Måste vi utse ett dataskyddsombud?
Svara på frågorna i vårt interaktiva flödesschema för att ta reda på det!
*Domstolar som agerar inom ramen för sin dömande verksamhet är ett undantag!Vi behandlar känsliga personuppgifter eller personuppgifter som rör brottmålsdomar och lagöverträdelser
Vi gör detta i stor skala
Vi utför regelbunden och systematisk övervakning av enskilda
Vår kärnverksamhet kräver behandling av känsliga uppgifter eller
uppgifter som rör fällande domar i brottmål och överträdelser
Vi gör detta i stor skala
Vår kärnverksamhet kräver regelbunden och systematisk övervakning av enskilda
Måste vi utse ett dataskyddsombud?
Ja, utnämningen av ett dataskyddsombud är obligatoriskt
Måste vi utse ett dataskyddsombud?
NNej, utnämning av ett dataskyddsombud
är frivilligt, men det uppmuntras.
Vad är ett DSO och behöver er organisation ett?
Vad är ett DSO och vad gör de?
Dataskyddsombudet (förkortat DSO) är en dataskyddsexpert som ger råd om dataskyddsefterlevnad inom en organisation.
Dataskyddsombudet måste involveras korrekt och i god tid i alla frågor som rör skyddet av personuppgifter.
Enligt GDPR är dataskyddsombudets uppgifter åtminstone följande:
- informera och ge råd till organisationen och dess anställda om dataskyddsefterlevnad,
- övervaka efterlevnaden av dataskyddet,
- ge råd vid konsekvensbedömningar avseende dataskydd.
- att fungera som kontaktpunkt mot den nationella dataskyddsmyndigheten och samarbeta med den myndigheten,
- att fungera som kontaktpunkt för enskilda personer.
Dataskyddsombudets närvaro rekommenderas i allmänhet när beslut med dataskyddskonsekvenser fattas. Dataskyddsombudet måste också omedelbart konsulteras när ett dataintrång eller en annan incident har inträffat.
I praktiken ges dataskyddsombudet också ofta i uppgift av den personuppgiftsansvarige eller personuppgiftsbiträdet att föra registret över personuppgiftsbehandlingar.
Behöver vår organisation ett DSO?
Det är obligatoriskt att utse ett dataskyddsombud i följande tre fall:
- organisationen är en offentlig myndighet som behandlar personuppgifter.
- organisationens kärnverksamhet består av regelbunden och systematisk övervakning av individer i stor skala, t.ex. geolokalisering via en mobil applikation, eller övervakning av köpcentrum och offentliga platser via kamerabevakning.
- organisationens kärnverksamhet består av storskalig behandling av känsliga uppgifter.
Begreppen ”kärnverksamhet”, ”regelbunden och systematisk övervakning” och ”stor skala” är avgörande för att avgöra om en organisation bör utse ett dataskyddsombud.
”Kärnverksamhet” innebär att behandlingen är avgörande för att uppnå den personuppgiftsansvariges eller personuppgiftsbiträdets mål. Dessa omfattar även all verksamhet där behandlingen av uppgifter utgör en ofrånkomlig del av den personuppgiftsansvariges eller personuppgiftsbiträdets verksamhet.
”Stor skala” beror på olika faktorer, t.ex. mängden uppgifter som behandlas, antalet berörda personer – antingen som ett visst antal eller som andel av den berörda populationen, behandlingens varaktighet och geografiska omfattning.
”Regelbunden och systematisk övervakning” omfattar alla former av spårning och profilering på internet, även för beteendebaserad reklam. Begreppet övervakning är dock inte begränsat till onlinemiljön.
I praktiken
- Kärnverksamhet
Till exempel är det centrala syftet med en klinik att tillhandahålla hälso- och sjukvård till individer. I detta fall bör behandling av hälsodata, såsom patientjournaler, betraktas som en av organisationens kärnverksamheter.
