Dataskyddsombud har en viktig och central roll i företaget
Dataskyddsombud har en viktig och central roll i företaget och ska övervaka behandlingen av personuppgifter. I vissa fall kan företag behöva ha ett dataskyddsombud. Vissa länder i EU hade ett liknande system innan GDPR började gälla med dataskyddsombud, medan det var helt nytt för andra länder.
Utse dataskyddsombud
Företag måste i vissa fall ha ett dataskyddsombud enligt GDPR, som de ska registrera hos den nationella dataskyddsmyndigheten. Det är även möjligt att frivilligt utse ett dataskyddsombud, även om det inte är ett krav för företaget. Företag som systematiskt och regelbundet behandlar personuppgifter i stor skala eller att det gäller känsliga personuppgifter, behöver utse ett dataskyddsombud.
Dataskyddsombud har en viktig och central roll i företaget och det ställs höga krav på dataskyddsombud. Därför ska inte vem som helst vara dataskyddsombudet för företaget. Det är viktigt att personen som är dataskyddsombudet, har rätt kunskap för uppdraget. I GDPR framgår det inte exakt hur dataskyddsombud ska bli utsedda. Däremot bör företaget dokumentera när de väl utser ombudet.
Krav på att utse ett dataskyddsombud
Personuppgiftsansvariga och personuppgiftsbiträden måste utse dataskyddsombud om:
– Det är en myndighet eller ett annat offentligt organ som genomför personuppgiftsbehandlingen.
– Om behandlingen av personuppgifter sker regelbundet och systematiskt i stor skala.
– När kärnverksamheten hos företaget handlar om att behandla personuppgifter i stor skala som handlar om fällande domar i brottmål.
Beskrivning av centrala begrepp gällande krav om att anmäla ett dataskyddsombud
Nedan följer en beskrivning utav tolkning av begreppen “stor omfattning“, “regelbunden och systematisk övervakning” samt “kärnverksamhet“.
Stor omfattning:
Det finns ingen direkt definition av begreppet “stor omfattning/skala” i GDPR, men några faktorer som avgör om det anses vara en behandling av personuppgifter i stor omfattning är:
– Stort antal registrerade, såsom en andel av populationen,
– När behandlingen är permanent eller om det är en väldigt lång period som behandlingen sker inom,
– Om den geografiska omfattningen är betydande,
– I fall datavolymen är stor.
Regelbunden och systematisk övervakning:
När företaget regelbundet, systematiskt och konstant behandlar personuppgifter, utgör det en regelbunden och systematisk övervakning.
Kärnverksamhet:
När behandlingen av personuppgifter är en del av den primära verksamheten.
Anmäla dataskyddsombud
Företag ska anmäla sitt dataskyddsombud till den nationella dataskyddsmyndigheten. Dessutom ska kontaktuppgifter till ombudet vara tillgängligt för de registrerade och dessutom anges till dataskyddsmyndigheten. Det finns ingen direkt tidsram på hur länge ett dataskyddsombud måste vara ombud, men helst bör uppdraget vara under minst två år i taget.
Behöver inte vara anställd på företaget
Ett dataskyddsombud behöver inte vara anställd på företaget. Det är till exempel möjligt att anlita en konsult som får i uppdrag att arbeta som dataskyddsombud. Dessutom kan samma person vara dataskyddsombud till flera verksamheter samtidigt. I vissa fall kan det vara en grupp av människor som ansvarar för uppdraget, men det är viktigt att det finns en kontaktperson som också blir registrerad. Vid sådana fall är det viktigt att personerna i gruppen har tydliga roller och arbetsuppgifter. Exempelvis kan ett företag anlita ett annat företag som ska utföra uppdraget i egenskap av dataskyddsombud, genom det anlitade företagets medarbetare.
Uppgifter för ett dataskyddsombud
Dataskyddsombud har som uppgift att se till att företaget följer GDPR. Det är vanligt att ombudet gör kontroller eller andra insatser för att se till att företaget också efterföljer regelverket och givna instruktioner. Dataskyddsombud ska bland annat:
– Vara tillgänglig inom företaget och ge information samt rådgivning inom dataskyddsområdet och GDPR.
– Analysera hur företaget behandlar personuppgifter och se till så att det sker på ett korrekt sätt enligt GDPR.
– Vara kontaktperson mellan företaget och den nationella dataskyddsmyndigheten.
– Kontrollera om företaget har de dokument och avtal som är nödvändiga för verksamheten.
– Vara involverad i konsekvensbedömningar som företaget gör och förhandssamråd med dataskyddsmyndigheten.
När företag behöver göra konsekvensbedömningar
Om det föreligger en sannolikt hög risk för de registrerades fri- och rättigheter, ska företaget göra en konsekvensbedömning innan behandlingen ifråga blir utförd. Orsaken till varför företag behöver göra detta, är för att förebygga risker och att skydda de registrerades fri- och rättigheter. Kort sagt innebär en konsekvensbedömning en form av analys, där företaget ska identifiera vilka risker som behandlingen innebär och hur det går att minimera riskerna.
Ansvar för dataskyddsombud
Det är den personuppgiftsansvarige och/eller personuppgiftsbiträdet som ansvarar för att företag följer GDPR, inte dataskyddsombudet. Dessutom är det förbjudet för företag att straffa dataskyddsombudet för att denne gör sitt jobb och därför utför vissa uppgifter. Ombudet ska vara tillgänglig för de registrerade, medarbetare inom verksamheten samt för dataskyddsmyndigehten.
