Dataskyddsombud (DSO eng. DPO) guide

dataskyddsombud (DSO)
Dataskyddsombud, den definitiva guiden. Foto av: gdprsummary

Ett dataskyddsombud hjälper företaget att följa dataskyddet – dataskyddsombudet övervakar och ser över organisationens efterlevnad av gällande lagstiftning, reglering och standarder. Att utse en DSO är ofta obligatoriskt för både personuppgiftsansvariga och personuppgiftsbiträden. GDPR ställer höga krav på ett dataskyddsombuds kompetens, uppgifter och oberoende. I den här artikeln förklaras vad en uppgiftsombud är, vilka befogenheter den person som tillsätter rollen måste ha, när en sådan ska utses, uppgiftsombudet och vilka uppgifter uppgiftsombudet har. Lästid: 12 minuter.

Syftet med ett dataskyddsombud

Syftet med ett dataskyddsombud är att ge organisationen förmåga att använda personuppgifter i enlighet med lagar och förordningar samt enskilda personers förväntningar. Ett framgångsrikt dataskyddsombud kan skapa en balans mellan regelefterlevnad och affärsinnovation samtidigt som de hanterar risker.

Rollen som dataskyddsombud regleras i GDPR artiklarna 37-39. I allmänhet ska ett dataskyddsombud ge råd och information till deras organisation kring tillämplig lagstiftning och tillämpliga standarder. De ska även ge råd om riskbedömningar och konsekvensbedömningar avseende datasskydd. Dataskyddsombud fungerar även som en förbindelse med tillsynsmyndigheten och de registrerade.

Dataskyddsombudets kompetenser

Du bör utse ett dataskyddsombud baserad på yrkeskvaliteter och expertkunskaper. Kraven på dataskyddsombudets kompetens och ansvar inkluderar fördjupad kunskap om organisationen. Nedan går vi igenom vad du ska tänka på när du överväger vilken profil du behöver utse till dataskyddsombud.

Kravnivån kan bero på komplexiteten i din organisations verksamhet

Företagets behandlingsverksamhet avgör vilka kompetenser dataskyddsombudet behöver. Aspekter att tänka på är exempelvis komplexitet, skala och form. Om IT-systemen är komplexa, eller om ni överför data till tredjeländer, måste du väga in detta. Vissa dataskyddsombud måste ha större tekniskt eller juridiskt kunnande än andra. Desto mer komplext behandlingsområdet är, desto strängare krav ställs på dataskyddsombudet.

Advertisement

Letar du efter en praktisk guide till DPO-rollen?

Boken Data Protection Officer ger en praktisk guide till DPO-rollen och omfattar de viktigaste aktiviteterna du behöver för att lyckas i rollen. Den omfattar grunderna och processerna för dataskydd, förståelse av risker och relevanta standarder, ramverk och verktyg, med DPO-tips som också är inarbetade i hela boken och fallstudier som ingår för att stödja praktikbaserat lärande. Få en förhandsgranskning eller ett gratis utdrag:
e-bok - Data Protection Officer (BCS Guides to It Roles)
pocketbok - Data Protection Officer (BCS Guides to It Roles)

Dataskyddsombuderts expertis och kompetens

Dataskyddsombudet måste uppvisa “expertis kring nationell och europeisk dataskyddslagstiftning”. I artikel 37.5 föreskrivs att ett dataskyddsombud “ska utses på grundval av yrkesmässiga kvalifikationer och, i synnerhet, sakkunskap om lagstiftning och praxis avseende dataskydd samt förmågan att fullgöra de uppgifter som avses i artikel 39”. Vägledning för att avgöra vilken nivå av expertis som krävs finns i GDPR skäl 97: “Den nödvändiga nivån på sakkunskapen bör fastställas särskilt i enlighet med den uppgiftsbehandling som utförs och det skydd som krävs för de personuppgifter som behandlas av den personuppgiftsansvarige eller personuppgiftsbiträdet. “.

Nivån av expertis måste stå i proportion till komplexiteten och känsligheten i de personuppgifter som organisationen behandlar. En högre kunskapsnivå krävs för komplex behandling av hälsodata eller onlineprofilering, jämfört med behandling av HR-data för standardbehandling.

I riktlinjerna för dataskyddsombud anges att ett sådant ombud ska ha sakkunskap om nationella lagar och EU:s dataskyddslagar och praxis samt en ingående förståelse kring att praktiskt tillämpa dataskyddsförordningen.