Alla organisationer utför dock vissa stödaktiviteter, t.ex. genom att betala sina anställda eller utföra standardiserad IT-stödverksamhet. Detta är exempel på nödvändiga stödfunktioner för organisationens kärnverksamhet eller huvudsakliga verksamhet. Även om dessa aktiviteter är nödvändiga eller väsentliga, betraktas de vanligtvis som underordnade funktioner snarare än kärnverksamheten.
- Storskaligt
- Exempel på storskalig bearbetning är till exempel:
- behandling av patientuppgifter som en del av den dagliga verksamheten på ett sjukhus.
- behandling av kunduppgifter inom ramen för den dagliga verksamheten hos ett försäkringsbolag eller en bank.
- behandling för statistiska ändamål av aktuella lokaliseringsuppgifter för kunder i en internationell snabbmatskedja som utförs av en underleverantör som är specialiserad på sådana tjänster.
- behandling av personuppgifter för beteendebaserad annonsering av en sökmotor;
- behandling av data (innehåll, flöde, plats) av leverantörer av telefon- och Internettjänster.
Exempel på bearbetning som inte skulle betraktas som storskalig:
- behandling av patientuppgifter som utförs av en enda allmänläkare.
- behandling av personuppgifter som rör fällande domar och brott av en enskild advokat.
- Regelbunden och systematisk övervakning
Regelbunden och systemisk övervakning omfattar t.ex. riktad e-postreklam till besökare på en webbplats . datadrivna marknadsföringsaktiviteter. profilering och poängsättning för riskbedömning (t.ex. för kreditpoäng, fastställande av försäkringspremier, förebyggande av bedrägerier, upptäckt av penningtvätt). lokaliseringsspårning (t.ex. via mobilappar); lojalitetsprogram; beteendestyrd annonsering , övervakning av fitness- och hälsodata via bärbara enheter. Kamerabevakning, uppkopplade enheter (t.ex. smarta mätare), smarta bilar, hemautomation m.m.
Ett personuppgiftsbiträde som har som kärnverksamhet att tillhandahålla webbplatsanalystjänster och hjälp med riktad reklam och marknadsföring måste utse ett dataskyddsombud.
Ni kan alltid utse ett dataskyddsombud på frivillig basis, även om detta inte krävs enligt lag. Observera att i så fall måste ni följa alla bestämmelser i GDPR om dataskyddsombudets arbetsuppgifter och ställning. Därför rekommenderas det att endast använda titeln dataskyddsombud för en person vars funktion och position överensstämmer med beskrivningen i GDPR.
Vem kan vara DSO i vår organisation?
Dataskyddsombudet måste kunna utföra sina uppgifter på ett oberoende sätt. Detta innebär att er organisation:
- inte får ge instruktioner till dataskyddsombudet när det gäller utförandet av deras arbetsuppgifter som dataskyddsombud,
- inte får bestraffa eller avsätta dataskyddsombudet för att ha utfört sina uppgifter.
Dataskyddsombudens autonomi innebär dock inte att de har beslutsbefogenheter som går utöver deras uppgifter. Organisationer förblir ansvariga för efterlevnaden av dataskyddslagstiftningen och måste kunna visa att de uppfyller kraven.
Dataskyddsombudet bör ses som en diskussionspartner inom organisationen och bör delta i diskussionerna om uppgiftsbehandling inom organisationen.
Dataskyddsombuden ska rapportera direkt till den personuppgiftsansvariges eller personuppgiftsbiträdets högsta ledningsnivå.
Dataskyddsombud kan utföra andra uppgifter inom organisationen, men det får inte leda till en intressekonflikt. Detta innebär att dataskyddsombudet inte kan ha en position där de bestämmer ändamålen och medlen för behandlingen av personuppgifter. Motstridiga funktioner omfattar huvudsakligen ledande befattningar (chef, operativ chef, ekonomichef, HR-chef, IT-chef, verkställande direktör) men kan även omfatta andra funktioner om de leder till fastställande av ändamål och medel för behandlingen.
