Att ha eller att icke ha ett dataskyddsombud – det är frågan

Till följd av att den nya dataskyddsförordningen (GDPR) snart träder i kraft måste de som behandlar personuppgifter under vissa förutsättningar utse ett dataskyddsombud. Detta gäller för både personuppgiftsansvariga och personuppgiftsbiträden. Dataskyddsombudet ska kontrollera efterlevnaden av GDPR inom organisationen samt informera medarbetarna om vad som gäller. Myndigheter och andra offentliga organ (dock inte domstolar) är tvungna att utse ett dataskyddsombud. Inom den privata sektorn beror det däremot på om kärnverksamheten består av personuppgiftsbehandling som kräver regelbunden och systematisk övervakning av de registrerade i stor omfattning, eller om behandlingen avser känsliga personuppgifter eller uppgifter om brott i stor omfattning. I syfte att underlätta för dig som står i begrepp att utse ett dataskyddsombud, eller som ska agera dataskyddsombud, följer här en vägledande sammanställning över de viktigaste punkterna att ha koll på.

Vilka måste utse ett dataskyddsombud?

Till att börja med måste alla myndigheter och andra offentliga organ utse ett dataskyddsombud. Det omfattar bland annat riksdagen, kommunfullmäktige, landstingsfullmäktige och regionfullmäktige. Domstolar faller dock utanför kravet i fråga om personuppgiftsbehandling som sker inom ramen av den dömande verksamheten. Företag och andra privata aktörer måste utse ett dataskyddsombud endast om kärnverksamheten består av behandling som kräver regelbunden och systematisk kontroll av de registrerade i stor omfattning – vilket kan bero på behandlingens karaktär, omfattning och/eller ändamål – eller om kärnverksamheten består av behandling i stor omfattning av känsliga personuppgifter och personuppgifter avseende fällande domar i brottmål. Avgörande är alltså vilken typ av personuppgifter som behandlas och i vilken omfattning som personuppgiftsbehandling sker.

Förordningen uppställer dock inte något hinder för organisationer som inte omfattas av kravet att ändå utse ett dataskyddsombud. Tvärtom kan det vara att rekommendera, då dataskyddsombudet ska inneha expertis om dataskyddslagstiftningen (både nationellt och på EU-nivå) och därför kan vara ett värdefullt stöd i frågor som berör dataskydd och personuppgiftsbehandling. Detta trots att verksamheten juridiskt sett inte behöver utse ett dataskyddsombud.  

Den som utses till dataskyddsombud måste inte vara en anställd inom organisationen, utan kan utgöras av en extern tjänsteleverantör eller en grupp enskilda personer som tillsammans agerar som dataskyddsombud och arbetar för den externa tjänsteleverantören. Det krävs dock att det finns en huvudkontakt. Samtliga personer måste då uppfylla de krav som vanligen ställs på ett dataskyddsombud enligt GDPR.

Personuppgiftsbehandling i stor omfattning

Vid fastställande av om behandling utförs i stor omfattning finns det vissa faktorer att ta i beaktande. Det gäller bland annat antalet registrerade som berörs av behandlingen, mängden uppgifter och/eller typen av uppgifter som behandlas, längden eller varaktigheten av behandlingen samt dess geografiska räckvidd. 

Begreppet kärnverksamhet

Med ”kärnverksamhet” menas den mest nödvändiga och centrala verksamheten som organisationen bedriver för att uppnå sina mål. Därunder faller även all verksamhet som innefattar sådan personuppgiftsbehandling som utgör en oskiljaktig del av den personuppgiftsansvariges eller personuppgiftsbiträdets verksamhet. Det ska dock påpekas att alla organisationer i mångt och mycket har vissa stödjande funktioner, exempelvis för att kunna betala ut lön till sina anställda eller IT-stöd i olika former. Trots att detta kan ses som nödvändiga och centrala verksamheter, räknas de inte som sådan kärnverksamhet som åsyftas enligt ovan. De är snarare att betrakta som kompletterande funktioner. 

