Dataskyddsombudets roll och ställning 

Dataskyddsombudet har i GDPR en tydlig roll som beskrivs i artiklarna 37-39. Rollen som tecknas är komplex med många uppgifter som vid en första anblick kan synas vara för vida för en person och i viss mån stå i konflikt med varandra.  I texten nedan vill vi teckna ned vår bild hur ett dataskyddsombud kan arbeta för att leva upp till lagens beskrivning. Vi vill även ge vår syn på vilket fokus Dataskyddsombudet bör ha för att optimalt verka för ett bra dataskydd. 

Dataskyddsombudets granskande roll 

Direkt efter att GDPR börjat gälla vara många dataskyddsombud mycket operativa gällande organisationernas dataskydd. I många organisationer börjar nu det tydligare utkristallisera sig en dataskyddsorganisation med ansvar att sköta de dagliga frågorna kring dataskyddet. Frågor som uppdatering av register, daglig hantering av individers rättigheter mm bör inte ligga på dataskyddsombudets bord.  

Vikten av att dataskyddsombudet kan ge en tydlig presentation mot styrelsen 

Ansvaret för dataskyddet ligger alltid på personuppgiftsansvarige, dvs det är ledningens och ytterst styrelsens ansvar för att tillse att frågorna hanteras av någon i organisationen.  

Ett dataskyddsombud ska enligt GDPR rapportera till högsta beslutande organ, dvs styrelsen. Det finns inga krav dock på att dataskyddsombudet som person måste redovisa detta, men den rapport som tas fram får inte förvanskas eller redigeras på vägen fram till styrelsen. 

 

Vi tycker att dataskyddsombudet bör sträva efter att nå en kontakt med styrelsen i de fall det är möjligt för att ge insikt åt dataskyddsfrågorna, för att nå fram med budskapet till en styrelse bör man som dataskyddsombud även förbereda sitt budskap på ett sätt som förstås i ett styrelserum.  

  • Koncist 
  • Koppla om möjligt insats till vinst 
  • Riskbaserat  

 

Dataskyddombudets placering i organisationen 

I GDPR finns inget uttalat om vart i organisationen rollen skall finnas.  

Vi ser i diskussioner att de dataskyddsombud som finns längre ned i organisationskedjorna har en större tendens att arbeta operativt med dataskyddsfrågor och en mindre andel granskande del av sina arbetsuppgifter.  

De som har positioner nära ledningen i staber eller liknande alternativt är externa dataskyddsombud har oftare rena granskande roller och arbetar mer strategiskt med dataskyddsfrågorna.  

Därför är det viktigt att se över organisationsschemat vart dataskyddombudet är placerat för att nå den långsiktigt bästa effekten för dataskyddsarbetet. Speciellt i offentlig sektor bör delegationsordningar och vägarna för beslutsmandat ses över för att möjliggöra förutsättningar för dataskyddsombudet att effektivt utföra sitt arbete. 

Vad fungerar bäst, det interna eller det externa dataskyddsombudet? 

Skillnaden mellan det interna och externa dataskyddsombudet är främst oberoendet från det dagliga arbetet.  Som internt dataskyddsombud har du insikt i det dagliga arbetet och känner verksamheten på ett sätt som det är svårt för ett externt dataskyddsombud att uppnå. 

I början när en dataskyddsorganisation skall byggas är det av yttersta vikt att detta görs inifrån organisationen. Om organisationen skall ha ett fungerande dataskydd beror de på att hela organisationen vet och förstår grunderna i dataskydd och hur man hanterar personuppgifter. Sen är det viktigt att det finns representanter, ambassadörer, ute i organisationen som bygger upp en fungerande dataskyddsorganisation. 

I detta skede kan det vara en fördel om ombudet är internt. I en uppbyggnadsfas är det även vanligt att dataskyddsombudet är aningen mer operativ och en stor del av arbetsuppgifterna är av utbildande karaktär. 

I en förlängning där vi har en fungerande dataskyddsorganisation, kan ett externt dataskyddsombud vara en passande lösning.  Det externa ombudets fördelar är att personen oftast har med sig kompetens från flera organisationer och kunskap om gällande praxis. Ett externt ombud är inte heller bunden av någon plats i organisationshierarkin och riskerar inte att bli begränsad i utövningen pga detta. Viktigt när man upphandlar det externa ombudet blir då att en lägstanivå garanteras.  

Dataskyddombudets roll är utformad att ansvaret alltid ligger kvar på den ansvarige, men dataskyddsombudet granskar och påtalar hur status ser ut. Om organisationen engagerar ett externt dataskyddsombud alternativt ett internt dataskyddsombud utan möjlighet att påverka, lurar organisationen sig själv och utsätter sig för högre risker. 

Ett dataskyddsombud i beslutande positioner 

Enligt Datainspektionens undersökning som kom ut i februari finns det ett stort antal dataskyddsombud som sitter i ledande ställning och även innehar rollen som dataskyddsombud. Detta är inte en önskvärd situation då det kan leda till problem i oberoendet mellan rollerna. Trenden är dock att flertalet av dessa ersätts med interna resurser eller att externa dataskyddsombud upphandlas.