Dataskyddsombud måste vara fria från intressekonflikter. Dataskyddsombudets uppgifter får inte leda till en intressekonflikt, vilket innebär att ombudet inte kan inneha en tjänst eller utföra uppgifter inom den organisation som leder till att han eller hon påverkar användningen av personuppgifter. Detta påverkar hur dataskyddsombudet utses och hur dataförvaltningen organiseras. Lästid: 4 min.
Dataskyddsombudets oberoende
Rollen som dataskyddsombud regleras i GDPR artiklarna 37-39. I allmänhet ska ett dataskyddsombud ge råd och informera sin organisation om tillämplig lagstiftning och tillämpliga standarder, ge råd om risk- och konsekvensbedömningar och fungera som en förbindelse med tillsynsmyndigheten och de registrerade. Syftet med ett dataskyddsombud är att ge organisationen förmåga att använda personuppgifter i enlighet med lagar och förordningar samt enskilda personers förväntningar.
För att tillhandahålla detta ledarskap är oberoende och frihet från intressekonflikter grundläggande inslag i hur rollen ska fungera och placeras inom organisationen. I GDPR artikel 38 anges kraven på dataskyddsombud samt hur de ska placeras inom organisationen. I GDPR artikel 38.6 anges följande:
“Dataskyddsombudet får fullgöra andra uppgifter och uppdrag. Den personuppgiftsansvarige eller personuppgiftsbiträdet ska se till att sådana uppgifter och uppdrag inte leder till en intressekonflikt.“
Detta innebär att uppgiftsombudens specifika roll måste definieras i ett serviceavtal (externt dataskyddsombud) eller en arbetsbeskrivning (internt dataskyddsombud) och kommuniceras internt inom organisationen. Vidare måste det gemensamma kontrollombudet ha lämpliga resurser som är relevanta och tillräckliga för organisationens krav. Detta omfattar oftast en budget och mandat att använda extern juridisk rådgivning om det behövs. Inom organisationens styrningsram måste uppgiftsombudet erkännas som oberoende av den högsta ledningen och stödjas för att utföra dataskyddsombudets fullständiga uppgifter, nämligen från efterlevnadskontroller till utredningar efter överträdelser eller verkställighet utan att få några instruktioner som skulle hindra eller påverka processen eller resultatet av sådana uppgifter.
Jobba på Sharp Cookie Advisors
Vi letar efter dig med framstående akademiska meriter som är nyutexaminerad till att du har några års relevant arbetslivserfarenhet från bolag eller advokatbyrå. Har du examen i ekonomi, teknik, marknadsföring, utvecklat egna bolag, suttit ting är det till din fördel (förutom ett bevis på att du är nyfiken och har haft roligt).
Företagsroller som utgör en intressekonflikt
EU:s expertgrupp som tolkar dataskyddsförordningen och lagstiftningen om datasekretess har utfärdat riktlinjer för uppgiftsskyddsombudens roll (“Riktlinjerna”). Även om det anses okej att den person som utsetts till dataskyddsombud har andra uppgifter vid sidan av rollen som ombud bör dessa funktioner inte ge upphov till intressekonflikter.
“Det innebär framför allt att dataskyddsombudet inte kan ha en position inom den organisation som får honom eller henne att bestämma
ändamål och medel för behandling av personuppgifter. På grund av den specifika organisationsstrukturen i varje organisation måste detta bedömas från fall till fall.” Riktlinjerna, sidan 15 (vår översättning).
Riktlinjerna fortsätter med att ange de positioner som vanligtvis står i konflikt med dataskyddsombudsrollen, såsom:
- ledande befattningshavare,
- verkställande direktör,
- operativ chef,
- ekonomichef,
- chefsläkare,
- marknadsföringschef,
- personachef;
- eller IT-chef, samt
- andra roller längre ner i organisationsstrukturen om sådana befattningar eller roller leder till fastställande av ändamål och metoder för behandling.
En ledande befattning innebär beslutsfattande om ändamål och medel för behandling av personuppgifter. Detta är en behörighet som är begränsad till den personuppgiftsansvarig och dess representativa bådare (t.ex. efterlevnadskommittén osv.). Vidare måste ledande befattningar prioritera ekonomiska intressen och sträva efter kostnadskontroll. Därför saknar de ofta det så kallade armlängds avstånd till sin organisation, vilket kan påverka de registrerade negativt.
En position längre ner i organisationen kan fortfarande stå inför motstridiga roller eftersom de kan behöva själv övervaka sin egen verksamhet och efterlevnad. IT-chefer eller marknadschefer kan besluta om det väsentliga området IT- respektive marknadsföringsfrågor och kan inte accepteras som oberoende dataskyddsombud.
