Varför behöver man ett dataskyddsombud?

Den nya dataskyddsförordningen GDPR ställer höga krav på skyddet och hanteringen av personuppgifter men den ställer även krav på ett dataskyddsombud hos vissa verksamheter.

Var behövs dataskyddsombudet?

Ett dataskyddsombud skall finnas hos:

  • Myndigheter och offentliga organ
  • I organisationer som behandlar stora mängder personuppgifter
  • I de organisationer som behandlar känsliga personuppgifter

Även om GDPR inte kräver att man måste ha ett dataskyddsombud kan det vara bra för en organisation att ha ett, exempelvis för att skapa ordning och reda i arbetet med personuppgifter. Det kan också skapa förtroende hos de registrerade, era kunder. Det kan i sin tur ge fördelar i konkurrensen med andra organisationer.

Vad kan ett dataskyddsombud?

Ett dataskyddsombud måste leva upp till tuffa kompetenskrav, såsom:

  • Vara juridiskt insatt
  • Hög kunskap om GDPR och andra lagar gällande integritetsskydd
  • Hög allmän IT-kompetens
  • Väl insatt inom teknik, IT- och informationssäkerhet
  • Förstå organisationens verksamhet
  • Erfarenhet från förändringsledning
  • Senior profil, med förmågan att röra sig obehindrat inom olika delar av organisationen

Vad gör ett dataskyddsombud?

Vad gäller de huvudsakliga arbetsuppgifter som åligger dataskyddsombudet, handlar det övergripande om att säkerställa att organisationen lever upp till GDPR och andra lagkrav gällande integritet och skydd av personuppgifter. I syfte att uppnå detta övergripande mål, har vi här listat ett antal uppgifter som åligger dataskyddsombudet:

  • Rådgivning, konsultation och konsekvensbedömning inför lagring och behandling av personuppgifter, t ex vid utvecklingsprojekt eller liknande.
  • Information, utbildning och kompetensöverföring.
  • Kontroll granskning och revision.
  • Att vara utpekad kontakt mot myndigheter och dem vars uppgifter finns registrerade.

Varför anlita ett externt dataskyddsombud?

Det kan vara svårt att hitta en individ som uppfyller de krav som ställs på ett dataskyddsombud, så det kan det vara lämpligt att anlita en extern part, som tar på sig denna roll.

I de fall organisationen ingår i en större koncern, där ett centralt dataskyddsombud redan finns tillsatt, kan det istället vara klokt att utse en privacy coordinator (också kallad dataskyddskoordinator). Tanken med denna roll är att stötta det centrala dataskyddsombudet, med lokal kompetens, och också att vara ansvarig för att koncerngemensamma dataskyddsrutiner och riktlinjer införs lokalt. Även i detta fall kan det vara lämpligt att anlita en extern part, som kliver in i denna roll.

Oavsett om man ämnar tillsätta ett dataskyddsombud eller en dataskyddskoordinator, är det av yttersta vikt, att denna person kan agera oberoende kopplat till den organisation man företräder. Genom att använda sig av en extern part, undviker man ett potentiellt bekymmer med att den individ som innehar någon av dessa roller, hamnar i en konflikt- eller beroendeställning.

Vill du veta mer?

Om ni har funderingar kring integritet, dataskydd, eller GDPR, kan vi på Cygate stötta er gällande dessa frågeställningar.*

Kontaktuppgifter:
Fredrik Börjesson
fredrik.borjesson@cygate.se
Tel: 072 509 86 31

*Cygates konsulter utför inte legal rådgivning. Vi samarbetar med kundens egna jurister eller samarbetspartner.