I och med att dataskyddsförordningen (GDPR) ska tillämpas från och med den 25 maj 2018 måste det i vissa fall utses ett dataskyddsombud (tidigare personuppgiftsombud). Dataskyddsombudets roll består i huvudsak att kontrollera om GDPR följs inom organisationen.

Datainspektionen rekommenderar:

Även om ni inte måste ha ett dataskyddsombud kan det vara bra för er organisation att ha ett, exempelvis för att skapa ordning och reda i arbetet med personuppgifter. Det kan också skapa förtroende hos de registrerade, era kunder. Från Datainspektionen kan en vilja genomlysas att en organisation bör ha ett dataskyddsombud.

Från och med den 15 mars 2018 kommer Datainspektionen att öppna upp för att skicka in kontaktuppgifter angående organisationens dataskyddsombud. Tidigare register om personuppgiftsombud kommer Datainspektionen att avveckla. Har därför organisationen ett personuppgiftsombud som kommer agera som dataskyddsombud efter den 25 maj 2018 måste därför kontaktuppgift om denna skickas in. Organisationen måste dock ha klart för sig att personen i fråga kommer uppfylla de nya lagställda kraven och utföra sin roll som dataskyddsombud i enlighet med det som stadgas i GDPR.

Höga krav på ett dataskyddsombud

Det ställs höga krav på dataskyddsombudets kompetens inom området och organisationen, men samtidigt ställs även höga krav i lagstiftningen på organisationens stöd till dataskyddsombudet vad gäller resurser och upprätthållandet av dennes sakkunskap. Enligt Datainspektionen ska dataskyddsombudet ha kunskap om dataskyddslagstiftning samt hur den tillämpas nationellt och inom EU. Det finns en uppstapling i GDPR, och även från Datainspektionen, om vilka uppgifter ett dataskyddsombud minst ska utföra och ansvara för. Kraven som beskrivs i lagstiftningen, och som även Datainspektionen beskriver det i sina vägledningar, torde förutsätta att någon juridiskt bildad innehar uppdraget som dataskyddsombud. Att personen i fråga annars kan anses ha ”djupgående kunskap om dataskyddsförordningen” kräver i sådant fall en lång vedertagen yrkeserfarenhet inom området.

Ett dataskyddsombuds uppgifter (som beskrivs i art. 39 GDPR) ska minst ha följande uppgifter:

·       Informera och ge råd till den personuppgiftsansvarige eller personuppgiftsbiträdet och de anställda som behandlar om deras skyldigheter enligt denna förordning och andra av unionens eller medlemsstaternas dataskyddsbestämmelser.

·       Övervaka efterlevnaden av dataskyddsförordningen, av andra av unionens eller medlemsstaternas dataskyddsbestämmelser och av den personuppgiftsansvariges eller personuppgiftsbiträdets strategi för skydd av personuppgifter, inbegripet ansvarstilldelning, information till och utbildning av personal som deltar i behandling och tillhörande granskning.

·       På begäran ge råd vad gäller konsekvensbedömningen avseende dataskydd och övervaka genomförandet av den enligt artikel 35 i dataskyddsförordningen

·       Samarbeta med tillsynsmyndigheten.

·       Fungera som kontaktpunkt för tillsynsmyndigheten i frågor som rör behandling, inbegripet det förhandssamråd som avses i artikel 36 i dataskyddsförordningen, och vid behov samråda i alla andra frågor.

·       Dataskyddsombudet ska vid utförandet av sina uppgifter ta vederbörlig hänsyn till de risker som är förknippade med behandling, med beaktande av behandlingens art, omfattning, sammanhang och syften.

Datainspektionen har även gått ut med att det är viktigt att dataskyddsombudet besitter följande kunskaper:

·       Djupgående kunskap om dataskyddsförordningen

·       Kunskap om dataskyddslagstiftning och hur den tillämpas nationellt och i EU

·       Kunskap om organisationens IT-system, datasäkerhet och dataskyddsbehov

·       Kunskap om affärssektorn eller myndighetsregleringen och organisationen i fråga

·       Förståelse av hur personuppgifter behandlas i organisationen

·       Förmåga att främja en dataskyddskultur inom organisationen.

I det fall denna kompetens inte finns i organisationen, är för kostsam eller av annan anledning inte föranleder till en rekrytering kan dataskyddsombudsrollen med fördel utkontrakteras.

Dahlgren & Partners kan utgöra organisationens dataskyddsombud, vi kan även kortsiktigt fungera som dataskyddsombud för att en anställd efter en viss tid ska överta rollen som dataskyddsombud. I vår roll som advokatfirma, ingår att hela tiden försäkra sig om att vi alltid tillhandahåller rätt lösning till klienten under de förutsättningar som finns för den tiden.

Dahlgren & Partners specialistkompetens och advokatetiska krav gör att vi utan tvekan kommer hantera dataskyddsombudsrollen med högsta kvalité och som är bäst för klienten.

Kontakta oss