News

Därför är DPO en tillgång i organisationen

October 25, 2018

Enligt de nya reglerna i Dataskyddsförordningen (GDPR) ställs krav på att alla myndigheter och offentliga organ, samt vissa privata företag måste utse ett dataskyddsombud eller en DPO (Data Protection Officer) som man ofta kallar denna funktion. Denna bedömning är inte lätt, visar en ny rapport. Datainspektionens granskning av drygt 400 myndigheter och företag som skulle ha utnämnt en DPO, visar att många inte hade gjort det.

För många känns kravet på att utse en DPO som ännu ett krav som ”tynger” organisationen både vad gäller kostnader och förmågan att säkerställa att denna funktion får förutsättningar att utföra sitt arbete på ett effektivt sätt. Men om vi vänder på frågan; hur kan en DPO vara en tillgång för organisationen? Kan organisationen skapa förutsättningar för att DPO:ns arbete blir en framgång för verksamheten? Är det även möjligt att utse en extern DPO?

Vilka är skyldiga att utse en DPO?

För vissa organisationer är det obligatoriskt att utnämna en DPO. För vissa andra organisationer rekommenderar man att dessa ska utse en DPO för att stärka arbetet med dataskydd då frågor som rör skydd av personuppgifter blir allt mer komplexa och eftersom området får allt större fokus från omvärlden.

För följande är det obligatoriskt att utse en DPO:

  • Alla myndigheter och offentliga organ (till exempel kommuner).
  • Privata företag vars kärnverksamhet består av:
    • personuppgiftsbehandling som kräver regelbunden och systematisk övervakning av de registrerade i stor omfattning (till exempel säkerhetsföretag som kameraövervakar flera köpcentrum) eller
    • personuppgiftsbehandling i stor omfattning av så kallade känsliga personuppgifter, till exempel hälsouppgifter, eller fällande domar.

Nyckelord för bedömningen är ”regelbunden och systematisk övervakning”, ”stor omfattning” och ”känsliga personuppgifter”. Är dessa nyckelord något som passar in i organisationen, bör organisationen ta tag i frågan och utse en DPO.

Det är inte alltid lätt att avgöra om privata organisationer ska utnämna en DPO. Detta bekräftas av en helt ny undersökning av Datainspektionen som har granskat drygt 400 myndigheter och företag och undersökt om dessa har utsett en DPO och anmält DPO:n till Datainspektionen

Brister har konstaterats i cirka 14 procent av de kontrollerade organisationerna, och – i närmare 25 procent av de fackförbund som valts ut. Av totalt 66 tillsynsärenden har Datainspektionen beslutat att ge reprimander i 57 fall och har tilldelat förelägganden för överträdelserna i två fall.

”Eftersom det gått så pass kort tid efter att GDPR infördes den 25 maj, har vi stannat vid att utfärda reprimander. Men, skulle vi framöver konstatera fortsatta brister när det gäller dataskyddsombud så kan även administrativa sanktionsavgifter bli aktuella”, säger Datainspektionens generaldirektör Lena Lindgren Schelin.

Alla branscher ingår inte i granskningen och det är viktigt att notera att kanske även andra organisationer än de som Datainspektionen undersökt kan behöva utnämna och anmäla en DPO. Detta kan till exempel gälla apotek, life science- företag, marketingföretag och privata sjukhus.

Dessa bör utnämna en DPO:

Även om det inte är obligatoriskt för alla privata företag att utnämna en DPO kan det vara strategiskt fördelaktigt att göra detta och det sänder även en bra signal till anställda, kunder och samarbetspartners när det gäller organisationens syn på vikten av dataskydd.

Datainspektionen rekommenderar till exempel att privata organisationer som bedriver offentlig verksamhet eller myndighetsutövning utnämner en DPO även om det inte är obligatoriskt. Detta kan också vara en bra ide om organisationen har haft ett GDPR-projekt för att säkerställa att nödvändiga åtgärder säkerställas efter det att projektet har upphört.

Man bör vara uppmärksam på att om en organisation frivilligt utser ett dataskyddsombud gäller samma krav för dataskyddsombudets status, ställning och uppgifter som om utnämningen hade varit obligatorisk.

Vilka uppgifter har en DPO?

Dataskyddsförordningen reglerar DPO:ns ställning i organisationen och vilka uppgifter denne ska utföra respektive inte får utföra – samt även vilka plikter organisationen har. Vid sidan om förordningen finns europeiska och nationella riktlinjer som innehåller rekommendationer om vad som bör respektive inte får ingå i DPO:ns roll och uppgifter. Riktlinjerna ger konkret stöd både åt organisationen och DPO:n om vad som förväntas.

Vilka utmaningar kan finnas vid valet av DPO?

