Den roll som dataskyddsombudet tillskrivs är ett uttryck för principen om ansvarsskyldighet i GDPR. Principen innebär att den personuppgiftsansvariga ska kunna visa att förordningens bestämmelser efterlevs.
I en tidigare artikel tog vi upp att den belgiska dataskyddsmyndigheten (DPA) hade utfärdat böter till en organisation för att ha utsett sin chef för efterlevnad, revision och riskhantering till dataskyddsombud. DPA hävdade att en sammanslagning av dessa två roller skapar en intressekonflikt som strider mot artikel 38.6 i GDPR. DPA drog slutsatsen att organisationen hade agerat med en ”betydande grad av försumlighet” när det gäller att kombinera dessa roller.
Detta beslut belyser viktiga aspekter av förordningens krav på oberoende dataskyddsombud. Dataskyddsombudet förväntas vara expert på alla relevanta föreskrifter och finnas tillgänglig för att fungera som en kontaktpunkt mellan organisationen och tillsynsmyndigheten.
Dataskyddsombudets roll
Dataskyddsombudet ska granska organisationens dataskyddsarbete och utöva sina uppgifter självständigt, därtill ska ombudet rapportera direkt till den personuppgiftsansvariges eller personuppgiftsbiträdets högsta förvaltningsnivå, liksom att dataskyddombudet inte får utföra andra uppgifter som kan leda till en intressekonflikt.
Ett dataskyddsombud ska inte arbeta operativt med åtgärder som rör dataskyddet. Som exempel ska ombudet inte radera personuppgifter som rör en registrerad. Alla beslut om databehandling måste fattas av den personuppgiftsansvarige, men gärna på inrådan av sitt dataskyddsombud. Ombudets roll är att informera, övervaka efterlevnaden, ge råd och fungera som kontakt till tillsynsmyndigheten och för de registrerade. Det är den personuppgiftsansvarige som fattar beslut om databehandling, inklusive radering av uppgifter.
Personuppgiftsansvarige bör, för att dataskyddsombudet ska kunna behålla sin oberoende och kritiska roll, se dataskyddsombud som sin rådgivare och därmed avstå från att ge ombudet råd om hur det ska fullgöra sina uppgifter. Inte heller ska ombudet påverkas att komma fram till en särskild slutsats i en viss fråga.
Om IT-chefen blir dataskyddsombud
Varför utnämns då exempelvis en IT-chef till dataskyddsombud? Det kan handla om ett praktiskt val med tanke på att dataskyddsombud bör besitta förståelse för IT-relaterade frågor. En IT-chef har i allmänhet en viktig funktion när det kommer till att inrätta, hantera och påverka databehandlingsaktiviteter inom en organisation. IT-chefen övervakar ofta urvalet och distributionen av IT-tillgångar och IT-verktyg, som i sig kan bli föremål för utredningar eller överträdelser av dataskyddsbestämmelserna.
IT-chefen som dataskyddsombud leder dock till en möjlig intressekonflikt. Exempelvis kan situationen uppstå då IT-chefen både behöver besluta om inköp av ett IT-system och därefter kritisera sitt eget beslut i egenskap av dataskyddsombud, i termer av regelefterlevnad.
Slutsats
Om ni har för närvarande en person i er organisation som innehar en beslutande roll och samtidigt är ert dataskyddsombud, kan det vara klokt att utse och utbilda en annan anställd i organisationen. Ni kan även överväga alternativet att anlita ett externt dataskyddsombud för att säkerställa oberoende och transparens.
Det här är en del av en artikelserie om dataskyddsombud. Följ oss på Linkedin för att inte missa några artiklar. Känner ni att ni är i behov av ett externt dataskyddsombud? hör av er till IT-Säkerhetsbolaget idag
Läs mer här:
Nl_Advies.dotm (autoriteprotectiondonnees.be)