Enligt GDPR är det möjligt att utse ett externt dataskyddsombud med ett avtal om dess tjänster. Detta avtal kan ingås med en individ eller en organisation. I det senare fallet är det viktigt att ingen av medlemmarna i organisationen har någon intressekonflikt och att varje enskild medlem i organisationen skyddas mot oskäligt upphörande av tjänsteavtal eller oskäligt avskedande för sin verksamhet som dataskyddsombud.
Er organisation bör bistå dataskyddsombudet genom att ge tillgång till all behandling av personuppgifter och alla personuppgifter som behandlas. Det är mycket viktigt att dataskyddsombudet involveras så tidigt som möjligt i alla frågor som rör dataskydd. De resurser som krävs bör också ställas till dataskyddsombudets förfogande för att de ska kunna utföra sina uppgifter (tid, utbildning, utrustning och ekonomiska medel).
I praktiken
När dataskyddsombuden utför sina uppgifter får de inte instrueras om hur de ska hantera en fråga. Dataskyddsombudet bör t.ex. inte ges instruktioner om vad resultatet av deras råd bör vara eller hur de måste utreda ett klagomål från en enskild person, eller om det är lämpligt eller obligatoriskt att konsultera den nationella dataskyddsmyndigheten. Dataskyddsombudet får inte heller instrueras att inta en viss ståndpunkt i en fråga som rör dataskyddslagstiftningen, till exempel en särskild tolkning av lagen.
Checklista för att utse ett uppgiftsskyddsombud
- Kontrollera om ett dataskyddsombud krävs eller inte: Kontrollera om ni behöver utse ett dataskyddsombud och, om ni är osäkra, dokumentera skälen till varför ni utser eller inte utser ett dataskyddsombud.
- Om ett uppgiftsskyddsombud krävs:
- Besluta mellan ett internt eller externt dataskyddsombud: Om ett dataskyddsombud krävs, besluta om det kommer att vara en medlem i er organisation eller ett externt dataskyddsombud enligt ett tjänsteavtal.
- Kontrollera att dataskyddsombudet har yrkesmässiga kvaliteter och sakkunskaper inom dataskyddslagstiftning och praktisk erfarenhet av dataskyddsarbete och förmåga att fullgöra sina arbetsuppgifter,
- Kontrollera kraven på oberoende: Kontrollera om ert dataskyddsombud har andra uppgifter som kan äventyra deras oberoende när de utför sina uppgifter (intressekonflikter),
- Utveckla standardförfaranden inom organisationens styrning för DSO:s deltagande.
- Besluta mellan ett internt eller externt dataskyddsombud: Om ett dataskyddsombud krävs, besluta om det kommer att vara en medlem i er organisation eller ett externt dataskyddsombud enligt ett tjänsteavtal.
- Om ett dataskyddsombud inte krävs:
- Tänk igenom: Även om ni inte utser ett dataskyddsombud i den mening som avses i GDPR måste ni fortfarande uppfylla ett antal dataskyddskrav. Vi rekommenderar er att utse ett dataskyddsombud på frivillig basis, eller en person som inte har titeln DSO som, även om de inte fullt ut utför ett dataskyddsombuds uppgifter, övervakar efterlevnaden och agerar som kontaktperson för personer som utövar sina rättigheter som registrerade.
- Tänk igenom: Även om ni inte utser ett dataskyddsombud i den mening som avses i GDPR måste ni fortfarande uppfylla ett antal dataskyddskrav. Vi rekommenderar er att utse ett dataskyddsombud på frivillig basis, eller en person som inte har titeln DSO som, även om de inte fullt ut utför ett dataskyddsombuds uppgifter, övervakar efterlevnaden och agerar som kontaktperson för personer som utövar sina rättigheter som registrerade.