Tillsynsmyndigheten i Storbritannien, ICO, säger att dataskyddsombudet bör förväntas hantera konkurrerande mål som kan leda till att frågor om dataskydd spelar en sekundär roll för affärsintressena. I linje med detta konstaterar den franska tillsynsmyndigheten CNIL att dataskyddsombudets funktion inte kan vara både domare och jury.
Från denna tumregel kan det diskuteras om ett antal ytterligare roller skulle skapa en intressekonflikt för ett dataskyddsombud. Förmodligen skulle chefsjuristen också uteslutas från att inneha positionen som dataskyddsombud eftersom rollen påverkar riskacceptans och användning av personuppgifter. Exempel på ytterligare roller som står i konflikt:
- IT-direktör (CIO) – definierar IT-strategin, var uppgifterna finns, vem som har tillgång, hur man får tillgång, vilken infrastruktur som ska användas;
- Informationssäkerhetschef (CISO) – skapar säkerhetsstrategier med särskilda prioriteringar;
- Chefsjurist (Chief Legal Officer/Head of Legal) – balanserar organisationens intressen mot vad som är tillåtet och/eller möjligt enligt tillämplig lag;
- Avdelningschefer, inklusive CCO – bestämmer hur personuppgifter används inom deras team för att uppfylla deras affärsmål.
Sanktionsavgifter för dataskyddsombuds intressekonflikter
I det senaste verkställighetsärendet utfärdades en sanktionsavgift om 50 000 euro till ett företag i Belgien eftersom dess dataskyddsombud hade en motstridig roll som chef för revision, risk och efterlevnad (chef för regelefterlevnad eller CCO). Den belgiska tillsynsmyndighetens (APD) rättstvistkammare fann att rollen som chef för regelefterlevnad skapade en intressekonflikt och utgjorde en överträdelse av GDPR artikel 38.6.
Företaget hävdade att funktionen som chef regelefterlevnad var rådgivande och att personen inte fattade några beslut om ändamålen och medlen för behandlingen av personuppgifter.
Tillsynsmyndigheten APD intog ett strikt synsätt – chefen för regelefterlevnad hade ett betydande operativt ansvar för personuppgiftsbehandling inom revision och riskefterlevnad. Att vara chef för regelefterlevnad innebar att personen bestämde syftet med och medlen för behandlingen på den avdelningen. Genom att kombinera funktionen som chef för efterlevnad med rollen som dataskyddsombud hade företaget ingen oberoende tillsyn.
ADP valde att utfärda en sanktionsavgift, snarare än att beordra en alternativ utnämning av dataskyddsombud, på grund av att intressekonflikten, även om den var oavsiktlig, utgjorde en allvarlig försumlighet från organisationens sida. Du kan läsa hela verkställighetsbeslutet här (på franska).
Intressant nog togs fallet upp till tillsynsmyndigheten APD efter ett dataintrång på företaget. Under utredningen av dataintrånget fann APD denna intressekonflikt hos dataskyddsombudet.
Hur man undviker att skapa en intressekonflikt
Ett dataskyddsombud kan väljas bland interna resurser eller uppfyllas genom ett serviceavtal av en extern konsult. Oavsett hur dataskyddsombudsfunktionen uppfylls anses det vara bästa praxis att:
- identifiera de positioner inom organisationerna som skulle vara oförenliga med dataskyddsombudsfunktionen,
- utarbeta interna regler för att undvika intressekonflikter för ombudet,
- uttala att dataskyddsombudet inte har någon intressekonflikt när det gäller dess funktion som ombud, som ett sätt att öka medvetenheten om kravet på oberoende,
- inkludera skyddsåtgärder i de interna reglerna för att säkerställa att den lediga tjänsten fylls med lämplig resurs i händelse av en ledig plats i dataskyddsombudsfunktionen,
- att förse ombudet med en budget och förmåga att behålla sin egen juridiska rådgivning om det behövs ett alternativt yttrande till organisationen, och
- ombudet ska rapportera till högsta ledningen, helst i forumet för en efterlevnadskommitté med representation från högsta ledningen (inklusive styrelsen).
Det externa dataskyddsombudet, som uppfyller funktionen baserat på ett serviceavtal som konsult, kan ha en annan intressekonflikt. Konsulten måste till exempel alltid vara vaksam och observant på eventuella relationer eller situationer med andra kunder och motparter som kan skapa en intressekonflikt med utnämningen som ombud. Det är inte heller tillrådligt att det externa dataskyddsombudet företräder sin organisation i domstol i mål som rör dataskyddsfrågor. Tjänstekontraktet bör innehålla en skyldighet för konsulten att iaktta eventuella intressekonflikter och reglera hur sådana frågor ska hanteras under utnämningen till dataskyddsombud.
Dataskyddsombudet får fortfarande ge råd till verksamheten i frågor som inte är ombudets reglerade uppgifter i artikel 39 (med undantag för riskbedömning och konsekvensbedömning samt rådgivning därom, samarbete med tillsynsmyndigheterna och kontakter med de registrerade).