Från personuppgiftsombud till dataskyddsombud

Den här artikeln syftar till att försöka beskriva skillnader och likheter mellan personuppgiftsombudets och dataskyddsombudets roller. Vad det innebär för organisationen och för de registrerades rättigheter. 

GDPR medförde en ny syn på ägarskapet av personuppgifter, istället för att som förut äga de registrerade personuppgifterna ser man nu att organisationen lånar personuppgifterna och den registrerade personen kan därför kräva att felaktiga uppgifter omedelbart ändras eller att personuppgifter raderas om den registerförande organisationen inte längre har lagstöd för att ha kvar dem.  

Genom GDPR infördes en helt ny roll kring personuppgiftshanteringen då dataskyddsombudet (DSO) ersatte det tidigare personuppgiftsombudet. Förändringen innebär mycket mer än bara en ändring av titeln, det är en helt ny roll i organisationen med nytt ansvar. Dataskyddsombudet förväntas ge råd till ledningen och övervaka organisationens regelefterlevnad den ansvarsfördelningen kan leda till konflikter eftersom det är en arbetstagare som ger direktiv om hur arbetsgivaren ska sköta sitt arbete men en arbetsgivare får inte avsätta eller utsätta dataskyddsombud för sanktioner för att hen utför sina uppgifter.  Personuppgiftsombudet var en person som utförde sitt arbete på förtroende av den personuppgiftsansvarige och skulle självständigt se till att personuppgifter behandlades på ett korrekt och lagligt sätt. Dataskyddsombudet är istället en fristående person som bland annat är kontaktperson för de registrerade, för personalen inom organisationen samt för Integritetsskyddsmyndigheten (IMY, f.d. Datainspektionen) som kan välja att inspektera verksamheten. 

“Genom GDPR infördes en helt ny roll kring personuppgiftshanteringen då dataskyddsombudet (DSO) ersatte det tidigare personuppgiftsombudet. Förändringen innebär mycket mer än bara en ändring av titeln, det är en helt ny roll i organisationen med nytt ansvar.”

Dataskyddsombudets övergripande och viktigaste uppgift är att övervaka att organisationen följer dataskyddsförordningen. Det innebär bland annat att samla in information om hur organisationen behandlar personuppgifter, att kontrollera om organisationen följer lagstiftning och interna styrdokument samt att informera och ge råd inom organisationen. 

Till skillnad mot personuppgiftsombudet som arbetade efter förtroende av personuppgiftsansvarig och därmed kunde instrueras i sitt arbete har dataskyddsombudet inget eget ansvar för att organisationen följer dataskyddsförordningen. Det ansvaret ligger alltid hos den personuppgiftsansvariga eller hos personuppgiftsbiträdet. Personuppgiftsansvarig får heller inte bestraffa dataskyddsombudet för att ha utfört sina arbetsuppgifter och naturligtvis heller aldrig instruera dataskyddsombudet. 

Personuppgiftsansvarig

Personuppgiftsansvarig är den organisation (till exempel aktiebolag, stiftelse, förening eller myndighet) som bestämmer för vilka ändamål som uppgifterna ska behandlas och hur behandlingen ska gå till.

Personuppgiftsansvarig har ansvaret för all personuppgiftsbehandling. 

GDPR innebär att organisationen måste kunna visa vad de vill göra med personuppgifter som den samlar in. 

Personuppgiftsansvariga ska säkerställa:

  •  att ändamålen är specifika och konkreta,
  • att de registrerade har möjlighet att kunna bedöma vad personuppgiftsbehandlingen kan innebära,
  • att personuppgiftsbehandlingen har en rättslig grund i dataskyddsförordningen,
  • att de registrerade känner till varför deras personuppgifter behandlas.

Personuppgiftsansvarig måste informera de registrerade om ändamålet när uppgifterna samlas in. 

Personuppgiftsansvarig ska dokumentera vilka ändamål den har med personuppgiftsbehandlingen. 

“Dataskyddsombudet är istället en fristående person som bland annat är kontaktperson för de registrerade, för personalen inom organisationen samt för Integritetsskyddsmyndigheten (IMY, f.d. Datainspektionen) som kan välja att inspektera verksamheten. “

Dataskyddsombudet

Dataskyddsombudet, som kan vara en anställd inom organisationen och till och med ingå i linjeorganisationen, måste dock i rollen som dataskyddsombud utföra arbetsuppgifterna på grundval av ett tjänsteavtal.

Till skillnad mot det tidigare personuppgiftsombudet vars roll ingick i linjeorganisationen har dataskyddsombudet och personuppgiftsansvarig jämställda roller inom organisationen. Ombudet har till uppgift att granska efterlevnaden av GDPR, men även uppgiften att utbilda, informera, samt ge råd och stöd till organisationen och dess anställda.

Gör ett dataskyddsombud någon skillnad i en organisation jämfört med det tidigare personuppgiftsombudet? Ja, förmodligen.

Dataskyddsombudet ska kunna:

– tolka lagstiftningen, 

– besvara frågor från personuppgiftsansvarig, 

– utbilda och informera samt 

– vara ett stöd för organisationen. 

Ett dataskyddsombud har en samordnande roll med IMY. Hen har kunskap och verktyg för att lämna stöd vid misstanke om en personuppgiftsincident. Hen är ombud för de registrerade och har därmed möjlighet att samordna frågor mellan organisationen och den registrerade. Flertalet frågor behöver aldrig hanteras av organisationen utan blir istället en informationspunkt i årsrapporten från dataskyddsombudet. 

Dataskyddsombud som deltar vid förhandlingar och skrivande av avtal kan ta hand om frågor som rör personuppgiftsbehandling och dataskydd. När personuppgiftsbiträdesavtal behövs har dataskyddsombudet en viktig funktion för att få ett heltäckande avtal. 

Konsekvensbedömning

Dataskyddsombudet ska alltid vara delaktig om en organisation gör, eller om de överväger att göra, en konsekvensbedömning för behandling av personuppgifter. En konsekvensbedömning behövs för att samla in personuppgifter om det finns hög risk för personers rättigheter och friheter, till exempel när personuppgifter kommer att överföras till ett land utanför EU/EES, även kallat tredje land.

Ansvar både för dataskyddsombud och personuppgiftsansvarig 

GDPR ställer krav både på den som behandlar personuppgifter och på den som ska granska efterlevnaden av lagstiftningen. Båda bär samma ansvar för att lagstiftningen följs.  Det gemensamma intresset är att det upprätthålls hållbara processer de för de registrerades fri- och rättigheter men dataskyddsombudet har ingen skyldighet att, vid misstanke om bristande efterlevnad av regelverket, anmäla detta till IMY. Dataskyddsombudets uppgift är att rapportera till, personuppgiftsansvarigs högsta ledning. Skyldigheten att föra en registerförteckning finns kvar i dataskyddsförordningen, men det är den personuppgiftsansvarige som ska se till att en sådan förteckning finns.


Av: Carine Spång