I och med att dataskyddsförordningen (GDPR) ska tillämpas från och med den 25 maj 2018 måste det i vissa fall utses ett dataskyddsombud (tidigare personuppgiftsombud). Dataskyddsombudets roll består i huvudsak att kontrollera om GDPR följs inom organisationen.
Dataskyddsombudet kommer även fungera som spindeln i nätet vad gäller kontakt med allt från anställda i organisationen till Datainspektionen och de registrerade vars personuppgifter organisationen behandlar. Det kan med fördel vara så att en koncern utser ett gemensamt dataskyddsombud för att just tydligöra och effektivisera hanteringen och kompetensen.
Även fast inte alla organisationer enligt lag måste ha ett dataskyddsombud rekommenderar Datainspektionen på flertalet ställen på bl.a. deras hemsida att organisationerna ändå tillsätter ett dataskyddsombud. Sådana uttalanden kan tala för att beslutet om att tillsätta ett dataskyddsombud, dennes kompetens och arbete, kommer vara föremål för en granskning.
Det ställs höga krav på dataskyddsombudets kompetens inom området och organisationen, men samtidigt ställs även höga krav i lagstiftningen på organisationens stöd till dataskyddsombudet vad gäller resurser och upprätthållandet av dennes sakkunskap. Detta är i sig intressant och inte ett slumpartat uttryck att det gäller ”upprätthållandet av dataskyddsombudets sakkunskap” eftersom ett dataskyddsombud förutsätts vara insatt och ha djupgående kunskap om GDPR. Enligt Datainspektionens hemsida ska även dataskyddsombudet ha kunskap om dataskyddslagstiftning och hur den tillämpas nationellt och inom EU. Det finns en uppstapling i GDPR, och även från Datainspektionen, om vilka uppgifter ett dataskyddsombud minst ska utföra och ansvara för. Denna är omfattande och enligt min mening krävande.[1]
Enligt min förmenande har vanligtvis en ambitiös (men inte specialist) medarbetare tagit på sig ansvaret och förtroendet i organisationen att agera som dataskyddsombud (tidigare personuppgiftsombud). Den rollen kan nu ifrågasättas från både det nuvarande ombudet och organisationen i sig. Kraven som beskrivs i lagstiftningen, och som även Datainspektionen beskriver det i sina vägledningar och på sin hemsida (se exempelvis Om dataskyddsombud i förordningen – med Datainspektionens kommentarer), torde förutsätta att någon juridiskt bildad innehar uppdraget som dataskyddsombud. Att personen i fråga annars kan anses ha ”djupgående kunskap om dataskyddsförordningen” kräver i sådant fall en lång vedertagen yrkeserfarenhet inom området.
Det är även fråga om det nuvarande ombudets omfattning i tid. I dagens läge skulle det lite slarvigt kunna antas att det sällan har varit en persons enda uppgift att granska och kontrollera organisationens personuppgiftsbehandling och regelefterlevnad av sådan relevant lagstiftning.
GDPR kommer därför enligt min mening ändra organisationens resurshantering och rekrytering gällande den här typen av tjänster. De organisationer som endast hade tänkt att låta den ”ambitiösa medarbetaren” fortsätta som tidigare bör därför rimligtvis tänka om, eller i vart fall utvärdera om personen i fråga kan tänkas uppfylla de krav som ställs, och, om personen i fråga kan tänkas ändra sin arbetsbeskrivning på det sättet att större delen av arbetet kommer läggas på arbetet med GDPR.
I det fall kompetensen inte finns i organisationen och denna är för dyr eller av annan anledning inte föranleder till en rekrytering kan dataskyddsombudsrollen med fördel utkontrakteras. Detta är tillåtet enligt GDPR och är min rekommendation till de organisationer som känner att behovet finns av hjälp.
