Publicerat av Marcus Österberg

Dataskyddsombudets uppdrag i Västra Götalandsregionen

Sammanfattning

I dokumentet ges en bild av vad ett dataskyddsombud är och vilka arbetsuppgifter ett dataskyddsombud har.

Med personuppgiftsansvarig nedan avses varje nämnd, styrelse och bolag. Med personuppgiftsbiträde avses den som behandlar personuppgifter för den personuppgiftsansvariges räkning. En styrelse eller nämnd kan också vara personuppgiftsbiträde.

Ytterligare information om dataskyddsombud och GDPR finns på Datainspektionens hemsida och på SKL:s hemsida.

Hänvisningar till artiklar nedan i dokumentet avser GDPR, länk till förordningstexten på Datainspektionens hemsida:
datainspektionen.se/dataskyddsreformen/dataskyddsforordningen/forordningstexten/

En information rörande personuppgiftsansvarigas skyldigheter gällande att utse och samarbeta med dataskyddsombudet har tagits fram och ligger som bilaga till detta dokument.

Dataskyddsombud

Enligt dataskyddsförordningen (GDPR) är det obligatoriskt för alla offentliga myndigheter att utnämna ett dataskyddsombud. Rollen som dataskyddsombud är inte densamma som personuppgiftsombudet har enligt personuppgiftslagen, PUL.

En av de största förändringarna med de nya reglerna är att den kontrollerande och rådgivande funktionen hos dataskyddsombudet renodlas jämfört med vad som tidigare gällt för personuppgiftsombud. Det innebär samtidigt att organisationen självständigt måste bedriva ett aktivt dataskyddsarbete som inte leds av dataskyddsombudet. Organisationens arbete ska följas upp av ombudet och det krävs därför att någon annan inom organisationen har ett övergripande ansvar för genomförandet av det interna dataskyddsarbetet.

Dataskyddsombudet är inte personligen ansvarigt i händelse av bristande efterlevnad av den allmänna dataskyddsförordningen. Det är den personuppgiftsansvarige eller i förekommande fall personuppgiftsbiträdet som ska säkerställa och kunna visa att behandlingen utförs i enlighet med förordningens bestämmelser. Det är alltså den personuppgiftsansvarige eller personuppgiftsbiträdet som har ansvaret för att uppgiftsskyddet efterlevs.

Den personuppgiftsansvarige eller personuppgiftsbiträdet ska göra det möjligt för dataskyddsombudet att effektivt utföra sina kontrollerande uppgifter. Utnämnandet av ett dataskyddsombud är det första steget, men dataskyddsombuden måste även ges tillräcklig självständighet och förutsättningar för att effektivt kunna utföra sina uppgifter.

Dataskyddsombud utnämns för behandling som utförs av personuppgiftsansvarig eller när nämnden eller styrelsen utför behandling i egenskap av personuppgiftsbiträde.

Dataskyddsombudets uppgifter

Dataskyddsombudets främsta uppgift är att övervaka efterlevnaden av dataskyddsförordningen. Dataskyddsombudet bör bistå den personuppgiftsansvarige eller personuppgiftsbiträdet för att övervaka den interna efterlevnaden av denna förordning. I artikel 39.1 anges de uppgifter som dataskyddsombudet åtminstone ska ha.

Som ett led i skyldigheten att övervaka efterlevnaden ska dataskyddsombuden:

  • säkerställa att tillräcklig information finns för att identifiera hur behandling av personuppgifter sker
  • analysera och kontrollera huruvida bestämmelser om behandlingen efterlevs
  • informera, ge råd och utfärda rekommendationer till den personuppgiftsansvarige eller personuppgiftsbiträdet
  • rapportera till den personuppgiftsansvariges högsta ledningsnivå

Övervakning av efterlevnaden innebär inte att dataskyddsombudet är personligen ansvarigt i händelse av bristande efterlevnad. Det klargörs i dataskyddsförordningen att det är den personuppgiftsansvarige, inte dataskyddsombudet, som ska genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med denna förordning Det är alltså den personuppgiftsansvariges organisation som har ansvaret för att uppgiftsskyddet efterlevs, inte dataskyddsombudet.

Dataskyddsombudet har den sekretess som föreskrivs i offentlighets- och sekretesslagen. Någon särskild sekretessbestämmelse för dataskyddsombud föreslås inte i propositionen till dataskyddslagen.

