Det är viktigt att dataskyddsombudet har en oberoende roll inom organisationen. Ofta kan rollen innebära dubbla lojaliteter, då den har en både stöttande och en granskande funktion. Dataskyddsombudet ska både bidra till att lagar och regler efterföljs gällande GDPR samt vara en länk mellan organisationen och Integritetsskyddsmyndigheten (IMY). För att klara av det krävs en hög förståelse för verksamheten och hur ni behandlar personuppgifter.
Tänk på att det inte går att flytta över själva personuppgiftsansvaret till en enskild person även om verksamheten anställer eller anlitar ett dataskyddsombud. Dataskyddsombudet är inte personligen ansvarig för regelefterlevnaden. Ansvaret ligger på den personuppgiftsansvarige, alltså organisationen som juridisk person.
Enligt artikel 39.1 i GDPR ska dataskyddsombudet genomföra ett antal grunduppgifter:
Vill du få en mer fördjupad bild av rollen som dataskyddsombud? Ladda ner vårt faktablad!
En viktig del är att ombudet tar hänsyn till de risker som är förknippade med varje behandling inom organisationen.
I praktiken brukar dataskyddsombudet ofta bli ansvarig för operativa delar såsom att:
Vi rekommenderar att varje verksamhet tar fram en arbetsbeskrivning som konkretiserar förväntningarna som finns på ombudet. Tänk då på att rollen som dataskyddsombud ska vara granskande, likt en revisor. Om hen samtidigt ska utföra arbetet och fatta beslut gällande dataskyddsfrågor kan hen i ett senare skede behöva granska sig själv, vilket inte är lämpligt. Dataskyddsombudet bör därför inte vara den som bestämmer ändamål och medel för en behandling av personuppgifter, till exempel, eller vara den som skriver under ett biträdesavtal.
I djungeln av GDPR är vi gärna er hjälpande hand. Med tjänsten Privacy as a Service får ni en kombination av våra verktyg och rådgivning enligt vår metod Systematiskt dataskyddsarbete (SDA) – innehållandes fyra delar: