Artikel

Tre saker att tänka på om ni har en Data Protection Officer

Dataskyddsförordningen, GDPR, ställer höga krav på verksamheter som har utsett ett Dataskyddsombud eller en ”Data Protection Officer” (DPO). Tillsynsmyndigheters granskningar förväntas fortgå med ökande frekvens – där Sverige har en bit kvar för att nå samma mognadsgrad som många andra europeiska länder. Om ni omfattas av kravet på att ha en utsedd DPO så kan ni ta del av nedan tre tips på hur ni väljer rätt – dels för att säkerställa att ni inte riskerar att få böter vid en granskning eller att skada förtroendet för er verksamhet, men också för att bli så effektiva som möjligt i arbetet med GDPR.

1.    Är er DPO oberoende?

En person som är med och fattar (direkta eller indirekta) beslut om behandling av personuppgifter och vilka medel som ska användas vid behandlingarna ska inte samtidigt vara DPO. Vi stöter ofta på oberoendekonflikter där företag har en DPO som även har en annan roll i företaget på ett sätt som strider mot GDPR. Det finns exempel där företag drabbats av påföljder i form av exempelvis sanktionsavgifter och publicitet som påverkar varumärket negativt. Att ha rätt person på rätt plats är dessutom även det som ger er mest effektivitet och kvalitet i ert arbete med dataskydd.


2.    Har er DPO den kunskap som dataskyddsförordningen kräver?

Dataskyddsförordningen (GDPR) kräver att er DPO ska besitta djupgående kunskap om juridiken kring dataskydd, men rekommenderas även ha en god förståelse för informationssäkerhet, IT och riskhantering. Det är en utmaning att hitta någon inom företaget som besitter all denna kunskap, och som dessutom är oberoende. 


3.    Har er DPO tillräckligt med tid och resurser?

Faller arbetet med dataskydd mellan stolarna? Läggs ansvaret på någon som egentligen har ett annat huvudområde att fokusera på? Ett sätt att råda bot på denna fråga, både utifrån effektivitet i arbetet och kostnadsperspektivet, är att ta hjälp av en extern expert i rollen som kan hantera arbetsuppgifterna snabbare, jämfört med en heltidsanställd internt vars huvudsakliga fokus eller expertis inte är dataskydd och informationssäkerhet.

Belgiska dataskyddsmyndigheten (motsvarande Datainspektionen) utfärdade den 28 april 2020 en sanktionsavgift på 50 000 euro.

Ett företag som utsett ”chefen för företagets revisions-, riskhanterings- och efterlevnadsavdelningar” till dataskyddsombud fick nyligen en sanktionsavgift för brott mot GDPR.

Den belgiska dataskyddsmyndigheten angav: 

  • Att dataskyddsombudet, i sin roll som chef över internrevision, hade rätt att fatta beslut i ärenden om uppsägning av personal inte var kompatibelt med kravet på att ett dataskyddsombud ska vara bundet av sekretess och konfidentialitet vid genomförandet av sina uppgifter.
  • Att faktumet att avdelningarna som dataskyddsombudet var chef över saknade rätt att fatta beslut avseende företagets personuppgiftsbehandlingar inte nödvändigtvis innebär att dataskyddsombudets uppgifter som chef över dessa var kompatibla med rollen som dataskyddsombud.
  • I sin roll som chef över revisions-, riskhanterings- och efterlevnadsavdelningarna fattade dataskyddsombudet beslut om ändamål och medel för de personuppgiftsbehandlingar som utförs inom avdelningarna, och var därför ansvarig för dem.  

Mot bakgrund av ovanstående, ansåg den belgiska dataskyddsmyndigheten att det helt saknades oberoende i relationen mellan dataskyddsombudet och de avdelningar denne var chef över, vilket ansågs utföra en betydande intressekonflikt i strid med GDPR. Dessutom ansåg myndigheten att det saknades garantier för att dataskyddsombudets sekretess  och konfidentalitet i förhållande till de anställda på avdelningarna dataskyddsombudet var chef över, på det sätt som GDPR kräver.

Vilka åtgärder är rätt för er?

Kanske la ni tid och resurser när GDPR var nytt, men saknar en hållbar plan för hur arbetet ska kunna fortsätta efter implementeringsfasen? Det är dags för GDPR 2.0, och ni bör fråga er själva: Hur arbetar vi med uppföljning, utbildning och att säkerställa en effektiv struktur med rätt person på rätt plats?
 

Den första frågan ni bör ställa er är: Ska vi överhuvudtaget ha en DPO?


För alla organisationer är inte DPO det bästa alternativet – utan i många fall kan liknande roller som exempelvis Privacy officer vara den minst komplicerade och mest praktiska lösningen. Om ni inte är tvungna att ha en DPO enligt GDPR så finns det troligen bättre alternativ för er. Vi har sett flertalet styrmodeller och ibland har klienter tillsatt en DPO utan att detta är nödvändigt. Om ni är osäkra på huruvida ni omfattas av kravet på DPO kan vi rådge er i frågan!

Vilka är de främsta fördelarna med att ha en extern DPO?

  • Oberoende: Du riskerar inte en oberoendekonflikt, och arbetet effektiviseras av att du har en expert som är helt tillägnad just rollen som DPO. Deloitte har lång erfarenhet av att erbjuda tjänster på ett oberoende och professionellt sätt inom både extern- och internrevision.
  • Kompetens: Istället för en person får du tillgång till ett team med kombinerad kunskap och erfarenhet anpassat för organisationen och baserat på de risker som finns. Deloitte har hundratals konsulter inom informationssäkerhet, dataskydd och riskhantering som bildar ett stort globalt nätverk med samlad kompetens inom alla kunskapsområden för en DPO. Detta gör inte bara att vi uppfyller kraven, utan också att vi kan tillgodose en tjänst i absolut framkant för att utveckla er verksamhet inom detta område på ett smart sätt.
  • Effektivitet och kvalitet: Regelefterlevnad och personuppgiftshanteringen hamnar lätt mellan stolarna för en person som egentligen har till primär uppgift att jobba med något annat. En extern part med tillgång till ett stort nätverk av specialister kan spara er både tid och resurser.

Varmt välkommen att kontakta oss för mer information eller närmare diskussion gällande ditt företag!

Hade du nytta av den här informationen?