Dataskyddsombudets roll i samband med konsekvensbedömningar avseende dataskydd

Det är den personuppgiftsansvariges, inte dataskyddsombudets, uppgift att vid behov utföra en konsekvensbedömning avseende dataskydd. Dataskyddsombudet kan emellertid spela en mycket viktig och användbar roll genom att bistå den personuppgiftsansvarige. Den personuppgiftsansvarige ska rådfråga dataskyddsombudet när en konsekvensbedömning avseende dataskydd utförs och dataskyddsombudet ska i sin tur på begäran ge råd vad gäller konsekvensbedömningen avseende dataskydd och övervaka genomförandet av den. Vid avvägningar inom följande områden bör dataskyddsombudet involveras.

  • Behöver en konsekvensbedömning avseende dataskydd göras
  • Vilken metod bör användas för konsekvensbedömningen avseende dataskydd.
  • Om konsekvensbedömningen avseende dataskydd kan göras internt eller bör läggas ut på en extern part.
  • Vilka skyddsåtgärder (inbegripet tekniska och organisatoriska åtgärder) som bör vidtas för att begränsa eventuella risker för de registrerades rättigheter och intressen.
  • Om konsekvensbedömningen avseende dataskydd har utförts korrekt och om dess slutsatser (om behandlingen ska fortsätta eller inte och vilka skyddsåtgärder som ska vidtas) överensstämmer med den allmänna dataskyddsförordningen.

Om den personuppgiftsansvarige inte håller med om de råd som getts av dataskyddsombudet, bör detta uttryckligen och skriftligen motiveras i dokumentationen över konsekvensbedömningen avseende dataskydd.

Dataskyddsombudet oberoende ställning

Dataskyddsombud ska kunna fullgöra sitt uppdrag och utföra sina uppgifter på ett oberoende sätt, detta framgår av artikel 38. Ett dataskyddsombud får när de utför sina uppgifter inte instrueras om hur de ska hantera en fråga, till exempel vilka resultat som bör uppnås, hur ett klagomål ska utredas eller huruvida tillsynsmyndigheten ska rådfrågas eller inte. Dataskyddsombuden får inte heller instrueras att inta en viss ståndpunkt i frågor som rör dataskyddslagstiftningen, till exempel en viss tolkning av lagen.

Samarbete med tillsynsmyndigheten

Dataskyddsombudet ska samarbeta med tillsynsmyndigheten och fungera som kontaktpunkt i frågor som rör behandling. Den sekretess som dataskyddsombudet omfattas av innebär inte att det är förbjudet för dataskyddsombuden att kontakta och samråda med tillsynsmyndigheten.

Riskbaserad metod

Dataskyddsombudet ska ta hänsyn till de risker som är förknippade med behandling, med beaktande av behandlingens art, omfattning, sammanhang och syften.

Dataskyddsombuden ska prioritera sin verksamhet och inrikta sitt arbete på eventuella problem som utgör en högre risk för dataskyddet, men även beakta övervakningen av efterlevnad avseende sådan uppgiftsbehandling som medför en jämförelsevis lägre risk.

Dataskyddsombudet ska ge personuppgiftsansvariga råd om vilken metod de bör använda för konsekvensbedömningar avseende dataskydd, vilka områden som bör genomgå en intern eller extern revision av dataskyddet, vilka interna fortbildningsverksamheter som bör tillhandahållas till anställda eller ledningspersonal som ansvarar för uppgiftsbehandling, och vilken typ av behandling som bör tilldelas särskilda resurser.

Dataskyddsombudets roll vid registerföringen

Det är den personuppgiftsansvarige som ska föra ett register över behandling som utförs under dess ansvar och som är ansvarig för att registret löpande uppdateras. I den mån personuppgifter behandlas för annan organisations räkning är nämnden eller styrelsen, så som personuppgiftsbiträde, även ansvarig för att föra ett register över alla kategorier av behandling som utförts för den personuppgiftsansvariges räkning.

Att föra dessa registerförteckningar ingår inte i dataskyddsombudets uppgifter men kan vara ett verktyg som dataskyddsombudet kan använda för att fullgöra sina uppgifter att övervaka efterlevnaden samt informera och ge råd till den personuppgiftsansvarige. Genom registerförteckningen kan dataskyddsombudet få hjälp med att skaffa sig en översikt över behandlingen som utförs, men för att dataskyddsombudet ska kunna fullgöra sina uppgifter kan det även nödvändigt att dataskyddsombudet för egen dokumentation om behandlingar som man får kännedom om.

Bilaga

Information till personuppgiftsansvarig om dataskyddsombud ›

Lämna ett svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *