Tillsyn – Dataskyddsombudens roll och ställning
Den 27 juni 2024 avslutade Integritetsskyddsmyndigheten (IMY) sex tillsynser som är en del av IMY:s arbete med den samordnade åtgärden kring dataskyddsombudens roll och ställning, initierad av Europeiska dataskyddsstyrelsen (EDPB). Initiativet togs eftersom det uppmärksammats att många organisationer inom EU inte ger dataskyddsombuden de resurser och den oberoende ställning som krävs enligt GDPR.
Enligt GDPR är vissa verksamheter skyldiga att utse ett dataskyddsombud. Ombudets roll är att ge råd och övervaka verksamhetens efterlevnad av dataskyddslagstiftningen, och att vara kontaktperson gentemot de registrerade och tillsynsmyndigheten. Ett ombud kan ha andra arbetsuppgifter utöver dataskyddsarbetet, så länge dessa inte leder till en intressekonflikt.
Dataskyddsombudets oberoende måste säkerställas
Kravet att det inte får föreligga intressekonflikter är nära kopplat till kravet om att ombuden ska kunna agera på ett oberoende sätt. Detta innebär särskilt att ombudet inte kan inneha en sådan tjänst inom organisationen som innebär att han eller hon fastställer ändamålen och medlen för behandlingen av personuppgifter. EU-domstolen har i målet X-FAB Dresden förtydligat att dataskyddsombudet inte kan anförtros uppgifter och uppdrag som kan skada fullgörandet av de uppgifter som han eller hon utför i egenskap av dataskyddsombud. Bedömningen av om ett visst uppdrag riskerar att leda till en intressekonflikt med uppdraget som dataskyddsombud ska göras utifrån relevanta omständigheter i det enskilda fallet.
Dataskyddsombudet ska involveras i god tid
Dessutom är det av stor vikt att dataskyddsombudet involveras i god tid i alla frågor som rör skyddet av personuppgifter. Det måste finnas en reell chans att eventuella råd eller rekommendationer från ombudet kan implementeras innan en personuppgiftsbehandling påbörjas. Det bör därför finnas interna rutiner för att säkerställa detta. Den personuppgiftsansvarige måste också säkerställa att ombudet får all relevant information som han eller hon behöver för att kunna göra sin bedömning, till exempel en beskrivning av den tilltänkta behandlingen och ändamålet med den.
IMY har granskat sex verksamheter där dataskyddsombuden har fler uppdrag än enbart dataskyddsarbetet. Dessa verksamheter återfinns både inom offentlig och privat sektor. Dataskyddsombuden har i dessa fall också haft rollen som informationssäkerhetschef, förvaltningsjurist eller regionjurist eller uppdrag som inneburit visst ansvar inom compliance, risk och säkerhet.
I fallet där dataskyddsombudet också var regionjurist vid regionens ledningsstab har IMYbedömt att det föreligger en intressekonflikt som strider mot reglerna i dataskyddsförordningen. Dataskyddsombudet ska vara oberoende och självständigt granska organisationens efterlevnad av dataskyddsreglerna, vilket i detta fall även omfattar granskning av dataskyddsarbetet i ledningsstaben som regionjuristen genom rådgivning är delaktig i.
Vidare, vad gäller ett dataskyddsombud för en socialnämnd, granskade IMY om ombudet har den roll och de resurser som förutsätts i GDPR. IMY utfärdade en reprimand mot socialnämnden för att den inte säkerställt att dataskyddsombudet på ett korrekt sätt och i god tid deltar i alla frågor som rör skyddet av personuppgifter, inte stöttat ombudet tillräckligt genom att tillhandahålla de resurser som krävs, samt inte säkerställt att dataskyddsombudet rapporterar direkt till socialnämndens högsta förvaltningsnivå.
Slutsats
Om ett dataskyddsombud arbetar internt finns det risk för intressekonflikter om de hanterar arbetsuppgifter som angränsar till dataskyddsarbetet. Därför är det en god idé att anlita en extern part. Det skapar en tydlig rolluppdelning och förhindrar potentiella intressekonflikter. Dessutom innebär det skalbarhet, eftersom en extern part kan anpassas efter verksamhetens behov och förändringar. Att anlita en extern expert säkerställer att dataskyddsarbetet utförs med högsta möjliga kompetens och oberoende.
Secure State Cyber har lång och bred erfarenhet av att vara dataskyddsombud för organisationer med varierande verksamhet och storlek. Våra dataskyddsombud är seniora jurister med kompetens även inom angränsande lagstiftning, till exempel offentlighets- och sekretesslagen och patientdatalagen. Vår specialistkompetens täcker vidare hela informationssäkerhets- och dataskyddsområdet. Vi har experter inom juridik, informationssäkerhet, it-säkerhet, processutveckling och management.