Fråga: Måste vi utse någon till DPO och hur ska den rollen i så fall se ut? Vad ansvarar DPO:n för?

Svar: En DPO, eller på svenska Dataskyddsombud, måste utses i vissa fall. Enligt GDPR-förordningen skall en DPO utses om:

  • personuppgiftsbehandlingen utförs av en myndighet eller ett offentligt organ (dock ej domstolar i deras dömande verksamhet)
  • den personuppgiftsansvariges eller personuppgiftsbiträdets kärnverksamhet består av personuppgiftsbehandling som kräver regelbunden och systematisk övervakning av de registrerade i stor omfattning eller
  • den personuppgiftsansvariges eller personuppgiftsbiträdets kärnverksamhet består av behandling i stor omfattning av så kallade känsliga personuppgifter eller brottsuppgifter.

Konkret så ska alla myndigheter och offentliga verksamheter utse en DPO. I övriga fall så måste en bedömning göras. Nyckelord för denna bedömning är ”regelbunden och systematisk övervakning”, ”stor omfattning” och ”känsliga personuppgifter”. Är dessa nyckelord något som passar in på din organisation så bör ni ta tag i frågan och utse en DPO.

Men vad ska en DPO göra? Vilket mandat och ansvar har personen?

Det är personuppgiftsansvariges och personuppgiftsbiträdets ansvar att försäkra sig om dataskyddsombudets ”aktiva deltagande” och att hen har tillgång till de resurser som krävs samt att dataskyddsombudet har en stor grad av självständighet. Dataskyddsombudet skall:

  • Ha direkt tillgång till högsta ledningen
  • Säkerställa att registrerade har tydlig tillgång till dataskyddsombudet
  • Vara bunden av sekretess
  • Säkerställa att ingen intressekonflikt finns som härrör från ytterligare uppgifter eller uppdrag, vilket gör det olämpligt att tilldela rollen till t.ex. IT-ansvarig

Uppgifterna som dataskyddsombudet ansvarar för beskrivs i artikel 39 på följande sätt:

  • To inform and advise.
  • To monitor compliance.
  • To provide advice with regard to data protection impact assessments.
  • To cooperate and liaise with the supervisory authority.
  • To be a point of contact for data subjects.

The DPO must have due regard to risk associated with processing operations.

Dataskyddsombud är med andra ord en bred roll med stort fokus på att hjälpa organisationen agera i enlighet med GDPR. Bl.a. genom rådgivning, utbildning, kravställning och som kontaktperson.

Större och mer komplexa organisationer kan komma att behöva sätta upp grupperingar med flera personer för att kunna hantera arbetsbördan. Mindre eller medelstora organisationer kan komma att behöva tillsätta en DPO med en arbetsbörda som inte är så hög att en heltidstjänst behövs. Detta samt kravet på att DPO:n inte skall hamna i en ”intressekonflikt som härrör från ytterligare uppgifter eller uppdrag” gör att det kan vara lämpligt att köpa tjänsten on-demand av extern part.

Behöver ni hjälp med att komma i mål med GDPR-förberedelserna?

Cloudonline, f.d. Systemstrategerna, har nu tagit fram en skräddarsydd kurs, GDPR-akuten. Under en 4 timmars workshop varvas teori och praktik och tillsammans går vi igenom betydelsen av GDPR för just ert företag. Vi förklarar även hur ni kommer att påverkas av de nya kraven samt vilka verktyg ni kan använda för att genomföra arbetet på ett effektivt sätt. Målet med denna intensivkurs är att ni snabbt ska kunna anpassa er verksamhet till de nya kraven.

Läs mer och boka er här!