Artikel | 06 Nov 2017
GDPR och de nya reglerna om dataskyddsombud
I och med att EU:s nya dataskyddsförordning träder i kraft i maj 2018 ställs det krav på vissa företag att utnämna ett dataskyddsombud. I denna artikel redogör vi för de fall då ett företag är skyldigt att utnämna ett dataskyddsombud, vem som kan vara det samt vilka uppgifter ett sådant ombud har.
Inledning
Den 25 maj 2018 träder EU:s nya dataskyddsförordning (”GDPR” eller ”förordningen”) i kraft. I mångt och mycket motsvarar reglerna i GDPR de regler för behandling av personuppgifter som nu gäller under personuppgiftslagen, men förordningen innehåller också flertalet nyheter och förändringar som företag som behandlar personuppgifter behöver vara medvetna om inför förordningens ikraftträdande. En av dessa nyheter är reglerna om dataskyddsombud, som ersätter och bygger vidare på personuppgiftslagens regler om personuppgiftsombud.
I vilka fall ska ett företag utse ett dataskyddsombud?
Enligt GDPR är ett företag skyldigt att utse ett dataskyddsombud om företagets kärnverksamhet består i att i stor omfattning behandla känsliga uppgifter (t.ex. uppgifter om hälsa, etniskt ursprung eller politisk tillhörighet), eller uppgifter om fällande domar. Företag ska också utse dataskyddsombud om kärnverksamheten består i att i stor omfattning, regelbundet och systematiskt övervaka de personer vars uppgifter företaget behandlar.
Kärnverksamhet ska i detta sammanhang enligt den s.k. artikel 29-gruppen, som bland annat har som uppgift att ta fram riktlinjer för tillämpningen av GDPR, avse de verksamhetsdelar som är nödvändiga för att uppnå företagets mål, som t.ex. ett säkerhetsföretags övervakning av personer vid kameraövervakning av ett köpcentrum. Kärnverksamheten inbegriper även sådana aktiviteter som utgör en oskiljbar del av företagets verksamhet. Exempelvis är ett sjukhus kärnverksamhet att tillhandahålla sjukvård, och eftersom det inte är möjligt att utföra denna kärnverksamhet utan att behandla patienters känsliga personuppgifter, ska den behandlingen anses utgöra en del av sjukhusets kärnverksamhet.
Förutom att företagets kärnverksamhet ska motivera behovet av ett dataskyddsombud krävs också att behandlingen är av stor omfattning för att en skyldighet att utse ett sådant ombud ska inträda. Vad som utgör ”stor omfattning” avgörs från fall till fall med beaktande av bland annat mängden registrerade och mängden personuppgifter, samt behandlingens varaktighet och geografiska omfattning. Storskalig behandling av känsliga uppgifter är t.ex. ett sjukhus behandling av patientuppgifter eller ett försäkringsbolags behandling av kunders hälsouppgifter. Exempel på företag som utför övervakning i stor omfattning är telekomföretag, företag som utför beteendestyrd marknadsföring och företag som utvecklar appar som innefattar hälsoövervakning eller platsspårning.
Vem kan vara ett dataskyddsombud?
GDPR stadgar att ett dataskyddsombud ska utses på grundval av yrkesmässiga kvalifikationer och i synnerhet personens sakkunskap om relevant lagstiftning, med en särskilt djup förståelse för GDPR. Exakt vilken grad av kunskap som krävs måste dock avgöras i varje fall med hänsyn till känsligheten, komplexiteten och mängden behandling som företaget utför.
Det är tillåtet att ett dataskyddsombud även utför andra arbetsuppgifter, och det kan därför i många fall vara enklast att utse någon från den egna personalen. Det är möjligt att utse ett ombud för hela koncernen, men i större organisationer kan det enligt artikel 29-gruppen vara nödvändigt att också utse personal som rapporterar till dataskyddsombudet för att ombudets uppgifter ska kunna fullgöras på ett effektivt sätt.
Dataskyddsombudet måste kunna utföra sina uppgifter självständigt och utan intressekonflikter. Detta krav innebär enligt artikel 29-gruppen att vissa funktioner inom företaget sannolikt inte kan agera ombud. Detta gäller särskilt sådana funktioner där personen i fråga har möjlighet att bestämma ändamålen med och medlen för behandlingen. Vilka positioner detta avser måste avgöras från företag till företag, men som tumregel avser detta mer seniora ledande positioner inom företaget, så som VD, IT-chef och HR-chef. Kravet på självständighet och avsaknad av intressekonflikter innebär sannolikt att advokater inte kan agera dataskyddsombud.
Vilka uppgifter har ett dataskyddsombud?
Ett dataskyddsombuds främsta uppgift är att övervaka att företagets behandling av personuppgifter är i linje med GDPR samt att informera och ge råd till kunder och anställda kring vilka rättigheter de har enligt förordningen och hur de kan utnyttja dessa. Det är dock alltid den personuppgiftsansvarige, alltså typiskt sett företaget, som är ytterst ansvarig för att förordningen följs. Därutöver ska ett dataskyddsombud även utgöra en kontaktperson för Datainspektionen och samarbeta med densamma om det blir aktuellt, samt ge stöd och råd till företagets ledning när företaget utför vissa av sina uppgifter enligt GDPR.
Även om ett företag inte omfattas av skyldigheten att utse ett dataskyddsombud eller vill utse ett sådant på frivillig basis kan det vara en bra idé att utse någon inom organisationen till kontaktperson gentemot enskilda och Datainspektionen för att underlätta utövandet av företagets skyldigheter enligt förordningen. Det är i sådana fall viktigt att kontaktpersonen inte titulerar sig dataskyddsombud, då denne annars omfattas av förordningens samtliga krav på sådana ombud.
Avslutande kommentarer
Ovan beskrivs endast de mest centrala aspekterna kring rollen som dataskyddsombud. Det är viktigt för företag som behandlar personuppgifter att fundera på om den behandling de utför är sådan att de kan omfattas av skyldigheten att utse ett dataskyddsombud. Det är även viktigt att i så fall utse ett dataskyddsombud i god tid innan förordningen träder i kraft, så att ombudet har en möjlighet att påverka i arbetet med de förändringar av verksamheten som GDPR kräver.
Hur stor påverkan reglerna om dataskyddsombud har på skyddet av personuppgifter inom EU återstår att se. Skyldigheten att utse dataskyddsombud verkar i brist på ytterligare vägledning vara begränsad till de allra största företagen, och eftersom artikel 29-gruppen tydliggjort att kraven på dataskyddsombud även gäller för de ombud som utsetts på frivillig basis, så kan man anta att antalet sådana frivilliga åtaganden kommer att vara begränsade. Hur stor påverkan reglerna om dataskyddsombud får beror därför troligtvis på i vilken utsträckning medlemsstaterna tar vara på möjligheten att utvidga skyldigheten att utse dataskyddsombud utöver vad som gäller enligt förordningen.
Om användandet av dataskyddombud skulle bli vanligt förekommande skulle dessa troligtvis leda till en mer effektiv tillämpning av dataskyddsreglerna och därmed stärka integritetsskyddet inom EU. Klart är att tillgången till ett dataskyddsombud utgör en trygghet för företagets kunder och anställda, oavsett om företaget är skyldigt att utse ett sådant ombud eller inte.