efteruddannelse, som artikel 38, stk. 2, forudsætter gennem kravet om tilstrækkelige ressourcer.

Rollen er reguleret i artikel 37-39 i databeskyttelsesforordningen, suppleret i dansk ret af databeskyttelsesloven (lov nr. 502 af 23. maj 2018). Manglende ressourcer, interessekonflikter og for svage referencelinjer er blandt de forhold, tilsynsmyndighederne på tværs af EU oftest peger på som problematiske — sørg derfor for, at DPO’en reelt inddrages rettidigt og har direkte adgang til den øverste ledelse.

Ofte stillede spørgsmål

Skal alle virksomheder have en databeskyttelsesrådgiver?

Nej. En DPO er kun obligatorisk for offentlige myndigheder, for organisationer hvis kerneaktivitet er regelmæssig og systematisk overvågning i stort omfang, eller for organisationer der i stort omfang behandler følsomme oplysninger. Mange almindelige virksomheder er ikke forpligtede, men kan udpege en DPO frivilligt.

Kan DPO’en holdes personligt ansvarlig for brud på GDPR?

Nej. Ansvaret for overholdelse ligger hos den dataansvarlige eller databehandleren, ikke hos DPO’en. Artikel 38 fastslår udtrykkeligt, at DPO’en ikke må straffes for at varetage sine opgaver. En DPO kan dog blive personligt ansvarlig, hvis vedkommende aktivt medvirker til et brud — fx ved bevidst at give urigtig rådgivning.

Kan IT-chefen også være DPO?

Sjældent uden problemer. Artikel 38, stk. 6, forbyder interessekonflikter. En IT-chef fastlægger typisk selv formål og midler for behandlinger og kan derfor ikke uafhængigt føre tilsyn med dem. De fleste ledende operationelle roller (IT-, HR-, marketing- og juridisk chef) skaber en interessekonflikt og bør ikke kombineres med DPO-rollen.

Konklusion

Databeskyttelsesrådgiveren er en uafhængig tilsyns- og rådgivningsfunktion, ikke en compliance-udførende rolle. En DPO er obligatorisk for offentlige myndigheder og for organisationer, der overvåger i stort omfang eller behandler følsomme oplysninger i stort omfang. Uanset om du vælger en intern eller ekstern DPO, skal uafhængigheden, ressourcerne og den direkte ledelsesadgang efter artikel 38 være på plads. Sørg for, at DPO’en inddrages i konsekvensanalyser, fortegnelsen og håndteringen af de registreredes rettigheder — og at der ikke er interessekonflikter.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →