Krav på dataskyddsombud?

När GDPR trädde i kraft den 25 maj 2018 skapades inte bara ett stort antal nya begrepp och lagkrav kring hanteringen av personuppgifter, det skapades även en ny yrkesroll: Dataskyddsombud.

Likheterna mellan det som tidigare kallades personuppgiftsombud och dataskyddsombudet är flera men det finns också viktiga skillnader. Dataskyddsombudet ska bland annat ansvara för utbildning av personal i dataskyddsfrågor, se till att det görs konsekvensbedömningar inför nya projekt som innefattar behandling av personuppgifter och vara kontaktperson gentemot både allmänheten och Dataskyddsinspektionen.

Vad är ett dataskyddsombud?

Dataskyddsombudet är en kontrollfunktion som har till uppgift att säkerställa att företaget eller organisationen följer Dataskyddsförordningen. Rollen kan jämföras med en revisor för dataskyddsfrågor.

Arbetsuppgifter för ett dataskyddsombud

Dataskyddsombudets arbetsuppgifter består av följande:

  • samla in information om hur organisationen behandlar personuppgifter
  • kontrollera att organisationen följer bestämmelser och interna rutiner
  • ge råd om konsekvensbedömningar
  • informera och ge råd inom organisationen
  • vara kontaktperson för de registrerade och personalen inom organisationen
  • vara kontaktperson för Datainspektionen
  • samarbeta med Datainspektionen, till exempel vid inspektioner.

Dataskyddsombudet ska rapportera till högsta ledningen.

Vilka krav ställs på den  som utses till dataskyddsombud?

Det viktigaste kravet på den som ska arbeta som dataskyddsombud är att personen i fråga är oberoende och har en naturlig ledarroll som gör att han/hon får gehör för sina åsikter även utan en formell chefstitel. Erfarenhet från att leda förändringsarbete är också en fördel. Det handlar mycket om förmågan att få människor med sig.

Vidare krävs givetvis goda kunskaper om GDPR-regelverket och andra lagkrav som samspelar med dataskyddsfrågor. En bakgrund som jurist är därmed en stor fördel även om det inte är ett krav.

Personen i fråga måste också ha en god förståelse för verksamheten och hur behandlingen av personuppgifter ser ut inom olika delar av organisationen.

Rollen som dataskyddsombud behöver inte vara en heltidstjänst utan kan kombineras med en annan tjänst inom företaget; under förutsättning att det inte påverkar ombudets ställning som oberoende. Ett annat alternativ är att utse ett externt dataskyddsombud, dvs. att anlita en konsult för just den rollen.

Fördelen med ett externt ombud är att det då kan vara lättare att hitta någon som är expert på just dataskyddsfrågor och som har lättare att vara oberoende. Utmaningen blir då istället att den externa konsulten måste lära sig verksamheten.

Vilka företag/ organisationer måste ha ett dataskyddsombud?

Vissa organisationer och företag är skyldiga enligt lag att utse ett dataskyddsombud och anmäla detta till Dataskyddsinspektionen. Det gäller för alla som svarar ja på någon av följande tre frågor:

  1. Är ni en myndighet eller en folkvald församling, det vill säga ett offentligt organ?
  2. Har ni som kärnverksamhet att regelbundet, systematiskt och i stor omfattning övervaka enskilda personer?
  3. Har ni som kärnverksamhet att behandla känsliga personuppgifter eller uppgifter om brott i stor omfattning?

Den första frågan är för de flesta enkel att svara på men fråga 2 och 3 kräver en djupare förståelse och lite mer eftertanke.

Vad betyder regelbunden och systematisk övervakning? Ständig eller återkommande övervakning som sker enligt ett system eller en plan.

Exempel:

  • alla former av spårning och profilering på internet
  • profilering för riskbedömningar
  • positionsspårning i mobilappar
  • lojalitetsprogram
  • övervakningskameror
  • uppkopplade apparater, till exempel smarta mätare (internet of things, IoT)

(Källa: Dataskyddsinspektionen)

Har ni som kärnverksamhet att regelbundet, systematiskt och i stor omfattning övervaka enskilda personer?

Företag som kan tänkas svara ja på den frågan är till exempel säkerhets- eller larmföretag, försäkringsbolag, företag som tillhandahåller kollektivtrafik och företag som arbetar med beteendestyrd marknadsföring, osv.

Vilka personuppgifter är känsliga?

  • ras eller etniskt ursprung.
  • politiska åsikter.
  • religiös eller filosofisk övertygelse.
  • medlemskap i fackförening.
  • genetiska uppgifter och biometriska uppgifter för att entydigt identifiera en fysisk person.
  • uppgifter om hälsa.
  • uppgifter om en fysisk persons sexualliv eller sexuella läggning.
Har ni som kärnverksamhet att behandla känsliga personuppgifter eller uppgifter om brott i stor omfattning?

Företag/ organisationer som kan tänkas svara ja på den frågan är sjukhus, fackföreningar, kyrkor,osv.

Det finns dock inget som hindrar  organisationer som inte omfattas av kravet att ändå utse ett dataskyddsombud. Tvärtom kan det vara att rekommendera, då dataskyddsombudet ska vara expert på dataskyddslagstiftningen och kan vara ett värdefullt stöd i dataskyddsfrågor och behandlingen av personuppgifter.

 

Har du frågor eller vill du anlita ett externt dataskyddsombud? Läs mer på VirMedas hemsida eller kontakta mig direkt.