I takt med att den nya dataskyddsförordningen närmar sig ser vi samtidigt att allt fler ställer sig frågorna: ska ett dataskyddsombud utses? Och vem ska axla den rollen?

Det är därför hög tid att prata om artikel 37.

Den nya dataskyddsförordningen, GDPR, är fylld med nya krav. Förordningens artikel 37 stipulerar vilka organisationer och verksamheter som måste utse ett dataskyddsombud.

Så. Vilka organisationer måste utse ett dataskyddsombud?

Företag och organisationer vars kärnverksamhet bygger på att regelbundet och systematiskt och i stor omfattning övervaka, ta in och behandla personuppgifter och särskilt personuppgifter av känslig art bör i regel utse ett ombud. En så kallad data protection officer. En DPO.

Oaktat om ni kommer fram till att ni omfattas av förordningens artikel 37 bör ni dokumentera ert beslut och motiveringen bakom den.

DSC_0857Okej. Vad är ett dataskyddsombud?

Ett dataskyddsombud, eller data protection officer, har en compliance-funktion för verksamhetens dataskyddsefterlevnad. En organisation kan antingen utse ett ombud internt eller externt.

Ombudet har i uppdrag att kartlägga er verksamhets personuppgiftsbehandling och säkerställa att er organisation agerar i enlighet med förordningens bestämmelser. Dessutom fungerar hen som kontaktperson mot Datainspektionen och de registrerade.

Och även om rollen innebär att agera compliance och rådgivande bär ombudet inte något ansvar för organisationens faktiska regelefterlevnad. Det är alltid ni som personuppgiftsansvarig eller biträde som slutligen har i uppdrag att säkerställa att reglerna faktiskt efterlevs på alla nivåer inom verksamheten.

Andemeningen med denna nya roll är att skapa broar mellan teknologi, regelefterlevnad, innovation och marknadsföring.

Med andra ord ska ombudet:

– leda organisationens förändringsarbete vad avser organisationens övergripande strategi.

– leva upp till kompetenskraven såsom fördjupad kunskap och expertis inom GDPR samt nationell och EU-lagstiftning.

– ha juridiska kunskaper för att kunna leva upp till rollen.

Sammanfattningsvis är ombudets självständighet därför A & O. Det är därför inte lämpligt att DPO:n har uppdrag på till exempel ledningsnivå som kan leda till intressekonflikt i dess arbete eller förhållningssätt mot organisationen och dess högsta förvaltningsgrupp. Datainspektionen ser nämligen mycket allvarligt på en eventuell intressekonflikt hos ombudet vilket kan leda till höga böter och sanktioner. Till exempel bötfällde den bayerska datainspektionen ett tysk företag då organisationen utsett sin IT-chef till DPO.

Även om er organisation formellt inte är förpliktade att utse ett dataskyddsombud vill jag påstå att ni ändå bör överväga att ha ett ombud för att säkerställa compliance i er personuppgiftshantering. Utöver detta är det även fördelaktigt ur ett konkurrensperspektiv då det skapar förtroende för era kunder.