Vad gör ett dataskyddsombud?
Det är viktigt att dataskyddsombudet har en oberoende roll inom organisationen. Ofta kan rollen innebära dubbla lojaliteter, då den har en både stöttande och en granskande funktion. Dataskyddsombudet ska både bidra till att lagar och regler efterföljs gällande GDPR samt vara en länk mellan organisationen och Integritetsskyddsmyndigheten (IMY). För att klara av det krävs en hög förståelse för verksamheten och hur ni behandlar personuppgifter.
Tänk på att det inte går att flytta över själva personuppgiftsansvaret till en enskild person även om verksamheten anställer eller anlitar ett dataskyddsombud. Dataskyddsombudet är inte personligen ansvarig för regelefterlevnaden. Ansvaret ligger på den personuppgiftsansvarige, alltså organisationen som juridisk person.
Dataskyddsombudets grunduppgifter
Enligt artikel 39.1 i GDPR ska dataskyddsombudet genomföra ett antal grunduppgifter:
- Ge information och råd till organisationen om dess skyldigheter enligt relevant dataskyddslagstiftning.
- Övervaka och se till att organisationen följer såväl gällande lagar och regler som organisationens egna strategier.
- Ge råd om och övervaka konsekvensbedömningar avseende dataskydd
- Samarbeta med och vara kontaktpunkt för IMY eller annan relevant tillsynsmyndighet.
Vill du få en mer fördjupad bild av rollen som dataskyddsombud? Ladda ner vårt faktablad!
En viktig del är att ombudet tar hänsyn till de risker som är förknippade med varje behandling inom organisationen.
I praktiken brukar dataskyddsombudet ofta bli ansvarig för operativa delar såsom att:
- initiera, revidera och följa upp arbetet med dataskyddsfrågor
- samordna registerförteckningen
- stötta i arbetet med att ta fram rutiner och riktlinjer för verksamheten
- initiera analysarbetet och delta i konsekvensbedömningar (DPIA)
- vara med och ta fram biträdesavtal när det behövs
- hantera personuppgiftsincidenter
Vi rekommenderar att varje verksamhet tar fram en arbetsbeskrivning som konkretiserar förväntningarna som finns på ombudet. Tänk då på att rollen som dataskyddsombud ska vara granskande, likt en revisor. Om hen samtidigt ska utföra arbetet och fatta beslut gällande dataskyddsfrågor kan hen i ett senare skede behöva granska sig själv, vilket inte är lämpligt. Dataskyddsombudet bör därför inte vara den som bestämmer ändamål och medel för en behandling av personuppgifter, till exempel, eller vara den som skriver under ett biträdesavtal.
Känns det svårt? Vi hjälper er!
I djungeln av GDPR är vi gärna er hjälpande hand. Med tjänsten Privacy as a Service får ni en kombination av våra verktyg och rådgivning enligt vår metod Systematiskt dataskyddsarbete (SDA) – innehållandes fyra delar:
- Nulägesanalys av ert GDPR-arbete
- Identifiering av riskområden
- Åtgärdsförslag och rekommendationer av DSO-certifierad projektledare
- Kontinuerlig uppföljning