Krav på dataskyddsombud (DSO/DPO)? Vi löser det!
Ett dataskyddsombuds (DSO/DPO) primära uppgift är att säkerställa dataskyddsförordningens efterlevnad. Uppdraget som dataskyddsombud kan delas upp i sex huvuduppgifter. Att informera om ändringar/nyheter som berör en personuppgiftsbehandling. Att utföra kontroller av verksamheten. Att ge råd rörande GDPR. Att samarbeta med IMY i ärenden som rör GDPR. Att vara kontaktperson vid utredningar samt att kunna bedöma risker och prioritera arbete, exempelvis genom en risk -och konsekvensanalys.
Secify som dataskyddsombud DSO/DPO
För att etablera ett välfungerande efterlevandsarbete arbetar vi utifrån ett systematiskt arbetssätt som vi oftast gestaltar genom ett så kallat årshjul. Syftet är att genom återkommande åtgärder och granskningar kunna påvisa ett systematiskt efterlevnadsarbete.
Vi förstår att alla verksamheter ser olika ut och har olika behov. Därför strävar vi att genom tydlig kommunikation och transparens, utforma ett tjänsteupplägg som dels möter era verksamhetsspecifika krav kopplat till dataskydd och samtidigt speglar er ambitionsnivå med ert dataskyddsarbete.
Det här hjälper vi till med som dataskyddsombud:
- Samverkan med tillsynsmyndigheten
- Stöd vid personuppgiftsincidenter
- Stöd vid införande av nya tjänster som behandlar personuppgifter (inkl. vid större infrastrukturella förändringar eller vid in- eller outsourcing av t ex driftstjänster)
- Ge råd och stöd när ni utvecklar befintliga informationssystem som innehåller personuppgifter, avvecklar gamla system och att bistå vid kravställning på nya informationssystem som ska införas i er organisation
- Omvärldsbevakning
- Löpande rapportering och rådgivning till ledningen
- Årlig revision (inkl. kontroll av riktlinjer, olika stickprov av rutiner, ev. penetrationstester)
Vi på Secify har en bred och djup kunskap inom alla nödvändiga områden som krävs för att kunna leverera en heltäckande tjänst som dataskyddsombud för er organisation. Genom oss får ni den kompetens som krävs både inom juridik, IT- och informationssäkerhet.
Som ditt dataskyddsombud hanterar vi på Secify även:
- Kunskap om dataskyddsförordningen och annan tillämplig dataskyddslagstiftning
- Övervakning av efterlevnaden av dataskyddsförordningen och annan tillämplig dataskyddslagstiftning
- Rapportering till ledningen om dataskyddsfrågor, organisationens brister och utvecklingsbehov
- Kravställning inom verksamheten och införande av säkerhetsskyddsåtgärder enligt dataskyddslagstiftning
- Övervakning av den interna efterlevnaden av organisationens strategi för dataskydd
- Identifiering av kompetens, utbildningar inom dataskyddsförordningen och angränsande lagstiftning
- Bistånd i utredning av misstänkta dataintrång
- Rådgivning och övervakning vid genomförande av konsekvensbedömning
- Omvärldsbevakning kring personuppgiftslagen, dataskyddsförordningen och patientdatalagen
- Förhandssamråd med IMY
Så här tycker våra kunder
”Som vårt externa Dataskyddsombud har Secify har hjälpt oss att lösa komplexa frågor rörande dataskydd. De har på ett föredömligt sätt gett råd, stöttat och granskat vår verksamhets behandling av personuppgifter. Den expertkompetens som vi får av Secify skapar förutsättningar för ett fortsatt tryggt dataskyddsarbete i vår organisation.”
Externt Dataskyddsombud
Ett flertal organisationer har krav på sig att utse ett dataskyddsombud. Dessa organisationer kan vara privata vårdgivare, fackförbund, teleoperatörer, banker, försäkringsbolag, säkerhetsföretag samt företag som bedriver kollektivtrafik och behandlar reseuppgifter om sina resenärer, varav samtliga har följande gemensamt:
- att regelbundet, systematiskt och i stor omfattning övervaka enskilda personer.
- att i stor omfattning behandla känsliga personuppgifter (dvs. uppgifter om hälsa, genetik, sexualliv, sexuell läggning, etiskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening) eller uppgifter om brott.