För att vara dataskyddsombud bör man bland annat ha:
– Kunskap om GDPR.
– Förståelse för personuppgiftsbehandlingar och informationssäkerhet.
– Kunskap om företagets kärnverksamhet. Dessutom ska ombudet känna till hur företaget utför sin behandling av personuppgifter. Detsamma gäller de olika säkerhetsåtgärderna, både de tekniska och organisatoriska.
– Förmågan att skapa en dataskyddskultur på företaget.
Observera att högre krav ställs ju mer komplexa behandlingar som avses eller om behandlingen avser mycket känsliga uppgifter.
Dataskyddsombud har en viktig och central roll i företaget samt en oberoende ställning
Dataskyddsombud har en oberoende ställning hos företag. Det innebär att andra på företaget inte ska påverka ombudet vid dennes arbete. Med andra ord får inte ledningen eller andra medarbetare instruera ombudet till hur denne ska sköta sitt arbete. Företaget måste beakta de yttranden som dataskyddsombudet anger. Om företaget väljer att gå emot yttrandet, bör företaget dokumentera beslutet och motivera det.
Skydd mot repressalier
Ett dataskyddsombud har ett skydd mot repressalier. Det innebär att företaget inte kan säga upp ombudet på grund av att denne utför sitt arbete genom att följa dataskyddsförordningen. Företag får inte heller tilldela ombudet sanktioner på grund av detta. Det går inte heller att kringgå sanktionsförbudet genom att utelämna någon förmån, lön eller bonus. Däremot har företaget rätt att säga upp dataskyddsombudet av andra orsaker, såsom till exempel stöld.
Tillåtet att arbeta med andra arbetsuppgifter också
Den som utför arbete i egenskap av dataskyddsombud får arbeta med andra arbetsuppgifter inom företaget också. Däremot är det viktigt att det inte föreligger någon intressekonflikt. Med andra ord får det inte krocka med arbetsuppgifterna som dataskyddsombud. Ett sådant exempel är att dataskyddsombud inte bör inneha en position i ledningen hos företaget.
Företaget måste förse dataskyddsombud med rätt resurser
Det är företaget som ska se till att dataskyddsombudet har de resurser som denne behöver för att kunna sköta sina arbetsuppgifter. Företaget ska till exempel inte ge en arbetsuppgift i sista sekund, som innebär att dataskyddsombudet saknar tid för att kunna utföra arbetsuppgifter ordentligt. Dessutom är det viktigt att ge korrekt och tillräckligt med information, så att ombudet kan utföra uppgifterna utförligt och korrekt.
Mer än bara finansiella resurser
Rätt resurser handlar inte bara om det finansiella, även fast det utgör en del av detta. Det handlar också om att ge tillgång till de anställda och ledningen samt kontor och andra resurser inom verksamhetens infrastruktur som kan vara nödvändiga.
Företag kan välja att ha ett dataskyddsombud, även fast de inte måste enligt regelverket
Även fast inte alla företag behöver utse ett dataskyddsombud enligt regelverket, har de rätt att frivilligt göra det. Det gäller oavsett om företaget är personuppgiftsansvarig eller personuppgiftsbiträde.
Gemensamt dataskyddsombud
Det är möjligt för flera företag att ha ett gemensamt dataskyddsombud, istället för varsitt.
Koncerner kan ha flera dataskyddsombud
När en företagskoncern är verksam i flera länder genom sina företag, är det vanligt att ha flera dataskyddsombud. Detsamma gäller för stora internationella företag som är verksamma i flera länder. I och med att de registrerade måste kunna nå dataskyddsombudet, kan det vara svårt att bara ha ett ombud, i de fall företaget är verksamma i många länder. Däremot är det möjligt och tillåtet att ha ett gemensamt dataskyddsombud, såvida det går att nå ombudet på ett enkelt sätt.
Dataskyddsambassadörer hos större företag
Kommunikation är en viktig del för att kunna följa GDPR, speciellt i större organisationer. När ledningen fattar ett beslut som de behöver kommunicera till medarbetarna, kan det därför vara bra att ha ett effektivt sätt att göra det på. När det gäller frågor om behandlingar av personuppgifter och GDPR är det bra att ha dataskyddsambassadörer på större företag. Dataskyddsambassadörer ska då arbeta med med att kommunicera med medarbetarna inom frågor som rör dataskyddsområdet. På så sätt kan ledningen eller cheferna tala med ambassadörerna, som i sin tur kommunicerar vidare informationen till medarbetarna.
Personuppgiftsansvariga
Enligt GDPR är den part som bestämmer medel och ändamål med behandlingen av personuppgifter den personuppgiftsansvarige. Personuppgiftsansvarig är normalt den organisation (till exempel aktiebolag, stiftelse, förening eller myndighet) som bestämmer för vilka ändamål uppgifterna ska behandlas och hur behandlingen ska gå till. Det är alltså inte chefen på en arbetsplats, en anställd eller någon annan fysisk person som är personuppgiftsansvarig. Men även en fysisk person kan vara personuppgiftsansvarig enligt GDPR, vilket exempelvis är fallet för ägaren av ett bolag i bolagsformen enskild firma.