Få har nog undgått att den nya dataskyddsförordningen GDPR träder i kraft i Sverige i maj 2018. Lagen omfattar alla företag, myndigheter och ideella organisationer och att inte följa de nya bestämmelserna riskerar att ge stora ekonomiska konsekvenser.
GDPR innebär flera nya krav och regler att ta hänsyn till. En nyhet för Sverige är ett starkare krav på en formellt utsedd granskningsfunktion, ett så kallat dataskyddsombud eller en DPO (efter engelskans Data Protection Officer). De flesta har hört talas om denna funktion men relativt få har koll på vad den egentligen innebär. Den högst väsentliga frågan “Vad gör en DPO?” tänkte vi därför svara på i detta blogginlägg.

Vad gör en DPO (eller dataskyddsombud)?

En DPO’s främsta uppgift är att säkerställa att personuppgifter behandlas på ett korrekt och lagligt sätt inom den egna organisationen. Det innebär alltså att personen i fråga ska kontrollera att organisationen arbetar i linje med de bestämmelser som finns i personuppgiftslagen och i anknytande lagstiftning. Denna person ska även se till att det finns tydliga processer för de krav som den registrerade kan ha laglig rätt till. Detta i sin tur minskar riskerna för fel och därigenom skadeståndskrav och andra extra kostnader för organisationen.

Typiska arbetsuppgifter för en DPO är:

  • • Samla in information om hur organisationen behandlar personuppgifter
  • • Se till att organisationen följer bestämmelser och interna styrdokument
  • • Informera och ge råd inom organisationen
  • • Ge råd om konsekvensbedömningar
  • • Samarbeta med Datainspektionen, till exempel vid inspektioner
  • • Kontaktperson, dvs vara tillgänglig med namn och kontaktuppgifter, för fysiska personer som önskar kontakt med organisationen som man företräder i rollen som DPO.

Förutom att kontrollera att behandlingen av personuppgifter sker i enlighet med dataskyddsförordningen kan en DPO även fungera som kontaktperson mot tillsynsmyndigheten och “spindeln i nätet” mellan olika enheter inom organisationen.

Kan vem som helst bli DPO?

Den främsta regeln som avgör vem som kan ges titel DPO är att detta måste vara en fysisk person. Med andra ord kan inte rollen som DPO tilldelas ett bolag eller annan juridisk person. Även om det i nuläget inte ställs några formella krav behöver personen i fråga ha goda kunskaper om dataskyddsförordningens regler och hur personuppgifter behandlas inom organisationen.
Även om DPOn kan vara anställd inom den egna organisationen väljer många organisationer och företag väljer att istället anlita en extern DPO på konsultbasis. Detta hjälper organisationen att på ett effektivt sätt trygga DPO-rollens självständighet och objektivitet. Uppdraget behöver inte vara på heltid utan dess omfattning styrs av de insatser som krävs för att organisationen ska kunna verka enligt GDPR, det vill säga att DPOn i fråga har tid och resurser nog för att kunna utföra sitt uppdrag.

Måste alla organisationer tillsätta en DPO?

Enligt GDPR är offentliga myndigheter och enheter skyldiga att utse en DPO. Detta gäller även privata företag och organisationer vars kärnverksamhet helt eller delvis går ut på att regelbundet och systematiskt övervaka individer (all form av profilering på internet) eller behandla känsliga personuppgifter (såsom t.ex. hälsodata) i en stor skala.
Även om alla organisationer alltså inte har en lagstadgad skyldighet att utse en DPO kan det ändå vara klokt för att säkerställa att behandlingen av personuppgifts utgörs i enlighet med GDPRs bestämmelser. Om inte annat kan det vara en bra idé att dokumentera hur denna bedömning har gjorts för att säkerställa att beslut att inte ute en DPO har fattats i linje med GDPR.

För dig som vill ha mer information:

Datainspektionen | Om personuppgiftsombund

Datainspektionen | Mer om personuppgiftsombud