Därför är dataskyddsombudet viktigt

2017-06-29

Dataskyddsombudet; en ny roll och ditt objektiva bollplank i frågor kring dataskydd.

Carl-Magnus Brandt Specialist Säkerhet

Bakgrund

Artikel 37 i GDPR ställer krav på den personuppgiftsansvarige eller personuppgiftsbiträdet att utse ett dataskyddsombud om behandling av personliga uppgifter sker i förekommande fall;

 


Om er verksamhet tillhör någon av kategorierna ovan ska man utse ett dataskyddsombud som ska stödja verksamheten i frågor kring dataskydd. Verksamheter som inte uppenbart finns i kategorierna ovan bör göra en analys och bedömning om ett dataskyddsombud ska utses ändå.

En ny roll har skapats

Dataskyddsombudet i den utformning som GDPR definierar den har inte tidigare funnits och det kommer sannolikt att vara en stor efterfrågan på denna typ av kompetens. Enligt beräkningen Microsoft har gjort är bedömningen att det kommer att behövas ca 75 000 dataskyddsombud inom Europa inom de närmaste åren. Detta kommer att vara svårlöst med traditionellt utbildningsperspektiv då kompetensen behövs nu och utbildningarna tar många år att genomföra samt att det även krävs praktisk erfarenhet av införandet av dataskyddskontroller. Här behöver vi använda kreativa lösningar och detta har lagstiftaren möjliggjort genom att flera kvalifikationer kan passa och att tillsättningen bör utgå ifrån verksamhetens komplexitet.

Dataskyddsombudets placering och mandat

Dataskyddsombudet ska placeras på en oberoende ställning i verksamheten med förutsättningar att aktivt delta i dataskyddsarbetet i frågor som rör personuppgifter. Den personuppgiftsansvarige eller personuppgiftsbiträdet ska stödja dataskyddsombudet med resurser och förutsättningar att på ett objektiv sätt stödja verksamheten med frågor kring dataskydd. Dataskyddsombudet ska vara oberoende och får inte avsättas eller utsättas för andra sanktioner i samband med dennes utövning av sina skyldigheter enligt GDPR och får därmed en ställning som andra liknande funktioner som finns inom vissa verksamheter som complianceavdelningar eller internrevision. Dataskyddsombudet ansvarar även för att rapportera till verksamhetens yttersta ansvariga i frågor där risker för den registrerades friheter och rättigheter kan komma att riskeras.

Ansvarsfrågan

Vem är det som är ytterst ansvarig för efter det att man har tillsatt ett dataskyddsombud?

Den ytterst ansvarige är den personuppgiftsansvarige eller personuppgiftsbiträdet. Detta ansvar kan aldrig delegeras till dataskyddsombudet vars uppgift är rådgivning, stöd och uppföljning.

Vem kan vara dataskyddsombud?

Kvalifikationer för dataskyddsombudet ska baseras på ett flertal faktorer där sakkunskap om lagstiftning och praxis avseende dataskydd tillsammans med förståelse för verksamheten och möjligheten att fullföra uppgifter som rådgivning, utbildning och uppföljning av implementerade dataskyddsmekanismer bör vägas in. Med dataskyddsombudets ställning kommer sannolikt även personliga egenskaper som stark integritet och trovärdighet att vara viktiga då rapporteringsskyldigheten kan innebära svåra ställningstaganden för verksamheten.

Dataskyddsombudet kan vara en anställd i verksamheten men den kan även utgöras av en inhyrd resurs. Det senare kan underlätta i objektivitet och personalhantering och därmed skapa säkerhet för alla ingående parter. 

Typiska arbetsuppgifter

 

 

 

Vad händer då om man väljer att inte ha ett dataskyddsombud?

Alla arbetsuppgifter dataskyddsombudet har tillfaller i sådant fall den personuppgiftsansvarige. Man bli alltså inte av med arbetsuppgifter. Det är i sådant fall rimligt att anta att det är en legal representant av den personuppgiftsansvarige som behöver sköta kommunikation och samarbete med översynsmyndigheten (Datainspektionen).

Sammanfattning

Dataskyddsombudet är en ny roll som kommer att ställa nya krav på verksamhetens arbete med dataskydd. Rätt använd kommer denna roll sannolikt att underlätta ditt arbete med dataskydd och regelefterlevnad.

Hör av dig till Atea säkerhet så berättar vi mer hur vi kan hjälpa dig.