Dataskyddsombudets centrala roll

Inom GDPR så kommer det att komma en helt ny roll med nya arbetsbeskrivningar. Texten i avsnitt 4 i förordningen ger oss ledtrådar kring vad som rollen skall ha för arbetsuppgifter. Men det finns i dagsläget inga tydliga checklistor eller arbetsbeskrivningar för hur rollen skall se ut. Vi väntar även på utredningen som kommer den 12 maj som kommer att ge oss en tydligare bild hur vi kommer hantera dessa frågor i Sverige.

Forum för dataskydd är den organisation som idag jobbar tydligast med inom Privacyfrågor i Sverige.  De arrangerar i samarbete med LegalWorks Sveriges första kurs för att utbilda och samsynka rollen Dataskyddsombud. Det kommer att finnas ett enormt behov av att tolka förordningen till den yrkesroll som verkligen behövs för att arbetet att efterleva GDPR skall fungera i praktiken. På kursen deltar ett 20 tal personer som arbetar aktivt med privacyfrågor idag och som alla har ett intresse att lära sig mer om rollen och tillsammans forma rollen Dataskyddsombud.

I avsnitt 4, artikel 37-39 i GDPR finns följande text som reglerar dataskyddsombudets skyldigheter och mandat i varje organisation:

Utnämning av dataskyddsombudet

  • Den personuppgiftsansvarige och personuppgiftsbiträdet ska under alla omständigheter utnämna ett dataskyddsombud om
  • behandlingen genomförs av en myndighet eller ett offentligt organ, förutom när detta sker som en del av domstolarnas dömande verksamhet,
  • den personuppgiftsansvariges eller personuppgiftsbiträdets kärnverksamhet består av behandling som, på grund av sin karaktär, sin omfattning och/eller sina ändamål, kräver regelbunden och systematisk övervakning av de registrerade i stor omfattning, eller
  • den personuppgiftsansvariges eller personuppgiftsbiträdets kärnverksamhet består av behandling i stor omfattning av särskilda kategorier av uppgifter i enlighet med artikel 9 och personuppgifter som rör fällande domar i brottmål och överträdelser, som avses i artikel 10.
  • En koncern får utnämna ett enda dataskyddsombud om det på varje etableringsort är lätt att nå ett dataskyddsombud.
  • Om den personuppgiftsansvarige eller personuppgiftsbiträdet är en myndighet eller ett offentligt organ, får ett enda dataskyddsombud utnämnas för flera sådana myndigheter eller organ, med hänsyn till deras organisationsstruktur och storlek.
  • I andra fall än de som avses i punkt 1 får eller, om så krävs enligt unionsrätten eller medlemsstaternas nationella rätt, ska den personuppgiftsansvarige eller personuppgiftsbiträdet eller sammanslutningar och andra organ som företräder kategorier av personuppgiftsansvariga eller personuppgiftsbiträden utnämna ett dataskyddsombud. Dataskydd­ sombudet får agera för sådana sammanslutningar och andra organ som företräder personuppgiftsansvariga eller personuppgiftsbiträden.
  • Dataskyddsombudet ska utses på grundval av yrkesmässiga kvalifikationer och, i synnerhet, sakkunskap om lagstiftning och praxis avseende dataskydd samt förmågan att fullgöra de uppgifter som avses i artikel 39.
  • Dataskyddsombudet får ingå i den personuppgiftsansvariges eller personuppgiftsbiträdets personal, eller utföra uppgifterna på grundval av ett tjänsteavtal.
  • Den personuppgiftsansvarige eller personuppgiftsbiträdet ska offentliggöra dataskyddsombudets kontaktuppgifter och meddela dessa till tillsynsmyndigheten.

