Tillbaka till bloggens startsida

Vad ingår i rollen som dataskyddsombud?

30 januari 2024

Dataskyddsombudets främsta funktion är att kontrollera att GDPR följs inom organisationen. I praktiken innebär det en mångfald av arbetsuppgifter och ansvarsområden. Vissa organisationer utser ett dataskyddsombud på grund av rättslig skyldighet, medan andra organisationer kan tillsätta ett dataskyddsombud på frivillig basis. Dataskyddsombudets syfte är att främja efterlevnaden av dataskyddsförordningen samt fungera som en kontaktpunkt för registrerade och tillsynsmyndigheten.

 

Dataskyddsombudets ställning

Dataskyddsombudet kan vara en extern person (konsult) eller intern person (anställd). Dataskyddsombudet kan även bestå med flera personer. Om dataskyddsombudet består av en grupp personer måste det finnas en utvald person som är kontaktperson för gruppen.

Det viktigaste vad gäller dataskyddsombudets ställning är att denne ska kunna utföra sina uppgifter på ett oberoende sätt.1 Rollen som dataskyddsombud ska därför inte riskera att komma i konflikt med andra intressen/arbetsuppgifter. Det betyder att det inte är lämpligt att ett DSO också innehar en position som fattar beslut om personuppgiftsbehandlingar inom organisationen.

Det är möjligt inom en koncern eller inom flera offentliga organ att utse ett gemensamt dataskyddsombud under förutsättning att det har möjlighet att utföra sina arbetsuppgifter. Bland annat med hänsyn till organisationens storlek, struktur och beaktande av DSO:s roll som kontaktpunkt internt, till de registrerade och för tillsynsmyndigheten. Här spelar alltså arbetsbörda och eventuella språkliga barriärer roll. DSO ska kunna kommunicera med registrerade och tillsynsmyndigheten på ett språk som de förstår.2

 

Vem kan vara dataskyddsombud?

Det finns inga formella utbildningskrav för att ta sig an rollen som dataskyddsombud. GDPR anger dock att kunskap och yrkesmässiga kvalifikationer ska vara lämpliga och tillräckliga för att kunna fullgöra sina uppgifter, vilka framgår längre ned i blogginlägget.

Den DSO-undersökning vi genomförde under 2021 visade att jurister och kunniga inom IT och HR vid den tidpunkten var de vanligaste bakgrunder som dataskyddsombud hade. Dessa områden kan generellt sägas vara bra att ha kunskap inom i rollen som DSO. Det kommer alltid finnas en juridisk dimension av DSO-arbetet, men det kräver inte nödvändigtvis att man är jurist. En bra förståelse för organisationen och personuppgiftsbehandlingarna som utförs är givetvis nödvändigt och värdefullt.

 

Dataskyddsombudets roll

 

Rådgivning och utbildning

Dataskyddsombudet bör vara en kunskapsresurs inom dataskyddsfrågor och bistå organisationen med råd och vägledning om hur man uppfyller kraven i GDPR. Det kan exempelvis innebära att utbilda personalen om deras skyldigheter och rättigheter, eller att ge riktlinjer för lagenlig behandling av personuppgifter.

 

Övervakning av efterlevnad

Ansvarsskyldigheten är en grundläggande princip enligt GDPR. Dataskyddsombudet ska regelbundet övervaka och granska organisationens efterlevnad av dataskyddslagstiftningen. Kontrollen kan inkludera att genomföra interna revisioner, övervaka och utvärdera dataskyddsåtgärder samt se till att organisationen har adekvata processer och rutiner på plats.

 

Bistå vid konsekvensbedömningar

GDPR lyfter särskilt fram att det ingår i dataskyddsombudets roll att på begäran ge råd vad gäller konsekvensbedömningar och övervaka genomförandet av sådana. Vi har skrivit flera blogginlägg om konsekvensbedömningar som ni kan kika på om ni vill veta mer! Vi har även skapat en guide för hur man smidigt genomför och dokumenterar en konsekvensbedömning, som ni hittar på GDPR Hero:s startsida.

 

Kontakt med integritetsskyddsmyndigheten

Dataskyddsombudet fungerar som en kontaktperson mellan organisationen och tillsynsmyndigheten. Ombudet bör vara medveten om rapporteringskrav och vara beredd att samarbeta med myndigheten vid behov, till exempel vid personuppgiftsincidenter eller tillsynsärenden. För att säkerställa en smidig tillsyn och minimera risken för potentiella sanktioner eller rättsliga konsekvenser, är det viktigt för organisationen att ha en proaktiv inställning till dataskydd och efterlevnad vilket dataskyddsombudet kan överse.

 

Förstå organisationens verksamhet

För att effektivt kunna rådgöra och övervaka efterlevnad av dataskyddslagstiftningen är det viktigt att ha en djup förståelse för den aktuella organisationens verksamhet. DSO kan exempelvis delta i möten med olika avdelningar och involvera sig i projekt och beslutsfattande processer för att bilda sig förståelse för hur personuppgifter behandlas och flödar inom organisationen. Här är det viktigt att tänka på att DSO alltså både ska ha tillräcklig kunskap i förhållande till dataskyddslagstiftningen och organisationen i sig. Det innebär att ju mer omfattande och komplexa organisationens personuppgiftsbehandlingar är, desto högre krav uppställs det på DSO:s insyn och relevanta kunskap.

 

Hålla sig uppdaterad

Dataskyddslagstiftningen, rättspraxis och riktlinjer för efterlevnad förändras över tid. Det är därför nödvändigt att hålla sig kontinuerligt uppdaterad om de senaste bestämmelserna och rättsfallen som påverkar dataskyddsområdet. Det kan vara värdefullt att prenumerera på nyhetsbrev, delta i fortbildningar och följa relevanta myndigheter och organisationer för att vara i framkant. Ett bra tips är att följa den här bloggen (skriv upp dig på vår bloggnotis längst ner på sidan).

 

Sammanfattning

Sammanfattningsvis spelar dataskyddsombudet en viktig roll i att säkerställa efterlevnaden av dataskyddslagstiftning inom många organisationer, vare sig det följer av lagkrav att utse ett dataskyddsombud, eller på frivillig basis. Uppdraget som DSO är mångfacetterat och kräver både gedigen kunskap om dataskyddslagstiftning samt om organisationen uppdraget som DSO utförs för.

Är ni i behov av ett externt dataskyddsombud rekommenderar vi att ni kontaktar oss på GDPR Hero! Vi har erfarenhet av rollen som externt dataskyddsombud för en mängd olika organisationer inom både privat och offentlig verksamhet! Boka ett kostnadsfritt möte med oss här!

 

Fredrik Sedvall

info@gdprhero.se

046-2731717

Fotnoter

  1. GDPR skäl 93.
  2. WP 243 Riktlinjer om dataskyddsombud s. 12; GDPR art. 12.1.
Innehållet i denna blogg är allmän information och är inte att betrakta som juridisk rådgivning.

Andra relevanta blogginlägg

Få notifikation direkt när nya inlägg publiceras

Prenumerera på bloggnotis
Vi behandlar endast din e-postadress för att skicka notiser. Integritetspolicy.