j

skriven av joakim

}

08.30.2021

Borde vi ha ett Dataskyddsombud?

Rollen som Dataskyddsombud är lite speciell. Det kortaste sättet att beskriva rollen (som jag kan komma på) är att det är som att vara revisor, fast med GDPR. En längre beskrivning av tjänsten kan du läsa här.

Frågan vad dataskyddsombudets uppdrag innebär är redan behandlad föredömligt i IT-säkerhetsbolagets artikel, länkad till i förra stycket. Därför tänkte jag nu svara på frågan som jag tror att många bolag fortfarande ställer sig: ”Borde vi ha ett Dataskyddsombud?”.

Det korta svaret är ”kanske”. Min uppfattning, baserat på en väldigt översiktlig koll på annonser för Dataskyddsombud på LinkedIn, är att många bolag som inte behöver ett dataskyddsombud ändå vill anställa ett.

Vems sida står du egentligen på?

Det första jag vill påpeka, och som jag märkt genom mina år som dataskyddsjurist och själv kanske gjort fel i, i min tidigare roll som Dataskyddsombud, är att Dataskyddsombudet inte står på sin uppdragsgivares sida. Dataskyddsombudet ska värna registrerades rättigheter, och värna om principerna och reglerna i GDPR gentemot sin uppdragsgivare. Ett bolag som vill ha en lösningsorienterad och pragmatisk person i rollen som dataskyddsombud letar egentligen inte efter ett dataskyddsombud, ett sådant bolag vill ha en dataskyddsjurist.

Som det ser ut idag så är det nästan inga företag eller myndigheter som följer lagen fullt ut. Ett av det enklaste sätten att se det idag är att titta på alla cookiebanners frågan om samtycke misstolkats, inte ens vår egen regering gör rätt här.

En mindre och förändringsbenägen organisation mår troligen inte bra av att alltid behöva fråga om lov och alltid ha någon som riskerar att säga nej när de vill göra nya saker, samtidigt kan det ligga i en sådan organisations intresse att inte rusa för snabbt eftersom risken för sanktioner ökar i takt med regelbrotten.

En dramatiserad illustration av dataskyddsombudets roll

En organisations intresse är i första hand att värna organisationen, därför ligger det i organisationers intressen att begränsa sin egen risk. Ett dataskyddsombud kan vara behjälpligt i detta, men eftersom dataskyddsombudet inte arbetar i organisationens intresse utan i lagens intresse ska ett dataskyddsombud egentligen inte söka kompromisser (även om hen ska arbeta riskbaserat), utan om regelverket bryts ska hen påtala det, och om ingen åtgärd görs ska hen anmäla regelbrottet till IMY. Dataskyddsombudet ska trots allt samarbeta med dataskyddsmyndigheten (lagens förlängda arm så att säga).

Frågan som ett bolag måste ställa sig blir lite förenklat: vill vi ha en kompis som hjälper oss eller vill vi ha en golare som rapporterar allt vi gör fel till länsman? I juristbranschen brukar vi säga: ”golare har inga polare”. Så baserat på den devisen tror jag att de flesta företag hellre skulle välja bort dataskyddsombudet, om de fick välja och förstod vad rollen innebar. Alla får dock inte välja.

De som inte får välja

GDPR stadgar att vissa typer av organisationer måste ha ett dataskyddsombud. Myndigheter måste till exempel alla ha ett, och även organisationer vars kärnverksamhet kräver regelbunden och systematisk övervakning av privatpersoner måste ha ett dataskyddsombud, och sist men inte minst måste organisationer som i sin kärnverksamhet behandlar känsliga personuppgifter ha ett dataskyddsombud.

Privata vårdbolag, bolag som genomför bakgrundskontroller och bolag som övervakar oss (Facebook och Google förslagsvis) måste således ha ett dataskyddsombud, medan andra får ha ett utan att egentligen behöva ha ett.

Eftersom myndigheter måste ha ett dataskyddsombud så behöver även företag som sysslar med myndighetsutövning gentemot enskilda ha ett dataskyddsombud. En enkel förklaring är att om en organisation utövar myndighet så är den organisationen även en myndighet. Friskolor, då de sätter betyg (utöver att de även behandlar känsliga uppgifter i sin kärnverksamhet), måste till exempel ha ett dataskyddsombud.

Att just dessa typer av organisationer (myndighetsutövande, de som behandlar känslig data och övervakande) måste ha ett dataskyddsombud har sin enkla förklaring i att GDPR är en lag som syftar till att skydda individen. Dataskyddsombudet är således tänkt att utgöra en ytterligare garant i skyddet för den enskildes privatliv hos organisationer som sysslar med behandlingar som kan påverka privatpersonens privatliv i förhållandevis stor omfattning.