Dataskyddsombudet ska också ha fördjupad kunskap och erfarenhet av relevanta företagssektorer samt organisationens mål. Dataskyddsombudet bör också lära sig att förstå organisationens behandlingsverksamhet och de system som används. Ett dataskyddsombud för en offentlig myndighet, måste utöver ovanstående, ha kunskap om tillämpliga administrativa regler och förfaranden.

Dataskyddsombudets personliga egenskaper

Ett dataskyddsombud måste kunna fullgöra sina skyldigheter. Personliga egenskaper för ett dataskyddsombud ska innefatta integritet och hög yrkesetik. Deras främsta mål ska vara att möjliggöra efterlevnad av GDPR.

Dataskyddsombudet är ledande i sin organisation för att utveckla integritetsledarskap och -kultur för att hjälpa organisationen att implementera de nödvändiga delarna för efterlevnad:

  • Principer för personuppgiftsbehandling
  • Registrerades rättigheter
  • Inbyggt dataskydd och dataskydd som standard
  • Register över behandling
  • Säkerhet i samband med behandlingen och
  • Anmälan av och kommunikation kring dataintrång.

När måste ett dataskyddsombud tillsättas?

Det finns tydliga regler för när en organisation måste utse ett dataskyddsombud:

  • offentlig myndighet eller offentligt organ; eller
  • kärnverksamheten omfattar regelbunden och systematisk övervakning av de registrerade i stor omfattning; eller
  • kärnverksamheten består av behandling av särskilda kategorier av uppgifter i stor omfattning, eller
  • personuppgifter som rör fällande domar i brottmål och överträdelser.

Skyldigheten att utse ett dataskyddsombud gäller både organisationer som agerar personuppgiftsansvarig och personuppgiftsbiträde.

Alltid obligatoriskt för en offentlig myndighet eller ett offentligt organ

Om din organisation är en offentlig myndighet eller ett offentligt organ är det obligatoriskt att utse ett dataskyddsombud. Domstolar som behandlar uppgifter i sin dömande verksamhet undantas från kravet. Vad som är, eller inte är, en offentlig myndighet eller ett offentligt organ avgörs av nationell lagstiftning. Det kan vara fysiska eller juridiska personer som styrs av offentligrättslig eller civilrättslig lagstiftning. Ett exempel på detta skulle vara kollektivtrafik.

Obligatoriskt om kärnverksamheten omfattar behandling av personuppgifter i stor omfattning

Kärnverksamheten är bolagets primära affärsverksamhet. Det innebär att om du behöver behandla personuppgifter för att uppfylla dina huvudsakliga mål är detta en kärnverksamhet. Profilering av dina kunder eller webbplatsbesökare kommer till exempel att falla in under denna kategori.

Detta skiljer sig från behandling av uppgifter med andra sekundära ändamål (t.ex. för HR eller för att betala löner). Exempelvis kan sjukhus komma att behöva utse ett dataskyddsombud. Detta på grund av deras storskaliga behandling av extra känsliga data.

Obligatoriskt vid regelbunden och systematisk övervakning i stor omfattning

Det är inte möjligt att ge ett exakt antal registrerade som krävs för att det ska vara i “stor omfattning”. Det är dock möjligt att peka ut några relevanta faktorer för bedömningen. Antalet registrerade, datavolymen och den geografiska omfattningen är exempel på relevanta faktorer.

Regelbunden och systematisk övervakning omfattar alla former av spårning och profilering online. Ett exempel är behandling av uppgifter för s.k. “behavioural advertising”. Övervakningen är inte begränsad till onlinemiljön och omfattar även offlineaktiviteter.

Obligatoriskt vid användning av särskilda kategorier av uppgifter

Särskilda kategorier av uppgifter är typer av personuppgifter som sannolikt kommer att vara extra känsliga. Därför ges de extra skydd, såsom personuppgifter som avslöjar ras eller etniskt ursprung eller medicinsk- eller hälsodata. För en mer omfattande förklaring, läs vår artikel om extra känsliga data.

Frivillig utnämning av ett dataskyddsombud

Företag som inte är skyldiga att utse ett dataskyddsombud kan fortfarande välja att göra det. Genom att göra detta kan de förbättra sina dataskyddsstandarder. Användningen av ett dataskyddsombud är också en metod för att säkerställa god kommunikation med tillsynsmyndigheter och registrerade. Dessutom är det ett sätt att säkerställa efterlevnad och visa en vilja att förbättra sina integritetsrutiner och sitt dataskydd.

