I Dataskyddsförordningen har dataskyddsombudet en tydlig roll som beskrivs i artiklarna 37–39. Den beskrivna rollen är komplex med många uppgifter som vid en första anblick kan synas vara för vida för en person och i viss mån stå i konflikt med varandra. Nedan följer vår bild av hur ett dataskyddsombud kan arbeta för att leva upp till kraven. Vi beskriver även vår syn på vilket fokus dataskyddsombudet bör ha för att optimalt verka för ett bra dataskydd.
Dataskyddsombudets granskande roll
I samband med att dataskyddsförordningen började gälla var många dataskyddsombud mycket operativa gällande organisationernas dataskydd. Fler och fler organisationer börjar nu få till en typ av dataskyddsorganisation där flera kompetenser har ansvar att sköta de dagliga frågorna kring dataskyddet. Att dataskyddsombudet har en granskande roll innebär att exempelvis uppdatering av registerförteckning eller daglig hantering av individers rättigheter inte bör ingå i ansvar och arbetsuppgifter.
Ska dataskyddsombudets roll integreras i organisationens helhet, eller stå lite utanför?
Vår erfarenhet av att arbeta med standarder och ledningssystem har gjort oss övertygade om att ju fler av en organisations styrande och stödjande processer som kan integreras med varandra desto bättre. Organisationer bör därför sträva efter att integrera dataskyddet i sitt befintliga ledningssystem. Exempelvis genom att inför ett enhetligt sätt att hantera incidenter och att processer för att tillgodose den registrerades rättigheter integreras i övriga kundprocesser. Det finns dock ett läge där dataskyddombudets speciella roll måste beaktas.
Dataskyddsombudet är ombud för den enskilda individen och dess rättigheter. Uppgiften att övervaka efterlevnaden är reglerad i dataskyddsförordningen och brister ska rapporteras till organisationens högsta förvaltningsorgan. Konsekvensen blir därför att vissa delar måste ett dataskyddsombud utföra oberoende och utan inblandning. Exempelvis att vid utförandet av sina arbetsuppgifter ta hänsyn till de risker som är förknippade med personuppgiftsbehandling, så att de registrerades fri- och rättigheter inte utsätts för kränkningar.
Dataskyddsombudet får inte ha arbetsuppgifter som leder till intressekonflikter, ska inte ta emot instruktioner som gäller utförandet av sina uppgifter och får inte avsättas eller bli föremål för sanktioner för att ha utfört sina uppgifter.
Vikten av en tydlig presentation för styrelsen
Ansvaret för dataskyddet och att dataskyddsförordningen följs ligger på den personuppgiftsansvarige, det vill säga organisationens ledning. De ska tillse att frågorna hanteras av någon i organisationen.
Ett dataskyddsombud ska rapportera till högsta förvaltningsnivå det vill säga myndighetschef eller styrelse. Det finns inga krav på att dataskyddsombudet personligen måste redovisa rapporten, men den får inte förvanskas eller redigeras på vägen fram till ledningen.
Vår uppfattning är att dataskyddsombudet, i fall det är möjligt, bör sträva efter att även ha en kontakt med styrelsen för att ge förståelse för dataskyddsfrågorna. För att nå fram med budskapet till en styrelse bör man därför förbereda sitt budskap på ett sätt som är:
· Koncist
· Kopplat till pengar eller varumärke
· Riskbaserat
Dataskyddombudets placering i organisationen
Var i organisationen dataskyddsombudet ska placeras är inte reglerat i dataskyddsförordningen. Datainspektionen anser att det inte är lämpligt att dataskyddsombudet sitter i organisationens ledning eller är med och fattar strategiska beslut.
Utifrån vår erfarenhet tenderar dataskyddsombud på lägre positioner att i större omfattning arbeta operativt med dataskyddsfrågor och mindre med den granskande delen av sina arbetsuppgifter. De som har positioner nära ledningen i staber eller liknande alternativt är externa dataskyddsombud har oftare rena granskande roller och arbetar mer strategiskt med dataskyddsfrågorna.
Baserat på dessa erfarenheter kan det vara viktigt att se över var i organisationsschemat dataskyddombudet lämpligen bör placeras för att nå den långsiktigt bästa effekten för dataskyddsarbetet. Särskilt i offentlig sektor bör delegationsordningar och beslutsmandat ses över för att möjliggöra förutsättningar för dataskyddsombudet att utföra sitt arbete effektivt och med genomslagskraft.
Vad fungerar bäst, det interna eller det externa dataskyddsombudet?
Skillnaden mellan det interna och externa dataskyddsombudet är främst att ett internt dataskyddsombud har insikt i det dagliga arbetet och känner verksamheten på ett sätt som det är svårt för ett externt dataskyddsombud att uppnå.
När en dataskyddsorganisation ska införas är det viktigt att det görs internt och utifrån organisationens förutsättningar. Ett fungerande och trovärdigt dataskyddsarbete är beroende av att hela organisationen känner till och förstår grunderna i dataskydd och hur man hanterar personuppgifter. En central framgångsfaktor är att utse dataskyddsrepresentanter, ambassadörer, ute i organisationen som får extra ansvar och utbildning och som kan bygga upp ett fungerande dataskyddsarbete.
I en uppbyggnadsfas kan det vara en fördel om dataskyddsombudet är internt och det är även vanligt att ombudet är aningen mer operativ där en stor del av arbetsuppgifterna är av utbildande karaktär.
I en förlängning där en fungerande dataskyddsorganisation är på plats kan ett externt professionellt dataskyddsombud vara en lyckad lösning. Det externa ombudets fördelar är bland annat att personen ofta har erfarenhet av flera andra organisationer och att omvärldsbevakning av rättsområdet och praxis ingår som en del av arbetsuppgifterna. Ett externt ombud är inte heller bunden av någon särskild plats i organisationshierarkin och riskerar inte att bli begränsad i sin opartiskhet på grund av det. Vid upphandling av ett externt dataskyddsombud är det viktigt att en viss lägstanivå garanteras.
Det är den personuppgiftsansvarige som ansvarar gentemot de registrerade och i förhållande till Datainspektionen för att principerna för behandling av personuppgifter följs. Dataskyddombudets roll är att övervaka efterlevnaden genom granskningar och påpekanden. En organisation som utser ett internt dataskyddsombud som saknar mandat och resurser att utföra sina arbetsuppgifter löper högre risk för betydande intressekonflikter.
Ett dataskyddsombud i beslutande positioner
Europeiska dataskyddsstyrelsen anser att ett uppdrag som företrädare för den personuppgiftsansvarige inte är förenligt med uppdraget som dataskyddsombud. Datainspektionens undersökning från februari 2019 visar att det finns ett stort antal dataskyddsombud som sitter i ledande ställning och även innehar rollen som dataskyddsombud. Det är inte en önskvärd situation då det kan leda till problem i oberoendet mellan rollerna. Trenden är dock att flertalet av dessa ersätts med interna resurser eller att externa dataskyddsombud upphandlas.
Slutsats
Oberoende i vilken organisation du arbetar har du som dataskyddsombud en mycket spännande och intressant roll. En roll som kommer att bli allt viktigare i den digitaliserade värld som vi lever i. En värld där data har blivit den råvara som är högst värderad och som blir allt viktigare. Det är i den världen vi dataskyddsombud ska skapa en balans så individens intressen inte kommer i kläm.
