Dataskyddsombud - vad och varför?
Måste vi utse ett dataskyddsombud? Om vi utser ett dataskyddsombud frivilligt gör vi lite som vi vill med den rollen då? Vad gör egentligen ett dataskyddsombud? Frågorna är många kring just dataskyddsombud så våra experter Anneli Rönn och Nellie Berntsson har satt samman värdefull information på just det ämnet. Ta del av artikeln nedan.
Är dataskyddsombud samma sak som tidigare personuppgiftsombud?
När personuppgiftslagen fortfarande var gällande var den personuppgiftsansvarige skyldig att anmäla sin personuppgiftsbehandling till Datainspektionen (nuvarande Integritetsskyddsmyndigheten, IMY). En sådan anmälan behövde dock inte göras om den personuppgiftsansvarige hade utsett och anmält ett personuppgiftsombud. I och med inträdet av den allmänna dataskyddsförordningen (GDPR) i maj 2018 infördes en annan roll: dataskyddsombud (DSO, eller på engelska Data Protection Officer, DPO). Det går inte att sätta likhetstecken mellan personuppgiftsombud och dataskyddsombud, då den sistnämnda har fler uppgifter än den förstnämnda.
Är det obligatoriskt att utse dataskyddsombud?
Det är under vissa omständigheter obligatoriskt enligt GDPR att utse ett dataskyddsombud. Så är fallet för myndigheter eller andra offentliga organ, samt för privata organisationer vilkens kärnverksamhet innebär:
regelbunden och systematisk övervakning av enskilda personer i stor omfattning eller
behandling av känsliga personuppgifter eller uppgifter om brott i stor omfattning.
För att komma fram till om det är nödvändigt att utse ett dataskyddsombud behöver en personuppgiftsansvarig eller ett personuppgiftsbiträde (även ett personuppgiftsbiträde kan ha skyldighet att utse ett dataskyddsombud) i privat verksamhet utreda begreppen ”regelbunden och systematisk övervakning” och ”stor omfattning”, för att göra en helhetsbedömning av sin situation.
Regelbunden och systematisk övervakning innebär att det sker ständig eller återkommande övervakning enligt ett system eller en plan. Det kan exempelvis handla om alla former av spårning och profilering på internet, lojalitetsprogram och övervakningskameror.
För att bedöma vad som avses med stor omfattning finns det flera olika faktorer att ta hänsyn till. Det kan exempelvis handla om hur många som är registrerade, hur mycket uppgifter och vilka typer av uppgifter som behandlas och hur länge uppgifterna behandlas. Kom ihåg att detta endast är exempel och att personuppgiftsansvarig/personuppgiftsbiträde alltid måste göra en helhetsbedömning av sin organisation och kärnverksamhet.
Typexempel på en privat organisation som omfattas av kraven är privata vårdgivare, banker och kreditupplysningsföretag.
Kom ihåg att löpande se över er bedömning avseende behovet av ett dataskyddsombud. Det kan ha skett förändringar inom organisationen som påverkar helhetsbedömningen. Även om det inte är obligatoriskt att utse ett dataskyddsombud kan det göras på frivillig basis. Det är viktigt att komma ihåg att GDPR:s bestämmelser om dataskyddsombud ska tillämpas oavsett om dataskyddsombudet är obligatoriskt eller utnämnts frivilligt.
Vad är dataskyddsombudets uppgift?
Dataskyddsombudets uppgift är att hjälpa organisationen i sitt dataskyddsarbete. Det behövs därför goda kunskaper dels om dataskyddsförordningen, dels om organisationens verksamhet och de personuppgiftsbehandlingar som utförs. Dataskyddsombudet är även organisationens kontaktperson för både IMY och de registrerade. Det ska därför vara lätt att nå dataskyddsombudet, vars kontaktuppgifter ska vara offentliga.
Dataskyddsombudet kan vara antingen en anställd hos den personuppgiftsansvarige/personuppgiftsbiträdet eller en extern tjänsteleverantör. Det är viktigt att rollen är oberoende och självständig samt att dataskyddsombudet har tillgång till de resurser som krävs. Dataskyddsombudet ska vara involverat i de frågor som rör skyddet av personuppgifter samt ska bland annat informera och ge råd, övervaka efterlevnaden och vara delaktig i upprättande av konsekvensbedömningar. Dataskyddsombudets arbete resulterar vanligtvis i en årlig rapport, där det brukar ges en lägesbild över organisationens dataskyddsarbete, en sammanfattning av utförda granskningar och dess resultat samt rekommendationer på vidare åtgärder. Rapporten kan därefter användas internt som ett hjälpmedel i arbetet med dataskydd, exempelvis genom att skapa en prioritetsordning.
För närvarande pågår en bred europeisk undersökning av dataskyddsombudens roll och ställning. Undersökningen går ut på att bedöma efterlevnaden av GDPR:s bestämmelser om dataskyddsombud. Tjugosex dataskyddsmyndigheter i Europa samlar in information, som ska resultera i en rapport från EDPB. IMY valde att inleda tillsyn mot ett femtiotal organisationer (varav ca 30 från offentlig sektor) med dataskyddsombud som har fått svara på frågor om bland annat dataskyddsombudets kvalifikationer, uppgifter och ställning.
Det är vanligt att dataskyddsombudet inom en organisation även har andra roller och ansvarsområden. IMY har hittills identifierat att det interna dataskyddsombudet riskerar att hamna i intressekonflikt vid hantering av sina övriga arbetsuppgifter. Det är även ett problem att det råder olika uppfattningar om vilka arbetsuppgifter som ska ingå i dataskyddsuppdraget. Det har därmed blivit ännu tydligare att det behövs bättre vägledning om vad som gäller för dataskyddsombudsrollen.
Data Protection Officer as a Service
Fondia tillhandahåller tjänsten DPOaaS – Data Protection Officer as a Service, där vi verkar som externt dataskyddsombud. Det kan vara fördelaktigt att ha ett externt dataskyddsombud för att säkerställa att rollen är självständig och oberoende. Läs mer om vår tjänst DPOaaS och hör av dig om du vill veta mer om den eller om du har generella funderingar om dataskyddsombudsrollen!