Dataskyddsombudets roll och ställning

Insikter
28 februari 2024

Alla verksamheter har ett ansvar för sin personuppgiftsbehandling och i vissa fall måste ni utse ett dataskyddsombud.

Den övergripande och viktigaste uppgiften för dataskyddsombudet (DSO) är att övervaka att verksamheten följer Dataskyddsförordningen (”GDPR”) genom att till exempel utföra kontroller och informationsinsatser. I praktiken innebär det bland annat att DSO ska:

  • samla in information om hur verksamheten behandlar personuppgifter,

  • kontrollera att verksamheten följer bestämmelser och interna styrdokument, och

  • informera och ger råd inom verksamheten.

Hur vet vi om vi måste utse ett DSO?

Er verksamhet måste enligt GPDR utse ett dataskyddsombud om:

  • ni är ett offentligt organ;

  • er kärnverksamhet består av regelbunden och systematisk övervakning av registrerade i stor omfattning; eller

  • er kärnverksamhet består av behandling i stor omfattning av känsliga personuppgifter eller personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott.

Ni får utse ett dataskyddsombud även om ni inte omfattas av dessa krav, om ni anser att det är lämpligt.

Rapportens innehåll – vad är nytt?

Europeiska dataskyddsstyrelsen (EDPB) har publicerat en rapport om dataskyddsombudets roll och ställning. Rapporten sammanställer iakttagelser som gjorts av de nationella tillsynsmyndigheterna, däribland svenska Integritetsskyddsmyndigheten (IMY).

Rapporten innehåller förslag på åtgärder som stärker DSO:s roll och ställning. Åtgärderna kan vidtas av både tillsynsmyndigheter och av verksamheter. Ett resultat av rapporten är att IMY, som en av dessa åtgärder, inleder tillsyn mot ett antal verksamheter som har ett dataskyddsombud. Tillsynsärendena är nu pågående och när de har avslutats kommer IMY att utvärdera behovet av ytterligare nationella åtgärder.

Ordförande för EDPB har även lyft att DSO är viktig för att hjälpa verksamheter dels säkerställa god efterlevnad av GDPR, dels skyddet av registrerades rättigheter. Det kan vara lätt att glömma att DSO:s roll i sig är reglerad i GDPR. EDPB:s rapport ger värdefulla inspel kring detta och dessutom är mer vägledning att vänta. Till dess att mer vägledning finns på plats är det av stor vikt att medvetenheten i verksamheter ökar för att lättare kunna implementera dessa åtgärder i verksamheten.

Det kan därför vara läge att redan nu se över behovet av att ha ett dataskyddsombud. Om ni redan har ett dataskyddsombud, se gärna över dennes roll och ställning.

EDPB lyfte särskilt följande områden som åtföljdes av särskilda förslag på åtgärder:

  • Avsaknad av utnämning av ett dataskyddsombud, även om det är obligatoriskt

  • Otillräckliga resurser tilldelade till DSO

  • Otillräcklig expertkunskap och utbildning av DSO

  • DSO som inte helt eller uttryckligen anförtros de uppgifter som krävs enligt GDPR

  • Intressekonflikt och bristande oberoende för DSO

  • Bristande rapportering från DSO till verksamhetens högsta ledningsnivå

  • Ytterligare vägledning från tillsynsmyndigheter

Varför Fondia som DSO?

En iakttagelse från flera tillsynsmyndigheter var risken att DSO inte har tillräckligt med tid för att utföra sina arbetsuppgifter i linje med förordningens krav. Fondias Data Protection Officer as a Service tjänst (DPOaaS) anpassas utifrån er verksamhets behov och den tid som DSO behöver för att kunna fullgöra sina uppgifter. Fondias DPOaaS består av ett team av dataskyddsjurister för att säkerställa att det alltid finns tillgängliga och tillräckliga resurser för att fullgöra relevanta skyldigheter i GDPR. Vi tar oss aldrig an fler uppdrag än vad vi har kapacitet för att kunna fullgöra uppdraget.

Det finns många fördelar med att ha ett helt team som dataskyddsombud, bland annat täcker vi enklare upp kravet på expertkunskap genom att teammedlemmarna har olika kompetenser, vilket även pekades ut som ett särskilt område i EDPB:s rapport. Det är sällan en enda person besitter den nivå och bredd av kunskap som ett helt team.

En viktig del av DSO:s roll är att kunna arbeta självständigt och inte bli styrd eller påverkad av andra inom verksamheten vid utförandet av sina arbetsuppgifter. Det är därför av betydelse att DSO inte har andra arbetsuppgifter som kan påverka utförandet av arbetsuppgifterna och den oberoende ställningen. Fondia tar sig inte an uppdrag som går i konflikt med vår roll som dataskyddsombud för våra kunder. Innan vi tar oss an nya uppdrag säkerställer vi att inga av våra befintliga uppdrag är i konflikt med vår kommande roll som dataskyddsombud.

Avslutande kommentar

Sammanfattningsvis visar EDPB:s rapport att det är dags att se över om er verksamhet uppfyller kraven på att ha ett dataskyddsombud. Om ni redan har ett dataskyddsombud är detta ett bra tillfälle att se över om DSO ges möjlighet att utföra sina arbetsuppgifter enligt förordningens krav.

Om ni är osäkra kring om just er verksamhet omfattas av kraven på att utse ett dataskyddsombud, kan vi hjälpa er att göra en bedömning om ni uppfyller kraven på att utse ett dataskyddsombud. Vi erbjuder tjänsten DPOaaS – Dataskyddsombud som en tjänst. Läs mer på vår hemsida.

Vill ni veta mer om när ni måste utse ett dataskyddsombud och vad rollen innebär kan ni även läsa vår tidigare artikel: "Dataskyddsombud - vad och varför?"

Hur kan vi hjälpa dig?

Vi vill gärna höra mer om era legala behov. Kontakta oss via mail, telefon eller boka ett kostnadsfritt möte redan idag!