Regelbunden och systematisk övervakning

Vad som menas med ”regelbunden och systematisk övervakning” definieras inte närmare i dataskyddsförordningen, men enligt vägledande information från Artikel 29-gruppen framgår att detta kan tolkas som alla former av spårning och profilering på internet. Det inbegriper även beteendestyrd annonsering. Som exempel nämns bland annat drift i ett telekommunikationsnät, omdirigering av e-post, positionsspårning, kameraövervakning och hantering av datadriven marknadsföring. I fråga om vad ”regelbunden” innebär, anser artikel 29-gruppen att det avser antingen pågående övervakning eller övervakning som sker under ett visst intervall, återkommande eller upprepad övervakning vid fasta tidpunkter, eller ständig eller periodisk övervakning. Slutligen anses ”systematisk” innebära övervakning som sker enligt ett system, på förhand arrangerad, organiserad eller metodisk övervakning, övervakning som sker enligt en allmän plan för uppgiftsinsamling eller som utförs som ett led i en strategi.

Rollen som dataskyddsombud

Dataskyddsombudet ska inneha sakkunskaper om dataskyddslagstiftningen och andra relevanta kvalifikationer. Kunskapsnivån bör stå i proportion till mängden behandlade uppgifter, samt hur känsliga och komplicerade uppgifter det rör sig om. Inom organisationer som utför komplexa eller omfattande personuppgiftsbehandlingar kan det vara nödvändigt att dataskyddsombudet har extra mycket sakkunskap. Dataskyddsombudet förväntas också ha en förståelse för hur personuppgiftsbehandlingen går till inom organisationen samt ha kunskap om olika typer av informationsteknik och datasäkerhet. Dessutom är det fördelaktigt om dataskyddsombudet är insatt i själva organisationen och dess affärssektor, samt har en förmåga att främja en allmän dataskyddskultur så att den nya dataskyddslagstiftningen genomsyrar hela verksamheten. 

Dataskyddsombudets ställning inom organisationen

För att dataskyddsombudet ska kunna utföra sitt uppdrag måste denne ges de medel och befogenheter som krävs. Det gäller alltifrån tillräckligt med tid och ekonomiska resurser, till nödvändiga hjälpmedel och lokal. Vidare krävs det att organisationens alla berörda avdelningar tillhandahåller information i fråga om dataskydd som dataskyddsombudet behöver inom ramen för sitt uppdrag. Det förväntas därmed att alla inblandade inom organisationen ger det stöd som efterfrågas. Det krävs även aktivt stöd från högsta ledningen samt möjlighet till fortbildning.

Som personuppgiftsansvarig eller personuppgiftsbiträde får man inte ge dataskyddsombudet instruktioner om hur uppdraget ska utföras. Dataskyddsombudet har ansvarsfrihet och kan därför inte ”straffas” för att organisationen bryter mot förordningen. Det ansvaret ligger på den personuppgiftsansvarige eller personuppgiftsbiträdet. I fråga om eventuella andra uppgifter som dataskyddsombudet har får dessa inte leda till en intressekonflikt i förhållande till dataskyddsuppdraget. Det betyder att dataskyddsombudet inte kan ha en tjänst inom organisationen som innebär att hen fastställer ändamålen med och medlen för personuppgiftsbehandlingen.

Dataskyddsombudets uppgifter

Inledningsvis är det att rekommendera att i dataskyddsombudets avtal tydligt ange de uppgifter som ingår i uppdraget, och omfattningen av dessa, för att det i ett senare skede inte ska uppstå några frågetecken eller liknande. Dataskyddsombudet ska från början veta exakt vad som ingår i uppdraget för att kunna fokusera enbart på det. Detta kan även bidra till att stärka dataskyddsombudets ställning inom organisationen genom att tydligt slå fast dennes befogenheter samt uppgifter för alla inblandade parter. 

Övervakning

Dataskyddsombudet ska i huvudsak övervaka den interna efterlevnaden av dataskyddsförordningen inom organisationen. Det innefattar insamling av information som behövs för att kunna identifiera hur organisationen behandlar personuppgifter och utifrån det analysera och kontrollera om bestämmelserna följs. Dessutom ska dataskyddsombudet informera, ge råd samt bistå den personuppgiftsansvarige eller personuppgiftsbiträdet. Övervakningsarbetet innebär dock inte, som nämnts ovan, att dataskyddsombudet är ansvarigt för eventuella brister i efterlevnaden. Det ansvaret har den personuppgiftsansvarige som ska vidta lämpliga tekniska och organisatoriska åtgärder för att komma till rätta med eventuella brister i personuppgiftshanteringen.

