Dataskyddsombud

När jag först hörde talas om rollen dataskyddsombud var det i samband med att vi på min arbetsplats började arbeta mer strukturerat med GDPR och den lagstiftning som berör personuppgifter. Jag själv har inte rollen som dataskyddsombud, men jag har delvis varit inblandad i vårt arbete med att tolka och implementera regelverket. Det har gett mig en förståelse för både hur omfattande kraven är och hur viktigt det är att ha någon som har ett särskilt ansvar för att bevaka dessa frågor.

Ett dataskyddsombud, eller DPO (Data Protection Officer), är en funktion som vissa organisationer enligt GDPR måste ha, men som också kan tillsättas frivilligt. Ombudet fungerar som en oberoende expert inom dataskyddsfrågor. Det handlar inte om att ta operativa beslut eller styra över hur personuppgifter behandlas, utan om att övervaka att organisationen följer lagen, ge råd, utbilda personalen och vara kontaktperson gentemot tillsynsmyndigheten, som i Sverige är Integritetsskyddsmyndigheten (IMY).

Det jag tycker är intressant är att dataskyddsombudet ska ha en viss grad av självständighet. Rollen är tänkt att kunna agera rådgivande men samtidigt stå fri från påtryckningar i organisationen. Det är ett sätt att säkerställa att lagens krav inte försvinner i det dagliga arbetets alla andra prioriteringar. För mig som inte är dataskyddsombud men ändå berörs av GDPR-frågor har det varit lärorikt att se hur mycket arbetet påverkar allt från vår dokumentation till hur vi kommunicerar med kunder.

Genom mitt delvisa engagemang har jag också insett hur viktigt det är att förstå skillnaderna mellan de olika roller som GDPR definierar. Dataskyddsombudet är som sagt en rådgivande och övervakande funktion, men inte den som bär det juridiska ansvaret för hur personuppgifter behandlas. Det ansvaret ligger istället hos personuppgiftsansvarig, som är den organisation eller det företag som bestämmer ändamål och medel för behandlingen av personuppgifter. Om vi till exempel samlar in kunddata för att hantera beställningar är det vi som organisation som är personuppgiftsansvariga.

Samtidigt finns rollen personuppgiftsbiträde, som är en extern part som behandlar personuppgifter för vår räkning. Det kan exempelvis vara en molntjänstleverantör som lagrar data eller ett företag som sköter löneadministration. Biträdet får bara behandla personuppgifterna enligt tydliga instruktioner och måste ingå ett personuppgiftsbiträdesavtal med företaget.

För att sammanfatta i en löpande jämförelse: den personuppgiftsansvarige bestämmer syftet och bär det yttersta ansvaret, personuppgiftsbiträdet utför behandlingen på uppdrag av den ansvarige, och dataskyddsombudet fungerar som en oberoende rådgivare och kontrollfunktion för att säkerställa att arbetet sker i enlighet med GDPR. För mig har det blivit tydligt att alla tre roller behövs för att skapa ett fungerande system för dataskydd – men att de har helt olika ansvar och funktioner.