Dataskyddsombud (DPO)
Sedan GDPR eller dataskyddsförordningen som den heter på svenska, började gälla 2018 har många organisationer en skyldighet att utse dataskyddsombud.
Vem måste tillsätta ett dataskyddsombud?
Om personuppgiftsbehandling sker på något av följande sätt ska ett dataskyddsombud tillsättas:
- Behandlingen sköts av en myndighet eller ett offentligt organ.
- Kärnverksamhetens[1] behandling kräver regelbunden och systematisk övervakning i stor omfattning[2].
- Kärnverksamheten består av behandling i stor omfattning av känslig information[3].
Kan man ha ett gemensamt dataskyddsombud för flera företag?
Ja! Det är möjligt inom koncerner och även för fristående företag.Det som krävs är att dataskyddsombudet skall kunna lägga ned de resurser som krävs för att nå upp till det som föreskrivs i GDPRs artiklar. Dessutom viktigt att dataskyddsombudet är oberoende och arbetar självständigt.
Myndigheter och andra offentliga organ kan också ha ett gemensamt dataskyddsombud, beroende på organisationsstrukturen, storleken, resurserna samt kommunikationsmöjligheterna. Bland mindre kommuner är det vanligt att man delar på dataskyddsombud
Vad krävs för att utses till dataskyddsombud?
Ombudet ska vara kvalificerad för uppdraget samt känna till lagstiftning och praxis avseende dataskydd. Det får inte föreligga motstående intressen. Med detta menas exempelvis att en person som har hög befattning inom ett företaget inte samtidigt kan vara ett dataskyddsombud. Dataskyddsombudet skall även rapportera till högsta ledningen, antingen genom att den rapport som dataskkyddsombudet författar kommer till ledningen eller att dataskyddsombudet föredrar rapporten själv.
Vad har dataskyddsombudet för uppgifter?
Dataskyddsombudets uppgifter kan variera mellan olika verksamhetsområden. Sammanfattningsvis består de obligatoriska uppgifterna av att:
- Informera och ge råd i frågor rörande personuppgiftsbehandling. Särskilt ge synpunkter vid konsekvensbedömningar.
- Övervaka efterlevnaden av förordningen och annan dataskyddslagstiftning.
- Samarbeta med Datainspektionen.
- Fungera som kontaktlänk mellan Datainspektionen, de personer som man behandlar personuppgifter om och internt i företaget.
Dataskyddsombudet bör även granska verksamheten att dataskyddet fungerar. Hur granskningen skall gå till finns inte detaljerat i lagtexten, men att lägga upp granskningen i ett årsjhul eller liknande har visat sig vara effektivt.
Det viktiga är att personuppgiftsombudet utför sitt uppdrag självständigt och oberoende. Denne eller denna får alltså inte ta emot instruktioner eller liknande från andra i företaget, myndigheten eller organisationen.
Vad ska dataskyddsombudet inte arbeta med
Vi tycker att ett dataskyddsomud bäst verkar om ombudet inte har de dagliga operativa arbetsuppgifterna i organisationen. Dels för att man lätt hamnar i en roll där oberoendet påverkas samt att risken för att man tappar översiktsvun om man ständigt arbetar med de operativa dagliga frågorna. Som en följd av detta bör dataskyddsombudet inte arbeta med
- Uppdatera registret över behandlingar
- Hantera dagliga ärenden kring rättning/radering/gallring
- etc
Vad har dataskyddsombudet för ansvar?
Även om dataskyddsombudet ska övervaka att förordningen följs, bär dataskyddsombudet inget ansvar om företaget misslyckas med det. Det är alltid företaget (den personuppgiftsansvarige) som bär ansvaret för att lagarna följs.
Vill ni läsa lagtexten? Bestämmelser om dataskyddsombud hittar ni i artikel 37-39 samt i skäl 97 i Dataskyddsförordningen (GDPR).
Det är viktigt att komma ihåg att dataskyddsombudet:• Ska rapportera till den högsta förvaltningsnivån i organisationen, normalt sett är det styrelsen
• Ska utföra sitt arbete oberoende och självständigt, och ska inte utsättas för sanktioner för att ha utfört sitt uppdrag.
• Kan ha andra uppdrag, under förutsättning att det inte bildas en intressekonflikt, dock skall det inte vara en person i ledande ställning
Behöver du ett externt dataskyddsombud?
Kontakta IT-Säkerhetsbolaget som levererar tjänsten för externt dataskyddsombud
