Om ni tillhör en av de organisationer som kommer att behöva tillsätta en DPO är det viktigt att du väljer en person som är väl kvalificerad för uppdraget. Även om det i nuläget inte ställs några formella krav behöver personen i fråga besitta en viss typ av kompetens och erfarenhet för att kunna hantera rollen som DPO på ett bra sätt. Men hur vet man vilken person som är lämpad att anta rollen som DPO?
DPO, på svenska dataskyddsombud, är en roll som vi kommer se mer av i och med införandet av GDPR i maj 2018. DPO:n kommer att ha en kritisk roll för er verksamhets dataskyddsarbete och personen ska fungera som en länk mellan företaget och Datainspektionen. I det här inlägget ger vi dig vägledning kring vad som är viktigt att tänka på när du ska tillsätta en DPO.

1. Är den tilltänkta DPO:n en fysisk person?

Den främsta och kanske tydligaste regeln som avgör vem som kan utses till DPO är att rollen måste tilldelas en fysisk person.  DPO-rollen kan alltså inte tilldelas ett bolag eller annan juridisk person. Dock finns det ännu inget krav på att DPO:n ska vara fysiskt tillgänglig, så länge det enkelt går att nå personen i fråga.

2. Har personen lämplig bakgrund?

För att lyckas i rollen som DPO krävs en stor förståelse av GDPR-regelverket. Meriterande är också kompetens inom tex. IT, juridik och datasäkerhet. Det är också ett stort plus om personen har kunskap och kompetens kring de affärsprocesser som är kritiska för er verksamhet, både internt och externt. Beroende på verksamhetens natur skiljer sig kravställningen givetvis åt. Slutligen bör personen som utses till DPO ha tillräcklig förståelse för de processer och arbetssätt som krävs för regelefterlevnad inom organisationen.

3. Är personen i en oberoende ställning?

Enligt GDPR ska DPO:n ha en oberoende och självständig ställning i organisationen. Detta innebär att även om det är möjligt för DPO:n ha andra uppgifter och uppdrag får detta inte leda till en intressekonflikt. Med andra ord är det alltså olämpligt att en person på ledningsnivå, såsom VD eller IT-chef, utses till DPO. Denna punkt löser många företag genom att använda en extern resurs i rollen som DPO.

4. Har personen rätt resurser för uppdraget?

GDPR beskriver att DPO:n måste ha tillgång till de resursers som krävs för att kunna utföra sina uppgifter inom verksamheten. Detta innebär bland annat att DPO:n ska ha tillräckligt med tid för att utföra de uppgifter som ligger inom personens ansvarsområde, samt ha tillgång till den information som behövs. Om vidareutbildning krävs har DPO:n även rätt till fortlöpande studier.

Behöver du hjälp med frågor som rör DPO-rollen i er organisation? Kontakta oss så kan vi hjälpa dig vidare!