Ni behöver exempelvis utse ett dataskyddsombud om ni erbjuder era kunder lojalitetsprogram, tillhandahåller uppkopplade apparater (t.ex. smarta bilar eller anordningar för hemautomatisering) eller om er verksamhet avser tjänster för telekommunikationsnät eller telekommunikation. Ni ska också ha ett dataskyddsombud om er huvudsakliga verksamhet innefattar:
- övervakning med hjälp av kameror
- spårning och profilering på internet
- datadriven eller beteendestyrd marknadsföring
- positionsspårning (t.ex. i mobilappar)
- övervakning av hälsa, träning och övrigt mående (t.ex. genom hälsoappar eller aktivitetsarmband)
- profilering och poängsättning för riskbedömningar för bestämmande av kreditvärdighet eller nivå på försäkringspremie.
Ofta saknar dessa verksamheter intern kompetens eller ekonomiska resurser att tillgodose kraven. Att anlita ett externt dataskyddsombud för att fylla denna position kan många gånger vara både mer effektivt för verksamhetens arbete med dataskydd, samt mindre kostsamt. Vi på Secify kan agera som konsult och ert externa dataskyddsombud.
Läs mer om detta på integrationsmyndighetens webbplats.
Frågor och svar
Här finns svar på de vanligaste frågorna om dataskyddsombud. Har du en fråga som inte finns med? Använd kontaktformuläret lite längre ner på sidan.
Nej inte nödvändigtvis. Ett dataskyddsombud kan vara anställd, men funktionen kan även fyllas av en extern part, tex en konsult.
nej, det finns inga uttryckliga krav på att dataskyddsombudet måste ha en juristexamen. Dock måste dataskyddsombudet ha; god kunskap om dataskydd, bra sakkunskaper och verksamheten och tillräckliga resurser för sitt uppdrag.
ja i teorin, men Dataskyddsombudet ska kunna arbeta självständigt och oberoende, utan att bli påverkad av andra inom organisationen. Det är därför viktigt att dataskyddsombudet inte har andra arbetsuppgifter som kan krocka med rollen som dataskyddsombud.
Det är möjligt inom koncerner och även för fristående företag. Det som krävs är att dataskyddsombudet skall kunna lägga ned de resurser som krävs för att nå upp till det som föreskrivs i GDPR:s artiklar. detta gäller även för offentliga organisationer
Dataskyddsombudet ska också:
- ge råd om konsekvensbedömningar
- vara kontaktperson för oss på IMY
- vara kontaktperson för de registrerade och personalen inom organisationen
- samarbeta med IMY, till exempel vid inspektioner.
Dataskyddsombudet har inget eget ansvar för att organisationen följer dataskyddsförordningen. Det ansvaret ligger alltid hos den personuppgiftsansvariga eller hos personuppgiftsbiträdet. Personuppgiftsansvarig får heller inte bestraffa dataskyddsombudet för att ha utfört sina arbetsuppgifter.
Till skilland från en DPO, har DPM en mer operativ roll.
Det externa ombudets fördelar är att personen oftast har med sig kompetens från flera organisationer och kunskap om gällande praxis. Ett externt ombud är inte heller bunden av någon plats i organisationshierarkin och riskerar inte att bli begränsad i utövningen pga detta.
Nej, det är viktigt att dataskyddsombudet är objektiv i sitt uppdrag. Det är till exempel inte lämpligt att dataskyddsombudet sitter i organisationens ledning eller är med och fattar strategiska beslut om kärnverksamheten som omfattar personuppgiftsbehandling.
Ja, en grupp kan agera dataskyddsombud, dock krävs det alltid en utsedd kontaktperson.
Integritetsskyddsmyndigheten (IMY)
Ja, faktum är att tillsynsmyndigheten IMY, uppmuntrar samtliga organisationer att tillsätta ett dataskyddsombud. Detta för att lättare kunna kommunicera vid behov med tillsynsmyndigheten, samt för att organisera arbetet med dataskydd.
Det korta svaret är ja. Organisationer som enligt lag är förpliktade att ha ett dataskyddsombud (exempelvis myndighetsorgan, eller samhällsviktiga aktörer), kan motta sanktioner om de inte anställt alternativt implementerat en funktion för dataskyddsombud.
nej alla organisationer behöver inte enligt lag ha ett dataskyddsombud, men nästan alla måste följa GDPR. Det kan därför vara till stort värde för en verksamhet att ha någon som säkerställer att fördordningen följs.