Om tillsynsmyndigheten överväger att ålägga en sanktionsavgift kan ett dataskyddsombud vägas in till din fördel. Det är dock viktigt att notera att utnämningen av ett dataskyddsombud innebär att samma krav och ansvar gäller som om du hade varit tvungen att tillsätta ett dataskyddsombud. Du måste stötta ditt dataskyddsombud enligt samma standarder.

Rapportera utnämningen av ett dataskyddsombud till tillsynsmyndigheterna

Se till att rapportera utnämningen av ett dataskyddsombud till de berörda tillsynsmyndigheterna. Vissa nationella lagar kräver att organisationen registrerar sig och betalar en registreringsavgift (notera Storbritannien), underlåtenhet att betala sådan avgift kan leda till sanktionsavgifter.

Att inte utse ett dataskyddsombud kan leda till sanktionsavgift

Om företaget inte utser ett dataskyddsombud krävs dokumentation av beslutet med juridisk motivering till varför detta inte skedde.

I ett fall har ett österrikiskt företag inom den medicinska sektorn inte utsett något dataskyddsombud. Deras kärnverksamhet omfattade behandling av medicinska data i stor omfattning. De gavs en (icke-slutlig) sanktionsavgift på 50 000 euro av den österrikiska tillsynsmyndigheten under 2018 (du kan läsa beslutet på tyska här).

Outsourcing av dataskyddsombud

Dataskyddsombudets uppgifter kan fullgöras genom en intern funktion eller av ett externt konsultföretag genom ett serviceavtal. Uppdraget behöver inte vara på heltid, men vad som krävs för att organisationen ska följa GDPR är att dataskyddsombudet måste ha tillräckligt med tid och resurser för att kunna utföra sitt uppdrag väl.

De exakta kraven gäller kvalifikationer, kompetens och oberoende. Individuella färdigheter kan kombineras i konsultorganisationen så att flera personer som utför dataskyddsombudsfunktionen som ett team kan arbeta tillsammans. Om en organisation utses till dataskyddsombud rekommenderas att en ledande konsult namnges i serviceavtalet.

Dataskyddsombudets position

Dataskyddsombudsrollen kan uppfyllas av en intern funktion eller baserat på ett servicekontrakt. Oavsett hur tjänsten tillsätts ska dataskyddsombudet sitta inom organisationen, vilket möjliggör utförandet av deras uppgifter.

Dataskyddsombudet ska delta i alla frågor som rör skyddet av personuppgifter

I allt som rör dataskydd måste du konsultera dataskyddsombudet så tidigt som möjligt. I GDPR artikel 38 föreskrivs att personuppgiftsansvarig och personuppgiftsbiträdet ska se till att dataskyddsombudet “på ett korrekt sätt och i god tid deltar i alla frågor som rör skyddet av personuppgifter”.

Organisera och strukturera organisationens arbete för att, till exempel, se till att:
• Dataskyddsombudet är inblandat i och inbjuden till regelbundna möten med högsta och mellersta ledningen.
• Dataskyddsombudets närvaro rekommenderas när beslut som påverkar användningen och skyddet av personuppgifter fattas. Material ska delas med dataskyddsombudet i tid.
• Dataskyddsombudets yttrande måste alltid beaktas och värderas. Om den högsta ledningen är oense med dataskyddsombudet rekommenderar EU:s expertgrupp för GDPR att man dokumenterar skälen till att inte följa dataskyddsombudets råd.
• Dataskyddsombudet måste omedelbart konsulteras när ett dataintrång eller en incident har inträffat.

Dataskyddsombudet ska ha de nödvändiga resurserna

Dataskyddsombudet ska ha de resurser som krävs för att utföra sina uppgifter och skyldigheter, GDPR artikel 38.2. Följande aspekter anses uppfylla detta krav:

• Aktivt stöd till dataskyddsombudsfunktionen av ledande befattningshavare, inklusive styrelsenivå;
• Tillräckligt med tid för att dataskyddsombudet ska kunna utföra sina uppgifter och uppgifter är avgörande när dataskyddsombudsrollen är ett deltidsåtagande.
• Lämpligt stöd i form av ekonomiska resurser (egen budget), infrastruktur och personal;
• Officiell kommunikation från det utsedda dataskyddsombudet;
• Tillgång till andra tjänster inom organisationen, när så är lämpligt, möjlighet att behålla egen juridisk rådgivning, IT, säkerhet o.s.v.;
• Få kontinuerlig utbildning; samt
• Möjlighet att utbilda och anställa sin personal eller utöka dataskyddsombudsteamet vid behov.