Intern eller extern DPO

Dataskyddsombudet kan antigen utnämnas internt eller anlitas externt på grundval av ett tjänsteavtal. Beroende på hur komplex behandlingen av personuppgifter är, kan en grupp av enskilda personer också utföra dataskyddsombudets uppgifter om det finns en huvudkontakt som särskilt ansvarig.

Det kan vara lockande att utse en DPO internt. Då vet man vem man får och utgår ifrån att det är den mest kostnadseffektiva lösningen. Det kan dock vara svårt i praktiken att hitta interna resurser och det kan finnas uppenbara risker med att anlita en intern DPO.

På många sätt är DPO-rollen ingen enkel roll. Personen ifråga bör kunna leda ett förändringsarbete i organisationen såväl som inneha en sådan auktoritet att både ledning och medarbetare lyssnar. Personen ifråga kanske innehaft en mer anonym roll i organisationen tidigare och det kan då vara svårt att plötsligt agera synligt och hantera konflikter i verksamheten. DPO-rollen kommer snart att konfronteras med både kollegor och chefer på olika nivåer i organisationen såväl som översta ledningen, och det kan vara svårt om personen ifråga inte är van att navigera på detta sätt och lösa konflikter både vertikalt och horisontellt. Man ska vara medveten om att DPO-rollen, åtminstone till en början, ofta inte är särskilt populär i organisationen och det finns en uppenbar risk att personen ifråga får sitta ensam i fikarummet.

En ytterligare risk med en intern DPO är att den som får rollen ofta är samma person som arbetat inom organisationens GDPR-projekt, vilket innebär en risk att DPO:n i efterhand ska kontrollera sitt eget arbete. I övergången från projekt till implementering och förvaltning kan det vara svårt att vara oberoende i förhållande till det som ska granskas om DPO själv är den som skrivit biträdesavtal, interna styrdokument etcetera.

Fördelen med en intern DPO är givetvis dock att personen ”kan” organisationen – men det kan också vara en risk att man inte ser skogen för alla träd och tar vissa saker för självklart.

Det är viktigt att ledningen lyfter upp och stöttar den nya DPO-funktionen internt. Det krävs en aktiv insats från ledningen för att säkerställa att DPO:n får förutsättningar att effektivt utföra sina uppgifter.

Ofta är det så att många av de utmaningar och brister som en organisation kanske haft sedan tidigare, kring oklara roller och ansvarsområden, en decentraliserad organisation med lokala IT-lösningar och så vidare. ofta blir väldigt synliga i GDPR-arbetet och att åtgärder behöver vidtas för att säkerställa efterlevnad i förhållande till förordningens krav. Det är inte alltid lätt att vara den person som pekar på aktuella brister och identifierar de åtgärder som behöver vidtas.

Dataskydd och DPO-rollen handlar (också) om bra omdöme och långsiktig strategi

Javisst, det finns många utmaningar när man ska utse en DPO och många kanske inte tänker på att en DPO också kan vara en fördel för organisationen.

Integritetsfrågor får ständigt ökat intresse bland anställda, kunder och samarbetspartners. Det innebär att högsta ledningen behöver se till att hanteringen av personuppgifter är strukturerad, prioriterad och synlig i organisationen på ett tillförlitligt sätt.

Vad kan en DPO tillföra organisationen?

Att ha bra koll på sina personuppgifter och integritet handlar inte bara om att undvika sanktionsavgifter eller krav på ersättning. Som med mycket annat handlar det om ett bra omdöme – trovärdighet, tillit och att visa att man är ”längst fram” i sitt arbete. En DPO kan också innebära en konkurrensfördel för organisationen genom att visa och marknadsföra både internt och externt att dataskydd är ett viktigt och prioriterat område. Det handlar om att främja innovation och en kultur där dataskydd är en självklarhet – och detta är något som organisationer bör arbeta med strategiskt och långsiktigt.

En spindel i nätet

DPO:n bör få en allt mer strategisk och bred roll och på så sätt agera som spindeln i nätet med fokus på att hjälpa organisationen agera i enlighet med dataskyddslagstiftningen – genom rådgivning, utbildning, kravställning etcetera. En DPO ger dessutom de registrerade skydd och trygghet eftersom de vet vem de ska kontakta (organisationen ska offentliggöra dataskyddsombudets kontaktuppgifter och meddela dessa till tillsynsmyndigheten).

En hörnsten i organisationen

Om organisationen arbetar aktivt och strategiskt med DPO-rollen och dataskydd kan DPO:n inom en snar framtid bli en väsentlig hörnsten i organisationen. Om tillräckliga resurser för rollen saknas internt kan det vara en god affär att ta in professionell kunskap utifrån – både som en tillfällig lösning eller på längre sikt.

Skriven av Vibeke Henriques Johansson och Malin Sjödin

Related news