GDPR: Cio:n ska inte vara dataskyddsombud – det är säkrare med en extern lösning

Den nya dataskyddsförordningen GDPR blir lag i Sverige den 25 maj 2018 och omfattar alla företag, myndigheter och ideella organisationer. En nyhet för Sverige är ett starkare krav på en formellt utsedd granskningsfunktion, kallad dataskyddsombud (data protection officer på engelska). Sedan tidigare finns i personuppgiftslagen en frivillig möjlighet att utse ett personuppgiftsombud och anmäla det till Datainspektionen. Det ställs inga formella krav på personuppgiftsombudet utan allmänna krav på tillräckliga kvalifikationer för uppgiften och det sker ingen lämplighetsprövning.

Dataskyddsombud enligt GDPR – brist ger böter upp till 10 miljoner euro
Enligt artikel 37 i GDPR är offentliga myndigheter och enheter skyldiga att utse ett dataskyddsombud. Privata företag och organisationer som storskaligt som del av dess kärnverksamhet regelbundet och systematiskt övervakar individer (all form av profilering på internet) eller behandlar känsliga personuppgifter (som hälsodata eller biometriska data) behöver också utse dataskyddsombud.

Ett uppdrag som dataskyddsombud kan läggas ut på extern konsult. Dataskyddsombudet kan vara en individ eller juridisk person, till exempel ett aktiebolag. I det senare fallet rekommenderas att en särskild konsult namnges i uppdragsavtalet. Uppdraget behöver inte vara på heltid, utan vad som krävs för att organisationen kan efterleva GDPR och att dataskyddsombudet har tillräcklig tid och resurser att utföra sitt uppdrag väl.

Läs också: It-juristens checklista: Det här krävs för att leva upp till EU:s dataskyddsförordning

Om företaget inte utser dataskyddsombud krävs dokumentation av beslutet med juridiskt resonemang av varför man avstod.

Enligt GDPR är intressekonflikt vid utseende av dataskyddsombud ett allvarligt brott mot dataskyddsreglerna och förenat med höga böter. Bötesbeloppen kan uppgå upp till 10 miljoner euro eller upp till 2 procent av företagets globala omsättning.

Ny vägledning ger svar
Den 16 december publicerade expertgruppen kallad Artikel 29-gruppen dess vägledning till kraven på dataskyddsombud. En väsentlig nyhet i GDPR är att den personuppgiftsansvarige och dess biträde är skyldiga att påvisa efterlevnad av GDPR. Dataskyddsombudet är inte personligen ansvarig för att organisationen efterlever kraven i dataskyddslagen.

Vägledningen förtydligar även kompetenskrav såsom:

• expertis i nationell och europeisk dataskyddslagstiftning och metoder, inklusive en djup kunskap av GDPR;
• förståelse av de processer och arbetssätt som krävs för regelefterlevnad;
• förståelse av informationsteknologier och datasäkerhet;
• kunskaper om relevant affärsområde, marknad och organisationen;
• förmåga att skapa en dataskyddskultur inom organisationen.

 
Av vägledningen framgår det att expertgruppen lägger större tyngd bakom förväntningar och krav på dataskyddsombudets juridiska kunskaper än dess tekniska kompetens. Att det är så motiveras av att dataskyddsombudet även ska agera emot tillsynsmyndigheten och förenkla dialogen mellan företag och myndighet.
 
Vägledningen presenterar en lista över funktioner inom företag som anses ha en ofrånkomlig intressekonflikt att agera som dataskyddsombud:

• VD (CEO);
• Operativ chef (COO);
• Ekonomichef (CFO);
• Ansvarig läkare (CMedO);
• Marknadschef (CMO);
• Personalchef (HR);
• IT-chef (CIO);
• Bolagsjurist; samt
• personer längre ner i organisationen om dessa har inflytande i bestämmande av syftet eller tekniken för behandling av data.

 
Ytterligare krav på tillsättning av dataskyddsombud kan komma att ställas av de nationella medlemsstaterna.
 
Dataskyddsombud fara för ledningsgruppen och en möjlighet
Kompetenskraven och kraven på oberoende innebär en stor omställning för många företag, eftersom rollen som personuppgiftsombud på svenska bolag och organisationer allt som oftast faller på it-chefen eller it-säkerhetschefen. Vi har även sett att ekonomichefer, marknadschefer, bolagsjurister eller personalchefer finns bland personuppgiftsombuden. Vid utnämning av dataskyddsombud kommer detta alltså inte längre att vara möjligt och företag gör bäst i att se över denna roll i tid.  
Det väntar med säkerhet höga böter för företag som inte genomför byte av personuppgiftsansvarig inför 25 maj 2018.
 
Best practice bland ledande datadrivna företag idag är att digitalchefen, cdo:n, eller motsvarande (marknadschefen eller cio:n) leder ett diversifierat team som utarbetar företagets digitala strategi. En positiv följd av dataskyddsreglerna är behovet av ökat fokus och en verksamhetsövergripande strategi över hur data ska användas. Intressekonfliktsregler kan i bästa fall innebära att det blir en tydligare uppdelning mellan innovation och utveckling, säkerhet och marknadsföring. Frigör tid och ansvar till hur respektive funktion bäst kan använda data och låt tillsynsarbetet lett av dataskyddsombudet vara externt.

Läs också: Sex myter om EU:s dataskyddsförordning – och fyra steg för att klara anpassningen
 
För att sammanfatta:

• Företag som hanterar hälsodata, biometriska data, genomför alla former av profilering av individer på internet (inklusive för ändamål som behovsstyrd marknadsföring) kommer att vara skyldiga att utse dataskyddsombud när GDPR träder i kraft den 25 maj 2018.
• Om företaget inte utser dataskyddsombud krävs dokumentation av beslutet med juridiskt resonemang av varför man avstod.
• Beakta intressekonflikter vid utnämnande av dataskyddsombud.
• Avstå från att utse ledande personer som it-chef, bolagsjurist, marknadschef, it-säkerhetschef, vd, ekonomichef, personalchef, eller personer med inflytande på teknik och marknadsföring.
• Brott mot dessa skyldigheter avseende dataskyddsombud medför böter upp till 10 miljoner euro eller motsvarande 2 procent av företagets globala omsättning.
• Uppdraget som dataskyddsombud kan läggas på extern konsult och kan avse en individ eller juridisk person med namngiven konsult.
• Kompetenskraven på dataskyddsombudet medför att ombudet ska ha en kvalificerad juridisk kompetens om dataskydd och it-säkerhet.
• Skapa affärsnytta genom att se till att dataskyddsombudet är en del av ett större team som arbetar med företagets regelefterlevnad och innovation.
• Medvetandegör ledningsgruppen om behov och stöd av att infoga dataskydd i ett större innovationsarbete.
• Utbilda organisationen.
• Håll er uppdaterade på utvecklingen av dataskyddslagstiftning och digitalisering.