Dataskyddsombudets oberoende

Dataskyddsombudet ska, enligt GDPR artikel 38.3, kunna utföra sina uppgifter utan påverkan. Därför kan du inte instruera ett dataskyddsombud om hur de ska hanterar en specifik fråga. Även om dataskyddsombudet måste vara självständigt sträcker sig dess makt inte längre än artikel 39 i GDPR.

Om du inte följer dataskyddsombudets råd kan ombudet redovisa sin avvikande åsikt för beslutsfattarna. Det yttersta ansvaret ligger hos personuppgiftsansvarig eller personuppgiftsbiträde.

Dataskyddsombudets självständighet innebär inte att rollen har beslutsbefogenheter som sträcker sig längre än deras uppgifter enligt artikel 39.

Dataskyddsombudets oberoende innebär inte att ombudet är ansvarigt för deras organisations fel eller genomförandet av ombudets yttranden eller rekommendationer.
Företaget bör inte avskeda eller straffa dataskyddsombudet för att de utför sina uppgifter. Detta innefattar direkta eller indirekta påföljder och hot om sådana korrigeringar. Det hindrar inte laglig uppsägning av ett ombud av andra skäl än deras arbete i deras roll som dataskyddsombud. I praktiken kommer sådana uppsägningar att vara mer utmanande att genomföra på grund av risken för att det skulle se ut som en repressalie.

Frihet från intressekonflikter

Dataskyddsombudet får inte ha några intressekonflikter som kan hindra ombudet från att fullgöra sina uppgifter och skyldigheter. Dataskyddsombudet kan ha andra ansvarsområden inom organisationen, men vissa befattningar är inte lämpliga eftersom de anses strida mot rollen som ombud. Som en tumregel kan ledande befattningar, såsom VD, ekonomi-, marknads-, HR- eller IT-chef, vara olämpliga. Funktioner längre ner i organisationen kan också vara olämpliga eftersom de påverkar hur personuppgifter används eller skyddas. Intressekonflikter anses vara ett allvarligt brott mot GDPR och leder ofta till sanktionsavgift från tillsynsmyndigheterna.

Läs mer om de intressekonflikter för dataskyddsombud i rollerna ivår fördjupade artikel Dataskyddsombudets intressekonflikter.

Dataskyddsombudens uppgifter

Dataskyddsombudets roll definieras i artikel 37-39 i GDPR. Dataskyddsombudet ska:
• övervaka efterlevnaden av GDPR genom att ge råd och informera organisationen om tillämpliga lagar, förordningar samt EU-standarder och nationella standarder;
• Ge råd om konsekvensbedömningar avseende dataskydd; och
• fungera som förbindelse med tillsynsmyndigheten och de registrerade;

Expertgruppen som ger vägledning kring GDPR och dataskyddslagstiftning har gett ut riktlinjer för dataskyddsombudens krav som ger mer information om de olika villkoren.

Dataskyddsombudet är inte personligt ansvarigt för bristande efterlevnad

Dataskyddsefterlevnad är ett företagsansvar för organisationen, inte en enda funktion för dataskyddsombudet. Dataskyddsombudet är aldrig personligt ansvarigt om deras organisation skulle bryta mot GDPR. Det är alltid organisationen och dess högsta ledning som ansvarar för att genomföra dataskyddsombudets råd för att uppnå efterlevnad av dataskyddslagstiftning. De måste kunna visa att de uppfyller kraven.

GDPR klargör att det personuppgiftsansvarig, inte dataskyddsombudet, som är skyldig att “vidta lämpliga och effektiva åtgärder och kunna visa att behandlingen är förenlig med denna förordning” (GDPR artikel 24.1).

Observera dock att dataskyddsombudet kan vara ansvarigt för grov oaktsamhet i utförandet av sina uppgifter och uppgifter ur ett arbetsrättsligt perspektiv (om de är intern anställda) eller ur ett professionsansvarsperspektiv (vid s.k. outsourcing av denna funktion). Denna typ av ansvar skulle innefatta allvarliga oegentligheter och åsidosättande av utförandet av uppgifterna, vilket är en annan fråga än den situation som beskrivs ovan.

Ge råd

En dataskyddsombud måste ge råd och informera organisationen om tillämpliga lagar, förordningar och standarder inom EU och nationellt. Dataskyddsombudet övervakar efterlevnaden av tillämplig dataskyddslagstiftning och interna policyer. Detta inkluderar ansvarsfördelning och medvetandehöjande åtgärder. Utbildning av personal som är involverad i behandlingsverksamhet är också avgörande. Dessutom måste ombudet rådfrågas i alla andra frågor där det är lämpligt. Om en fråga kan gälla dataskydd bör dataskyddsombudet involveras, åtminstone när det gäller att säkerställa själva processens kvalitet.

