Sedan maj 2018, har reglerna kring dataskydd blivit strängare. Dataskyddsförordningen (GDPR) blev obligatorisk för alla verksamheter som behandlar personuppgifter. Det ledde till att många företag behövde bekanta sig med förordningenssju grundläggande principer. Reglerna kan upplevas som krångliga och svåra att implementera. Det har gjort att många företag beslutat sig för att anställa ett Dataskyddsombud (DPO). Syftet med den här artikeln är att hjälpa dig förstå en DPO:s roll, om er organisation borde anställa ett, samt vilka fördelar de kan ge er.
Vad är ett Dataskyddsombud?
Ett Dataskyddsombud heter på engelska Data Protection Officer, och förkortas därför till DPO eller DSO. Men det är en anställd inom företaget som säkerställer att organisationen behandlar personuppgifter enligt rådande lagstiftning. Så fort ett företag samlar in och behandlar personuppgifter är det företagets ansvar att hantera uppgifterna lagligt. Alltså blir det indirekt de anställdas ansvar. Säker hantering av personuppgifter påverkar alla, från affärspartners, till kunder, till anställda.
Ett Dataskyddsombud har bland annat som arbetsuppgift att se till att verksamheten agerar inom dess rättigheter, rådgivning och guidning om det uppstår problem med behandling av personuppgifter. Enligt GDPRs defenition så är en DPOs enda ansvar att rådge och stödja databehandling. I praktiken kan en DPO också hjälpa till att skapa releventa datahanteringsprotokoll, utbilda anställda om dataregler och säkerställa efterlevnad av GDPR.
När ska man ha en DPO?
Oavsett ditt företags storlek, eller bransch, hanteras personuppgifter på ett eller annat sätt. Det är därför obligatoriskt, enligt lag, att övervaka att hanteringen av uppgifterna stämmer överens med GDPR. Om verksamheten faller in under 1 av 3 punkter här under, så är det också ett krav om att ha en anställd DPO.
Offentlig myndighet– Personuppgifter hanteras av ett offentligt organ eller en myndighet
Storskalig och regelbunden övervakning– Behandling av personuppgifter är en kärnaktivitet och görs regelbundet
Storskaliga speciella datakategorier– Behandling av specifik ”särskild” kategoridata, vilket betyder känslig data, som kärnaktivitet och i stor skala
Ibland faller en organisation kanske inte under någon av dessa tre kategorier, men kan ändå dra nytta av att ha en DPO. Jag kommer att förklara senare hur en DPO kan hjälpa till med efterlevnad av GDPR. Många expanderande företag söker en DPO för att hjälpa till med de ökande mängderna personuppgifter.
Att ha en DPO kanske inte passar alla. Om du arbetar i ett litet företag kan det vara mycket lättare och mer kostnadseffektivt att dela ansvaret om GDPR efterlevnad mellan flera personer. Eller kanske hanterar din organisation bara minimal mängd data som är enkel att behandla lagligt. Det är också möjligt att ni redan har utvecklat ett funktionellt och effektivt system som inte behöver omstruktureras. Allt beror på ert företags kontext.
Vad gör en DPO?
Dataskyddsombudets syfte är att säkerställa att företaget följer EU:s föreskrifter, som tillämpas av den nationella dataskyddsmyndigheten i ert land. I Sverige är det Integritetsskyddsmyndigheten IMY, som är dataskyddsmyndigheten. Att inte prioritera GDPR, kan få allvarliga konsekvenser, efter organisationer kan få böter på upp till 4% av sina globala intäkter.
En DPO ansvarar för att:
Besvara frågor och hantera problem angående GDPR
Informera organisationen och deras anställda om deras skyldigheter mot GDPR
Övervaka efterlevnad av GDPR genom utbildning av personal och genomförandet av revisioner
Genomföra konsekvensanalyser av dataskydd
Samarbetar och kommunicerar med dataskyddsmyndigheten
Vilka kvalifikationer ska en DPO ha?
Att hitta en kvalificerad kandidat är ett viktigt första steg. Även om GDPR inte listar specifika krav, föreslår de att en DPO:s kompetensnivå ska överensstämma med dataoperationernas komplexitet. Här är några förslag på vad ni kan leta efter hos en kandidat:
Relevant erfarenhet av arbete med EU och globala integritetslagar (inklusive utformning av sekretesspolicyer, teknikbestämmelser och arbete med efterlevnad)
Erfarenhet av arbete med IT-programmering eller infrastruktur (inklusive certifiering i informationssäkerhetsstandarder)
Betydande erfarenhet av att utföra revisioner av informationssystem, certifieringsrevisioner och riskbedömningar
Demonstrerad förmågan att samordna med flera parter och handledare under arbete med flera projekt
Kommunikationskunskap som lämpar sig för att adressera olika avdelningar med olika kunskapsnivåer (inklusive styrelse, registrerade, chefer, IT -personal och advokater)
Förmåga att förskansa sig nödvändig kunskap i dynamiska miljöer
Erfarenhet från juridisk såväl som teknisk utbildning och av att öka medvetenheten
Erfarenhet av att framgångsrikt hantera olika affärskulturer och branscher
Att söka efter en ny medarbetare för att fylla tjänsten kan vara utmanande. Tyvärr är efterfrågan på skickliga DPO:er mycket hög, vilket innebär att det kan vara tidskrävande och utmanande att anställa hitta rätt.
En bra plats att börja leta på är därför din egen IT- eller juridiska avdelning, eftersom de redan förstår hur, och vilka typer av data som ni behandlar. Eftersom efterlevnad av GDPR är ett mycket dynamiskt område måste en DPO ständigt hålla sig uppdaterade på den skyddsnivå som krävs, samt den senaste utvecklingen inom området. Vid behov ska den anställde genomgå all nödvändig GDPR-utbildning eller certifiering.
Hur kan en DPO gynna er?
Här är en kort lista över hur en DPO kan gynna er organisation:
Dataskyddsombudet guidar er genom de komplexa GDPR-reglerna och hjälper till att säkerställer laglig datahantering
De ökar övergripande efterlevnad genom att instruera styrelsemedlemmar, chefer och anställda om hur de ska hantera personuppgifter
Vid säkerhetsöverträdelse kommer dataskyddsombudet att tillhandahålla nödvändiga protokoll om hur man agerar internt och offentligt, eftersom ni måste rapportera det till myndigheterna inom 72 timmar.
De kan ge råd när ni fördelar tekniska resurser för att stärka cybersäkerheten, som så också inkluderar dataskydd
Det finns så mycket mer du kan göra!
Som du kan se, kan en DPO förenkla den dagliga verksamheten inom er organisation. Med deras hjälp och support lindrar de mycket av det tryck som kommer med laglig behandling av personuppgifter. En DPO kan hjälpa er undvika stora GDPR-böter och dataintrång.
Men att anställa en DPO kanske inte alltid är den bästa lösningen för alla. Liksom på många andra områden inom cybersäkerhet spelar varje anställd i er organisation en avgörande roll för behandlingen och skyddet av personuppgifterna ni samlar in.
Alla dina kollegor kan dra nytta av utbildning inom medvetenhet, eftersom de måste känna till vad personuppgifter är, hur de hanteras korrekt, och vad de behöver göra vid en överträdelse. Till eksempel är det viktigt att alla inom personalen känner till hur man skapar starka lösenord, eftersom ett enda misstag kan öppna dörrarna för dataintrång.
Medvetna anställda ökar din organisations cybersekärhet och ser till att kraven för GDPR efterlevs.