Analys
Tre frågor om dataskyddsombud
Publicerad: 2023-07-12
Bakgrund
I maj fyllde Dataskyddsförordningen (”GDPR”) fem år. I samband med att GDPR trädde i kraft var det många organisationer som behövde se över och dokumentera hanteringen av personuppgifter om sina anställda, kunder och leverantörer samt vissa fall utse ett dataskyddsombud. Den Europeiska Dataskyddsstyrelsen har under 2023 lanserat en koordinerad insats för tillsyn av dataskyddsombudets roll. I början av juni 2023 meddelade Integritetsskyddsmyndigheten (”IMY”) att de valt ut ett 40-tal organisationer och myndigheter, där dataskyddsombudets roll särskilt kommer granskas. Totalt har ett trettiotal frågor ställts till de utvalda organisationerna för att kontrollera efterlevnaden av GDPR. Frågor som ställts till organisationerna rör bland annat hur dataskyddsombudet utsetts, dess meriter samt vilken ställning och oberoende som dataskyddsombudet har i sin roll. Med anledning av den senaste utvecklingen delar vi inom Deloitte Legals Technology Law-grupp med oss av tre av de viktigaste frågorna om dataskyddsombud. *
Vad gör ett dataskyddsombud?
Ett dataskyddsombud är en oberoende part vars uppgift är att ge råd till organisationen när personuppgifter behandlas, övervaka organisationens efterlevnad av GDPR och konsultera vid organisationens konsekvensbedömningar. Dataskyddsombudet ska även fungera som kontaktpunkt med dataskyddsmyndigheter (i Sverige, IMY) och samarbeta med myndigheter i alla frågor som rör skydd för personuppgifter.
Vilka privata organisationer behöver utse ett dataskyddsombud?
För privata organisationer finns det bestämmelser i dataskyddsförordningen som är avgörande om i bedömningen av om ett dataskyddsombud behöver utses eller inte. Ett dataskyddsombud ska utses i de fall där kärnan av verksamhetsmodellen innefattar behandling av personuppgifter i stor omfattning, där organisationen behandlar särskilt känsliga personuppgifter eller om organisationens behandling innefattar en regelbunden och systematisk övervakning av personer. Även privata organisationer vars kärnverksamhet består av att behandla uppgifter som rör fällande domar i brottmål och lagöverträdelser behöver utse ett dataskyddsombud. I många fall kan ett dataskyddsombud utses på koncernnivå.
Vem kan vara dataskyddsombud?
Dataskyddsombud kan vara en person inom organisationen som utför ovanstående uppgifter på hel- eller deltid. Rollen kan även innehas av en extern part. Något som är viktigt att tänka på om man utser ett dataskyddsombud är dess oberoende från resten av verksamheten. Dataskyddsombudet ska fungera som en granskande part för dataskyddsarbetet. Detta innebär bland annat att dataskyddsombudet inte ska granska dokument, rutiner och processer som denne själv har upprättat. En VD kan inte heller anses vara i en sådan oberoende ställning som krävs för ett dataskyddsombud.
Avslutning
Vi på Deloitte utgör dataskyddsombud för ett flertal organisationer som önskar hjälp från en oberoende och extern part. Som dataskyddsombud tillsätter vi ett kombinerat team av erfarna jurister och informationssäkerhetsexperter för att ta ett helhetsgrepp om dataskyddsfrågorna. Vi bistår bland annat med internrevisioner, utreder personuppgiftsincidenter och hjälper till att reda ut specifika dataskyddsfrågor.
Är ni osäkra på om er organisation behöver ha ett dataskyddsombud, om ni har ”rätt person för rollen” eller behöver ni kanske följa upp de rutiner och processer som sattes på plats för några år sedan? Vi på Deloitte har bred kompetens inom både juridik och informationssäkerhet och delar gärna med oss av våra tips och erfarenheter. Kontakta oss gärna för ytterligare information.
*Informationen ska vare sig ses som uttömmande eller rådgivande.
Kontakta oss
