Virksomheder, der samler DPO-funktionen på tværs af Norden, skal sikre, at kravene i GDPR efterleves i hvert enkelt land. Det omfatter tilgængelighed, kompetent rådgivning, tilstrækkelige ressourcer samt effektiv kommunikation med registrerede og tilsynsmyndigheder.
Krav efter GDPR
Udpegning, position og opgaver for en DPO følger af GDPR art. 37–39. For koncerner betyder det, at én DPO kan dække flere enheder, hvis vedkommende reelt kan udføre opgaven lokalt. Praktisk kan det være vanskeligt, når DPO’en er placeret uden for Norden, særligt i forhold til sprog og tilgængelighed.
Tilsynserfaring viser, at lokale sprog- og tilgængelighedskrav vejer tungt. Eksempelvis er det fremhævet i Norge, at en DPO som udgangspunkt bør beherske de skandinaviske sprog for at kunne kommunikere effektivt med registrerede og myndigheder.
Organisering i koncerner
Af hensyn til kravene kan virksomheder med fordel etablere flere DPO’er eller et DPO-team, der dækker de relevante lande og kompetenceområder. Det mindsker risikoen for manglende tilgængelighed eller utilstrækkelige ressourcer.
Virksomheder bør kortlægge nationale forskelle, fastlægge klare roller og rapporteringslinjer, allokere ressourcer og dokumentere efterlevelse. Ved outsourcing skal det kontraktuelt sikres og kunne dokumenteres, at den eksterne DPO opfylder GDPR-kravene i alle berørte jurisdiktioner.
