Det har nog knappast undgått någon att Dataskyddsförordningen (GDPR) började tillämpas i fredags. Samma dag gick Datainspektionens generaldirektör ut med en debattartikel i DN där hon fastslog att myndighetens första tillsynsåtgärd blir riktad just mot dataskyddsombud, eller kanske snarare frånvaron av dataskyddsombud hos organisationer som borde ha ett sådant: https://www.dn.se/debatt/lat-inte-oro-for-gdpr-boter-styra-viktigare-att-bygga-fortroende/
GDPR kräver att alla myndigheter ska ha ett dataskyddsombud. När det gäller företag och andra organisationer krävs det ett ombud om vissa villkor är uppfyllda:
- Organisationens kärnverksamhet inkluderar att systematiskt och i stor omfattning övervaka enskilda personer eller
- Kärnverksamheten inkluderar att behandla särskilda kategorier av personuppgifter i stor omfattning.
Till den första gruppen hör till exempel säkerhetsföretag, leverantörer av telekommunikationstjänster och direkt marknadsföringsföretag. Till den sistnämnda hör till exempel vårdgivare, försäkringsbolag och medlemsorganisationer inom till exempel facklig och politisk verksamhet.
Detta är ett nytt krav då det under PuL var valfritt för alla organisationer att utse ett personuppgiftsombud. För myndigheter, företag och andra organisationer som hade utsett och registrerat ett ombud enligt PUL så upphörde registreringen automatiskt att gälla i fredags. Därför behövde alla organisationer som måste utse ett dataskyddsombud ha gjort en ny anmälan till Datainspektionen senast i fredags. Uppfyller man något av kraven men har missat att anmäla ett ombud är man alltså enligt generaldirektörens uttalande först i kön för tillsynsåtgärder – och därmed även för sanktioner. Ett ganska smart drag av Datainspektionen. Ett dataskyddsombud borgar för att det bedrivs ett internt tillsynsarbete inom dennes företag eller organisation, och därigenom indirekt ”hjälper” inspektionen med att se till att reglerna efterlevs.
GDPR ställer höga krav på ombudets kvalifikationer när det gäller dataskyddsregelverket. Det betyder att vem som helst inte kan vara dataskyddsombud. Likaså måste ombudet kunna utföra sina uppgifter på ett självständigt sätt och får inte ha en ställning inom organisationen där integriteten riskerar att äventyras. Ett dataskyddsombud kan både vara anställd inom organisationen, gemensam för flera koncernbolag eller en extern konsult.
På Kompass Advokat har vi den kompetens som krävs för att utses till externt dataskyddsombud. Vi har mångårig och bred erfarenhet av att hjälpa klienter i en rad olika branscher med juridisk rådgivning inom dataskydd. Vi erbjuder både tjänster som externt dataskyddsombud, liksom kompetensutveckling, utbildning, bollplank och stöd till interna ombud. Hör av dig om du behöver diskutera dina behov inom dessa områden.