Här är EUs krav på dataskyddsombud

Text: Peter Johansson

När GDPR träder i kraft i maj 2018 ska företag som är personuppgiftsansvariga i vissa fall ha utsett ett dataskyddsombud för din verksamhet. Vi reder ut vad som gäller kring den nya rollen, vilka organisationer som behöver den och vem som får – och inte får – agera ombud.

En av de stora nyheterna i EUs nya dataskyddsförordning, GDPR, är att den gör det obligatoriskt för vissa organisationer att utse ett dataskyddsombud (DSO). På samma sätt som PULs personuppgiftsombud, är rollen en länk mellan ledningen, verksamheten, den registrerade individen och tillsynsmyndigheten Datainspektionen.

Dataskyddsombudets roll är att ge stöd åt ledningen så att den tar beslut som upprätthåller integriteten och säkerheten för de personuppgifter som hanteras i verksamheten. Då GDPR höjer kraven kring hanteringen, blir det nya skyddsombudets uppdrag större i både omfattning och tyngd jämfört med den variant av rollen som funnits inom PUL. För DSO (ibland kallat DPO efter engelskans "Data Protection Officer") väntar ett kontinuerligt arbete som kräver mer tid och större budget.

Ett verksamhetsnära arbete

Till personuppgiftombudets arbetsuppgifter hör att granska och följa upp hur företaget efterlever gällande regler när personuppgifter hanteras. Det omfattar bland annat inköps-, it-, marknadsförings- och personalhantering. DSOn ska också skapa rutiner för hur verksamheten aktivt ska arbeta med en integritetsvänlig hantering av personuppgifter. Hen har en ledande roll i företagets dataskyddsarbete och för att skapa strategier, styrdokument och rutiner så att hela verksamheten agerar medvetet för att minimera risken för att incidenter uppstår.

Vid större förändringar i företaget, som byte av it-system eller underleverantör, inköp av nya it-tjänster eller nya marknadsföringskampanjer, ska DSO genomföra en konsekvensbedömning. En sådan ska ska också göras om befintliga personuppgifter ska användas för nya ändamål.

Det är viktigt att komma ihåg att syftet med rollen dataskyddsombud är att öka företagets möjligheter att utvecklas med hänsyn och respekt till kundernas integritet, snarare än att begränsa dem.

Då är dataskyddsombudet ett krav

EU-kommissionen ställer höga krav på att alla företag och organisationer ska följa GDPR och den avskräckande bötesnivån på 4 procent av den globala omsättningen eller 20 miljoner Euro är idag på gränsen till mytomspunnen. Att tillsätta ett dataskyddsombud är, som Datainspektionen uttrycker det, ett av de enklaste sätten att visa att du tar GDPR på allvar.

Samtidigt är det inte alla som måste utse en DSO. Det är obligatoriskt bara för företag och organisationer som "hanterar särskilt känsliga uppgifter eller kartlägger beteenden" eller där hantering av personuppgifter i stor skala är nödvändig för dess verksamhet ska utse en DSO. Dessutom är det obligatoriskt för hela den offentliga sektorn.

Med GDPR följer även ett nytt krav på ansvarsskyldighet som kräver att ert företag ska kunna bevisa för den registrerade och Datainspektionen hur företaget följer kraven i GDPR.

Dataskyddsombudet en förtroendefaktor

Medvetenheten kring integritet och vetskapen om att personuppgifterna hjälper företag att leverera tjänster och produkter växer både hos privatpersoner och inom företagsvärlden. DSOn blir därmed en kraftfull förtroendesignal till såväl företags- och privatkunder som mot leverantörer och underleverantörer.

Att ha utsett ett dataskyddsombud blir även en fördel vid upphandlingsprocesser. Svenska internationella företag och offentliga verksamheter kommer under GDPR att exkludera leverantörer som inte kan svara på frågor om hur de, deras leverantörer eller underleverantörer hanterar sina personuppgifter.

Krav på vem som kan agera DSO

Begränsningarna för vem som kan utses som ombud är en betydande skärpning jämfört med PUL. Enligt GDPR ska den utsedda ha expertkunskaper inom nationell och europeisk dataskyddslagstiftning och best practices, kompetens att genomföra bland annat riskanalyser samt kunna företräda företaget i dialog med tillsynsmyndigheten Datainspektionen och svara på frågor från registrerade personer.

Det införs också ett helt nytt krav kring intressekonflikt. Detta innebär att ombudet inte får ha en ledande ställning i företaget, eftersom det kan leda till att personen granskar sitt eget arbete. Därmed utesluts ledning och beslutsfattare inom bolagsjuridiska avdelningen, marknadsförings-, it- och ekonomiavdelningen som kandidater.

Ökar skyddet för den anställde

Det är bra att känna till att om du utser en anställd till DSO, så stärks den personens arbetsrättsliga ställning. Det betyder att om personen missköter sitt arbete är möjligheten att skilja hen från tjänsten minimal. I och med dataskyddsombudets granskande roll finns nämligen en risk att en uppsägning ses som en disciplinär åtgärd för granskningen i sig. Det gäller även om personen själv säger upp sig. Därför rekommenderas att rollen tillsätts över en begränsad tidsperiod på till exempel två till tre år.

Dessa krav gör nu att många företag vänder sig till ett externt företag med en erfaren dataskyddsexpert för rollen som DSO på konsultbasis. Här gäller dock att utvärdera konsultens kompetens. Dataskydd är just nu ett hett område och många företag försöker fånga upp de möjligheter som uppstår, utan att själva uppfylla kompetenskraven på juridisk expertis och verksamhetsförståelse.

Dataskyddsombudet ska vara anmält till Dataskyddsinspektionen senast då GDPR träder i kraft 25 maj 2018.

Källor: Sofia Edvardsen, managing partner på Sharp Cookie Advisors, Datainspektionen, Article 29 Data Protection Working Party

Publicerad i Print & Packaging nr. 3 2017