De allra flesta slipper dock anställa ett dataskyddsombud. Men det finns troligen väldigt många organisationer som av en eller annan anledning inte anlitat ett dataskyddsombud trots att de måste ha ett. En rolig utmaning kan till exempel vara att försöka hitta en friskola som har kontaktuppgifter till ett dataskyddsombud på sin hemsida, den första som lyckas med det bjuder jag gärna på två timmars juridisk konsultation.

Borde vi ha ett dataskyddsombud ändå?

För de organisationer som inte måste ha ett dataskyddsombud finns det en eller två anledningar att anlita ett ändå. Den främsta av dessa är för att visa att organisationen verkligen tar dataskydd på allvar, och därför har en person som enskilda kan kontakta för att få bukt med brister med dataskyddsefterlevnaden. Den personen ska sen se till att organisationen verkligen följer lagen och anmäler brister i efterlevnaden till IMY.

I praktiken kan nog tyvärr dataskyddsombudets roll innebära spänningar inom en organisation, eftersom organisationen riskerar att ha en anställd som inte har organisationens intressen i första rummet. Hos myndigheter borde detta fungera, eftersom myndigheter ändå har som uppgift att följa lagen så borde det inte vara ett problem att ha en person som är ansvarig för att övervaka regelefterlevnaden av en till lag. I praktiken är dock myndigheter precis som andra organisationer i första hand intresserade av att begränsa sin egen risk, och precis som i alla organisationer så är det människor som jobbar på myndigheter. Människor tycker inte om att höra att de gjort fel, jag för egen del gillar det verkligen inte. Ingen gillar heller att bli anmäld, och att bli granskad uppskattas nog ännu mindre skulle jag kvalificerat gissa.

Tre Österrikiska tjänstemän som jobbar med Dataskydd

Sättet att uppnå god regelefterlevnad är i första hand att ha någon som organisationen gillar och som de har förtroende för, en som är del i gänget liksom, som man kan fråga och få hjälp av. Någon som kan hålla en i handen och leda en rätt. Det vill säga att ha en anställd i stödfunktion som hjälper till med dataskyddscompliance.

Den rollen kan egentligen inte dataskyddsombudet axla fullt ut, även om de flesta kanske försöker. Risken är därför överhängande både i myndigheter och i andra organisationer att dataskyddsombudet riskerar att arbeta för sin arbetsgivare istället för den som lagen skyddar, något som är helt naturligt eftersom lönen kommer från arbetsgivaren och inte från enskilda som klagar. Tyvärr innebär det både en risk för att dataskyddsombudet begår tjänstefel och eventuellt att arbetsgivaren riskerar böter för att de inte tagit hänsyn till att dataskyddsombudet kan hamna i intressekonflikt i utförandet av sina uppgifter.

Svaret på frågan om man borde ha ett dataskyddsombud även om lagen inte kräver det skulle jag, med tanke på allt det jag sagt här ovan, säga är nej ur ett rent pragmatiskt perspektiv. Det är bättre att ha en dataskyddsexpert utan särskild titel.

Idealisten i mig svarar istället ”Ja! Klart ni ska ha ett dataskyddsombud, ni följer väl ändå lagen?”. Idealisten i mig blir ofta besviken.

Slutsatsen är att alltså att mognaden i regelefterlevnad och vår mänskliga natur gör att jobbet som dataskyddsombud blir väldigt svårt, och att dataskyddscompliance i mindre organisationer troligen blir bättre genom att ha en person som skyddar bolaget från lagen än att ha en person som skyddar lagen från bolaget.

Bilder:
Bilden på Österrikarna tog jag härifrån: https://commons.wikimedia.org/wiki/File:Three_wise_austrian_monkeys.jpg
Bilden på Dataskyddsombudet gjorde jag själv med hjälp av https://imgflip.com/memegenerator originalet kommer från https://www.facebook.com/SuperElmerDS/

Relaterade blogginlägg

Incidentmall

Incident-tillbudsrapportLadda ner Incidentrapportering är något som finns i massa branscher, men av någon anledning tror folk att det ska gå till på ett särskilt sätt inom dataskydd. Så är det inte....

läs mer

Mall för Konsekvensbedömning

Konsekvensbedomning-mallLadda ner När jag satt och letade efter mallar för konsekvensbedömningar insåg jag att det inte fanns några bra. De flesta är antingen någon form av checkboxövning (vilket...

läs mer
IMY lyssnar inte första gången

IMY lyssnar inte första gången

Inledning Kommer ni ihåg när ni såg Star Wars för första gången? Alltså a New Hope. När Darth Vader kommer in fattar man: "han den där ska man inte leka med, det kan stå en dyrt". Det här...

läs mer