Enligt GDPR artikel 39.2 ska dataskyddsombudet “ta vederbörlig hänsyn till de risker som är förknippade med behandling, med beaktande av behandlingens art, omfattning, sammanhang och syften.” – ett så kallat riskbaserat förhållningssätt. Det kräver att dataskyddsombudet prioriterar fokus på frågor som innebär större dataskyddsrisker. Det är viktig vägledning när du genomför den årliga konsekvensbedömningen avseende dataskydd.

Riskbedömningar och konsekvensbedömning avseende dataskydd

Det ligger också inom dataskyddsombudets uppgifter att ge råd om konsekvensbedömningar avseende dataskydd, så kallade DPIAs. Dataskydsombudet övervakar också konsekvensbedömningens prestation. Som ett resultat kommer de att hjälpa till att bestämma när en konsekvensbedömning avseende dataskydd ska genomföras. Dataskyddsombudet kommer också att ge råd om huruvida bolagets slutsatser är i linje med GDPR.

En organisation kan välja att ignorera de råd som ges av ett dataskyddsombud. Om de beslutar sig för att göra det måste de skriftligen ange varför de gjorde det.

Det räcker inte att dataskyddsombudet enbart informeras om resultatet av en konsekvensbedömning avseende dataskydd. Den som agerar i rollen måste ha ett verkligt inflytande på bedömningen. I ett fall från 2020 involverade ett belgiskt företag inte sitt dataskyddsombud i bedömningen och bötfälldes med 50 000 euro av den belgiska tillsynsmyndigheten(läs hela beslutet här på nederländska).

Kommunikation med tillsynsmyndigheten

Ett dataskyddsombud fungerar också som kontaktperson för tillsynsmyndigheten och de registrerade. Det innebär att de hanterar kommunikationen med den berörda tillsynsmyndigheten. Detta gäller särskilt när tillsynsmyndigheten utövar sina undersökningsbefogenheter och korrigerande befogenheter. När du utser ett dataskyddsombud måste du alltid meddela den berörda tillsynsmyndigheten. Du måste också förse dem med kontaktuppgifter till ditt dataskyddsombud.

Offentliggörande av dataskyddsombudets kontaktuppgifter

Det är också viktigt att ge registrerade (inom och utanför din organisation) och andra kontaktinformation till ditt dataskyddsombud. Rollen är tänkt att fungera som en enda kontaktpunkt för de registrerade. Meddelandet måste ske på ett språk som används av de berörda registrerade.

Enligt GDPR artikel 37.7 ska organisationen:
• offentliggöra kontaktuppgifter till dataskyddsombudet och
• vidarebefordra kontaktuppgifterna till de berörda tillsynsmyndigheterna.

Kontaktuppgifterna till dataskyddsombudet bör innehålla information som:
• en postadress;
• ett särskilt dedikerat telefonnummer;
• en särskild dedikerad e-postadress; och i förekommande fall
• en särskilt “hot-line” eller ett kontaktformulär till ombudet på organisationens webbplats.

Att publicera namnet på dataskyddsombudet anses vara god praxis. Det är dock inte absolut nödvändigt att offentliggöra för allmänheten, på grund av säkerhetsskäl eller andra legitima skäl som organisationen kan ha. Tillsynsmyndigheten och de interna anställda ska dock alltid känna till dataskyddsombudets namn.

Ett tyskt dotterbolag hade utsett ett dataskyddsombud men inte anmält denne till tillsynsmyndigheten. (Ombudet var en del av deras moderbolag i Irland, och det hade bara rapporterats där.) Tillsynsmyndigheten gav dem en sanktionsavgift på 51 000 euro. Myndigheten uppgav uttryckligen att påföljden skulle ses som en varning till alla företag. Företag måste ta GDPR på allvar, även när det gäller mindre överträdelser (läs beslutet här, på sidorna 55–57 på tyska).

Ett spanskt företag lämnade inte kontaktuppgifter till sitt dataskyddsombud och tilldelades en sanktionsavgift om 25 000 euro av den spanska tillsynsmyndigheten(läs beslutet här på spanska). Företaget hade inte heller utsett denna roll till vilken förfrågningar från registrerade kunde riktas. De hade i stället använt sig av en dataskyddskommitté. Detta var enligt tillsynsmyndigheten inte tillräckligt.

LÄMNA ETT SVAR

Please enter your comment!
Please enter your name here