 

Artikel 38

Dataskyddsombudets ställning

  • Den personuppgiftsansvarige och personuppgiftsbiträdet ska säkerställa att dataskyddsombudet på ett korrekt sätt och i god tid deltar i alla frågor som rör skyddet av personuppgifter.
  • Den personuppgiftsansvarige och personuppgiftsbiträdet ska stödja dataskyddsombudet i utförandet av de uppgifter som avses i artikel 39 genom att tillhandahålla de resurser som krävs för att fullgöra dessa uppgifter samt tillgång till personuppgifter och behandlingsförfaranden, samt i upprätthållandet av dennes sakkunskap.
  • Den personuppgiftsansvarige och personuppgiftsbiträdet ska säkerställa att uppgiftskyddsombudet inte tar emot instruktioner som gäller utförandet av dessa uppgifter. Han eller hon får inte avsättas eller bli föremål för sanktioner av den personuppgiftsansvarige eller personuppgiftsbiträdet för att ha utfört sina uppgifter. Dataskyddsombudet ska rapportera direkt till den personuppgiftsansvariges eller personuppgiftsbiträdets högsta förvaltningsnivå.
  • Den registrerade får kontakta dataskyddsombudet med avseende på alla frågor som rör behandlingen av dennes personuppgifter och utövandet av dennes rättigheter enligt denna förordning.
  • Dataskyddsombudet ska, när det gäller dennes genomförande av sina uppgifter, vara bundet av sekretess eller konfidentialitet i enlighet med unionsrätten eller medlemsstaternas nationella rätt.
  • Dataskyddsombudet får fullgöra andra uppgifter och uppdrag. Den personuppgiftsansvarige eller personuppgiftsbiträdet ska se till att sådana uppgifter och uppdrag inte leder till en intressekonflikt.

 

Artikel 39

Dataskyddsombudets uppgifter

  • Dataskyddsombudet ska ha minst följande uppgifter:

 

  • Att informera och ge råd till den personuppgiftsansvarige eller personuppgiftsbiträdet och de anställda som behandlar om deras skyldigheter enligt denna förordning och andra av unionens eller medlemsstaternas dataskydds­ bestämmelser.
  • Att övervaka efterlevnaden av denna förordning, av andra av unionens eller medlemsstaternas dataskyddsbestämmelser och av den personuppgiftsansvariges eller personuppgiftsbiträdets strategi för skydd av personuppgifter, inbegripet ansvarstilldelning, information till och utbildning av personal som deltar i behandling och tillhörande granskning.
  • Att på begäran ge råd vad gäller konsekvensbedömningen avseende dataskydd och övervaka genomförandet av den enligt artikel 35.
  • Att samarbeta med tillsynsmyndigheten.
  • Att fungera som kontaktpunkt för tillsynsmyndigheten i frågor som rör behandling, inbegripet det förhandssamråd som avses i artikel 36, och vid behov samråda i alla andra frågor.
  • Dataskyddsombudet ska vid utförandet av sina uppgifter ta vederbörlig hänsyn till de risker som är förknippade med behandling, med beaktande av behandlingens art, omfattning, sammanhang och syften.

 

Men vad kommer detta att innebära i praktiken? Under kursen har vi diskuterat många intressanta frågeställningar och kommit oss fram till möjligheter och utmaningar i den nya miljö som dataskyddsombudet kommer att verka i.

  • Vikten att skapa ett team med champions
  • Vikten att skapa ledningens engagemang och hitta en tydlig rapportväg
  • Vikten av att få tillräckliga resurser
  • Vikten av att skapa medvetenhet i organisationen eftersom bolagets dataskydd inte är starkare än den svagaste länken
  • Utmaningen med rollen som medelpunkt mellan verksamhet, IT och Juridik
  • Balansgången att vara Kundens förkämpe i privacyfrågor samtidigt som man verkar för bolaget

 

Har du som läser denna artikel blivit utsedd till dataskyddsombud eller kommer du troligen att bli? Gå då in på forumet och berätta hur ni kommer att göra? Länken till forumet finns nedan.

 

GDPR.se – Diskutera rollen som dataskyddsombud

 

Du kan även läsa mer om rollen från Artikel 29 gruppens förtydligande nedan

http://ec.europa.eu/information_society/newsroom/image/document/2016-51/wp243_en_40855.pdf

Mer information om kursen

DP Academy

 

 

 

 

By | 2017-05-11T08:51:37+00:00 maj 10th, 2017|Categories: Uncategorized|0 Comments

About the Author:

Fredrik Jonasson är delägare i IT-säkerhetsbolaget och föreläser och utbildar kring GDPR.

Leave A Comment