Rådgivning vid konsekvensbedömningar

Dataskyddsombudet ska alltid vara inblandat när en organisation genomför en konsekvensbedömning av organisationens hantering av personuppgifter. Däremot är det inte dennes ansvar att organisationen vidtar en konsekvensbedömning. Även det ansvaret ligger på den personuppgiftsansvarige. Dataskyddsombudet ska istället, mot bakgrund av hens expertis inom dataskydd, ha en rådgivande roll och bistå den personuppgiftsansvarige vid framtagandet av denna analys. Den personuppgiftsansvarige ska i samband med detta rådfråga dataskyddsombudet om:

  • huruvida en konsekvensbedömning bör göras och i så fall med vilken metod,
  • om bedömningen bör göras inom organisationen eller via en extern part,
  • vilka skyddsåtgärder som bör vidtas för att motverka eventuella risker för de registrerades rättigheter och intressen, och
  • om bedömningen har genomförts på rätt sätt och om slutsatserna av denna överensstämmer med dataskyddskraven.

Sammantaget ska dataskyddsombudet vara ett stöd under konsekvensbedömningen genom att bistå med råd och rekommendera nödvändiga åtgärder för att komma till rätta med eventuella problem i organisationens datahantering.

Samarbete med tillsynsmyndigheten

Enligt förordningen ska dataskyddsombudet vara kontaktperson för de registrerade, samt personalen inom organisationen och för den tillsynsmyndighet som regeringen utser (enligt förslag kommer det att bli Datainspektionen). Syftet är att underlätta tillsynsmyndighetens åtkomst till dokument och information om organisationens personuppgiftshantering och efterlevnad av förordningen. Det ger också tillsynsmyndigheten möjlighet att utöva sina befogenheter mot organisationen i fråga om utredning, korrigering, tillståndsgivning och rådgivning. Dataskyddsombudet kan här ses som en förmedlare mellan tillsynsmyndigheten och organisationen för att underlätta tillsynen av huruvida förordningen efterlevs eller ej. Vidare är dataskyddsombudet bundet av sekretess eller konfidentialitet i enlighet med EU-rätten eller medlemsstaternas nationella rätt vid utförande av sitt uppdrag. Sekretesskravet medför dock inte att det råder förbud mot att dataskyddsombudet kontaktar och samråder med tillsynsmyndigheten. 

Registerföring

Viktigt att komma ihåg är att dataskyddsombudet inte ansvarar för organisationens registerföring gällande personuppgiftsbehandling, utan det gör den personuppgiftsansvarige eller personuppgiftsbiträdet. Det finns dock inget som hindrar att dataskyddsombudet tilldelas denna uppgift, men fortfarande under ansvarsfrihet enligt ovan. Registren kan helt enkelt ses som ett stöd för dataskyddsombudet vid kartläggningsarbetet av den personuppgiftsbehandling som görs inom organisationen, och göra det lättare att övervaka efterlevnaden samt informera och ge råd till den personuppgiftsansvarige eller personuppgiftsbiträdet.   

Slutord

Sammantaget kan dataskyddsombudet ses som organisationens GPS i GDPR-djungeln. Ett nödvändigt stöd i frågor om dataskydd och personuppgiftsbehandling, och någon som kan vara behjälplig vid konsekvensbedömningar genom sin expertis och erfarenhet. Så även om dataskyddsombudet genom sin övervakning till en början kanske kan tyckas onödig eller rentav inkräktande, är inte syftet att ”lägga näsan i blöt”. Tvärtom är det kanske just dataskyddsombudet som genom sin insyn och rådgivning gör det möjligt för organisationen att fortsätta bedriva sin verksamhet och undgå risken för ett bristfälligt dataskydd samt eventuella sanktioner. Så ta istället tillfället i akt och skapa en god relation med dataskyddsombudet genom att sätta av nödvändiga resurser till denne i form av exempelvis tid, hjälpmedel och den information som behövs för att kunna utföra uppdraget på bästa sätt. Allt för att tillsammans arbeta fram en långsiktigt hållbar GDPR-compliant organisation.  

Senast uppdaterad 11 maj 2018

Mer om IT och dataskydd

Utbildningar

Prenumerera på vårt fokusbrev dataskydd

Se vår integritetspolicy

Webbtjänster inom området