Tydliga roller är en framgångsfaktor för styrning och kontroll!

En framgångsfaktor för ett fungerande GDPR-arbete är ett välorganiserat företag med tydliga roller och ansvar och där varje medarbetare får den kunskap och det stöd som krävs för att se till att personuppgifter hanteras på ett tryggt sätt.

Precis som i andra delar av er verksamhet är en tydlig rollfördelning, styrdokument och kontrollfunktioner viktiga delar för att arbetet ska fungera så bra som möjligt.

Rollen som dataskyddsombud

Rollen som dataskyddsombud (DSO) är central inom dataskyddsområdet och innebär att hantera och säkerställa efterlevnaden av dataskyddsförordningen (GDPR) och andra relevanta dataskyddsbestämmelser.

Några av de uppgifter som ligger på dataskyddsombudet är

• Övervakning av dataskyddsförordningens efterlevnad: DSO är ansvarig för att övervaka och säkerställa att organisationen följer dataskyddsförordningen i alla sina verksamheter.
• Rådgivning och utbildning: DSO ger råd och vägledning till organisationen och dess anställda om dataskyddsfrågor och genomför utbildningsaktiviteter för att öka medvetenheten.
• Samarbete med tillsynsmyndigheter: DSO fungerar som kontaktperson mellan organisationen och dataskyddsmyndigheterna och rapporterar eventuella dataläckage eller andra dataskyddsproblem.
• Löpande rapportering till ledning och styrelse.

DSO är en viktig roll för att säkerställa dataskyddet och ansvarar för att följ upp dataskyddsregler och föreskrifter.

Några tankar om kraven på styrdokument

Denna artikel tar 7 min att läsa och innehåller även mallar och annat användbart material.

En tydlig styrdokumentshantering har många fördelar: det kan bidra till ökad säkerhet, stärkta kundrelationer, ökat förtroende och kontinuitet i GDPR-arbetet.

Tydliga styrdokument hjälper till att strukturera alla delar i GDPR-arbetet, och genom att dokumentera hur ni har utfört olika processer kan ni se till att de utförs på samma sätt varje gång. Den här strukturen och kontinuiteten gör det enklare att upprätthålla en hög nivå av efterlevnad av GDPR, och sparar dessutom resurser.

Dokumentationen hjälper också till att visa för myndigheter och kunder att ni har gjort ert GDPR-arbete ordentligt och seriöst. Det kan i sin tur öka förtroendet för företaget och stärka kundrelationerna.

Att ha koll på dokumentationen kan alltså spara en hel del huvudvärk. Men vilka krav finns egentligen på styrdokument enligt GDPR?

Kraven i GDPR

Formellt sett ställer GDPR inte många krav på vilka styrdokument som ska finnas för en organisations dataskyddsarbete. Exempelvis finns det ingenting som heter ”personuppgiftspolicy” i förordningens text. Däremot ställs ofta krav på att åtgärder ska dokumenteras och att den personuppgiftsansvarige ska kunna ge information om sitt arbete. För att den personuppgiftsansvarige ska kunna uppnå den breda kunskap och struktur som krävs för att efterleva de här kraven är det i praktiken nödvändigt att ha en del styrdokument på plats.

Olika nivåer av styrdokument

De olika nivåerna av styrdokument kan ha olika benämningar inom olika organisationer, men syftet är detsamma: att reglerna för dataskyddsarbetet ska vara tydligt dokumenterade på rätt nivå i organisationen.

1. Vanligtvis finns en policy, som är beslutad på styrelsenivå och som sätter den övergripande inriktningen för organisationens dataskyddsarbete.
2. Riktlinjer antas för olika områden, vanligtvis av VD. De sätter ramarna för arbetet på ett strategiskt plan.
3. På avdelningsnivå finns instruktioner, som anger best practices i det dagliga arbetet på mer konkret nivå.
4. Vägledningar, mallar, rutiner, m.m. har en mer stöttande eller förklarande funktion. De här dokumenten fungerar som hjälp i det praktiska arbetet.

Tillgänglighet och uppdatering

Befintliga dokument behöver finnas tillgängliga för de personer som de vänder sig till. Det är också viktigt att dokumenten uppdateras regelbundet och att det framgår vem som antagit dem och när.

Dataskyddsombud, DSO/DPO

Ett dataskyddsombud (DSO eller DPO, efter Data Protection Officer) är en person som har utsetts för att övervaka och ge råd om organisationens efterlevnad av GDPR.

Vissa organisationer måste utse ett DSO enligt GDPR. Men även om ni inte måste så kan det ha flera fördelar: att ha en person som särskilt ansvarar för att hålla koll på hur ni ligger till kan bidra till ökad efterlevnad av GDPR, öka säkerheten för personuppgifter och stärka era kundrelationer.

Vem måste ha ett DSO?

I vissa fall är det obligatoriskt att utse ett DSO. Det gäller myndigheter och andra offentliga organ, oavsett vilken verksamhet de bedriver. Det gäller också privata aktörer, om deras kärnverksamhet består av personuppgiftsbehandling med omfattande systematisk övervakning, eller av storskalig behandling av känsliga uppgifter. För andra organisationer är det valfritt att utnämna ett DSO, men att göra det kan ha flera fördelar. Det underlättar ett strukturerat och ambitiöst dataskyddsarbete och bygger förtroende hos kunder och andra intressenter.

Rollen som DSO

Dataskyddsombudet kan vara en anställd, men ett ombud kan också utses externt, t.ex. i form av en anlitad konsult. Det viktiga är att personen har tillräcklig kunskap om lagstiftning och praxis inom dataskydd för att kunna utföra sina uppgifter. Dataskyddsombudet ska involveras i alla frågor som rör skyddet av personuppgifter. Några av huvuduppgifterna är:

• att ge information och råd till den personuppgiftsansvarige och de anställda om vilka skyldigheter de har enligt GDPR
• att övervaka dataskyddsarbetet
• att ge råd om konsekvensbedömningar (DPIA) och övervaka genomförandet av dem
• att fungera som kontaktperson för Integritetsskyddsmyndigheten (IMY)
• att vara de registrerades kontaktperson och ska ta emot frågor om personuppgiftsskydd och rättigheter.

Till dig som DSO

Som DSO ska du i god tid och på ett korrekt sätt involveras i alla frågor som rör skyddet av personuppgifter. Du ska få det stöd, den information, den utbildning och de resurser du behöver för att fullgöra dina uppgifter. Dataskyddsombudsrollen får kombineras med andra arbetsuppgifter, men det får inte leda till intressekonflikt eller till att du inte hinner med dina åligganden som dataskyddsombud. DSO ska rapportera direkt till den högsta ledningen. Den personuppgiftsansvarige eller personuppgiftsbiträdet får inte försöka påverka hur du utför dina uppgifter, och inte utsätta dig för sanktioner för att du har utfört dem.