DPO (Data Protection Officer)

Vad är en DPO? 

Vid införande av GDPR 2018 fastställdes krav på hur lagefterlevnad skulle säkerställas. Bland annat så är det tvingande för en del organisationer att utse en Data Protection Officer (DPO), eller på svenska Dataskyddsombud (DSO), medan andra inte måste tillsätta en DPO. För de flesta organisationer är det en fördel att tillsätta en roll som motsvarar DPO, även om det inte är tvingande.

Vad gör en DPO? 

Uppgifterna som DPO ansvarar för (beskrivs utförligare i GDPR, artikel 39): 

• To inform and advise. (Att informera och vara rådgivare) 
• To monitor compliance. (Att övervaka regelefterlevnad) 
• To provide advice with regard to data protection impact assessments. (DPIA) (Att tillhandahålla råd och utföra DPIA) 
• To cooperate and liaise with the supervisory authority. (Att samarbeta med tillsynsmyndigheten. I Sverige Integritetsskyddsmyndigheten) 
• To be a point of contact for data subjects. (Att vara kontaktperson för individer vars  personuppgifter vi behandlar) 

The DPO must have due regard to risk associated with processing operations.(Dataskyddsombudet måste ta hänsyn till de risker som är kopplade till organisationens hantering av personuppgifter.) 

Det är organisationens ansvar att försäkra sig om dataskyddsombudets aktiva deltagande och att hen har tillgång till de resurser som krävs samt att dataskyddsombudet har en stor grad av självständighet.

Det innebär bl.a. att dataskyddsombudet skall: 

• Ha direkt tillgång till högsta ledningen. 
• Säkerställa att registrerade har tillgång till direktkontakt med dataskyddsombudet. 
• Vara bunden av sekretess. 
• Säkerställa att ingen intressekonflikt finns som härrör från annan uppgift inom organisationen. I.e. dataskyddsombudet får inte ha en uppgift som innebär ansvar för personuppgiftshantering eller säkerhet kring detsamma. (Det finns fällande domar inom EU där dataskyddsombudet inte befunnits fri från intressekonflikt och därför tilldelats böter). 

Dataskyddsombud är en bred roll med stort fokus på att hjälpa organisationen agera i enlighet med GDPR. Bl.a. genom rådgivning, utbildning, kravställning och som kontaktperson. 

Större och mer komplexa organisationer kan komma att behöva sätta upp grupperingar med flera personer för att kunna hantera arbetsbördan. Mindre eller medelstora organisationer kan komma att behöva tillsätta en DPO även om arbetsbördan inte är så hög att en heltidstjänst behövs. Detta samt kravet på att DPO:n inte skall hamna i en intressekonflikt gör att det kan vara lämpligt att köpa denna roll som en tjänst, s.k. DPO-as-a-Service. 

Vilka organisationer måste ha en DPO? 

Enligt GDPR-förordningen skall en DPO utses om: 

• Personuppgiftsbehandlingen utförs av en myndighet eller ett offentligt organ (dock ej domstolar i deras dömande verksamhet) 
• Den personuppgiftsansvariges eller personuppgiftsbiträdets kärnverksamhet består av personuppgiftsbehandling som kräver regelbunden och systematisk övervakning av de registrerade i stor omfattning eller;
• Den personuppgiftsansvariges eller personuppgiftsbiträdets kärnverksamhet består av behandling i stor omfattning av så kallade känsliga personuppgifter eller brottsuppgifter. 

Konkret så ska alla myndigheter och offentliga verksamheter utse en DPO. För den privata sektorn bör en bedömning göras. Nyckelord för denna bedömning är regelbunden och systematisk övervakning, stor omfattning och känsliga personuppgifter. Är dessa nyckelord något som passar in på er organisation så bör ni sannolikt utse en DPO. 

Även om måste-kravet inte är uppfyllt är det en fördel om organisationen säkerställer att motsvarande uppgifter utförs, men att man då inrättar tjänsten med annan titel. 

Måste en DPO vara anställd? 

En DPO behöver inte vara anställd av organisationen. Det kan till och med underlätta att hen inte är det för att undvika intressekonflikter. Det kan också i många organisationer vara mindre lätt att fylla en heltidstjänst samt bibehålla kompetensen som behövs för att agera som DPO. I dessa fall är det sannolikt effektivare att anlita en extern part till denna roll. 

Cegal och DPO

Cegal har konsulter som är experter på GDPR och har efterenhet av uppdrag som DPO eller interim-DPO. Vi kan hjälpa er med enskilda uppgifter inom området eller skräddarsy tjänsten ”DPO-as-a-Service” baserad på er organisations storlek och komplexitet.