Inledningsvis ställdes frågan om arbetsgivare kommer behöva anställa minst en bolagsjurist som dataskyddsombud efter den 25 maj 2018. Med det anförda är inte den huvudsakliga meningen att skrämma upp alla organisationer. Det är däremot meningen att alla organisationer ska veta vad som i lag krävs; om denna verklighet senare skrämmer organisationerna kan inte jag svara för. Svaret är enligt min mening ja, i vart fall indirekt. Eftersom stor krav ställs på kunskap om lagstiftning behövs en juridiskt bevandrad person.
Har organisationen redan en anställd som genom viss korrigering av tidigare arbetsuppgifter kan utgöra organisationens dataskyddsombud behövs ingen nyanställning av en bolagsjurist. I den bästa av världar kan organisationen göra på detta sätt. Att kompetensen dock, enligt min mening, är att likställa med en bolagsjurist gör att man indirekt behöver en bolagsjurist som dataskyddsombud. De andra organisationerna som inte har denna kompetens internt behöver göra kalkylen och analysen om nyrekrytering eller inte.
Allt med anställning kräver ett visst åtagande för en organisation. Om detta genom vissa överväganden är det mest förmånliga kommer självklart organisationen välja detta. Det kan dock behövas konsulthjälp för att veta hur mycket arbete, tid och resurser ett dataskyddsombud skulle behöva i organisationen. I sådant fall kan D&P vara till hjälp.
Är arbetet av sådan art att organisationen därefter kan nyanställa någon med rätt kompetens, till rätt pris och inom rätt tidshorisont finns självklart fördelar med detta. Likaså om inte detta kan nås eller inryms i organisationen kan D&P utgöra organisationens dataskyddsombud. D&P kan även kortsiktigt fungera som dataskyddsombud för att en anställd efter en viss tid ska överta rollen som dataskyddsombud.
En advokatbyrås specialistkompetens och advokatetiska krav om att ALLTID sätta klientens intresse i första rummet gör att D&P utan tvekan kommer hantera dataskyddsombudsrollen med högsta kvalité.
[1] Ett dataskyddsombuds uppgifter (som beskrivs i art. 39 GDPR) ska MINST ha följande uppgifter: •”Att informera och ge råd till den personuppgiftsansvarige eller personuppgiftsbiträdet och de anställda som behandlar om deras skyldigheter enligt denna förordning och andra av unionens eller medlemsstaternas dataskyddsbestämmelser. •Att övervaka efterlevnaden av denna förordning, av andra av unionens eller medlemsstaternas dataskyddsbestämmelser och av den personuppgiftsansvariges eller personuppgiftsbiträdets strategi för skydd av personuppgifter, inbegripet ansvarstilldelning, information till och utbildning av personal som deltar i behandling och tillhörande granskning. •Att på begäran ge råd vad gäller konsekvensbedömningen avseende dataskydd och övervaka genomförandet av den enligt artikel 35. •Att samarbeta med tillsynsmyndigheten. •Att fungera som kontaktpunkt för tillsynsmyndigheten i frågor som rör behandling, inbegripet det förhandssamråd som avses i artikel 36, och vid behov samråda i alla andra frågor. Dataskyddsombudet ska vid utförandet av sina uppgifter ta vederbörlig hänsyn till de risker som är förknippade med behandling, med beaktande av behandlingens art, omfattning, sammanhang och syften”; Datainspektionen har även gått ut med att följande krav är viktigt att dataskyddsombudet besitter: •”djupgående kunskap om dataskyddsförordningen •kunskap om dataskyddslagstiftning och hur den tillämpas nationellt och i EU •kunskap om organisationens it-system, datasäkerhet och dataskyddsbehov •kunskap om affärssektorn eller myndighetsregleringen och organisationen i fråga •förståelse av hur personuppgifter behandlas i organisationen •förmåga att främja en dataskyddskultur inom organisationen.”
Den 22 juni 2016 publicerade Finansdepartementet (FiDep) en uppdragsbeskrivning till sakkunnig om…
Läs merVi rapporterade i förra nyhetsbrevet att en departementsskrivelse med titeln ”Jämställda pensioner?”…
Läs merRiksdagens pensionsgrupp med Göran Hägglund och Göran Johnsson i spetsen, har fört…
Läs mer