VAD VI GÖR: GDPR

 Photo by  Markus Spiske  on  Unsplash

Photo by Markus Spiske on Unsplash

 
 

Hur WETTERBERG arbetar som externt dataskyddsombud

 

Dataskyddsförordningen (”GDPR”) uppställer krav på att vissa organisationer som behandlar personuppgifter ska utse ett dataskyddsombud. Kravet gäller bland annat om organisationen behandlar stora mängder av personuppgifter, eller om behandling av känsliga uppgifter, såsom uppgifter om hälsa, utgör organisationens kärnverksamhet.

Organisationer som inte måste utse ett dataskyddsombud kan dra nytta av det stöd rollen innebär.  

Ett dataskyddsombud ska enligt GDPR utses på grundval av yrkesmässiga kvalifikationer och i synnerhet sakkunskap om lagstiftning inom området personlig integritet.

Kravet på att dataskyddsombudet inte får ha intressekonflikter i sin bevakning av efterlevnad innebär att dataskyddsombudet inte ska ha kontroll över den verksamhet som denne bevakar. Därför kan ingen i organisationens ledning, styrelse eller ägarbild utföra rollen.

Rollen som dataskyddsombud är en aktiv, och rådgivande roll.

Utöver de obligatoriska uppgifterna enligt GDPR utformar WETTERBERG uppdraget som dataskyddsombud till att omfatta ytterligare närliggande uppgifter:

-       Upprättandet av dokument och interna riktlinjer,

-       Ledning av arbetet med sammanställning av register över behandling,

-       Förhandling av personuppgiftsbiträdesavtal och andra avtal med anledning av dataskydd,

-       Företrädande av uppdragsgivaren i tvister med anledning av avtal eller inträffade incidenter.

Uppdraget som dataskyddsombud anpassas alltid till uppdragsgivarens specifika behov och förutsättningar.

__________

 

Dataskyddsombudets uppgifter, enligt artikel 39 GDPR
 

Enligt artikel 39 av GDPR ska ett dataskyddsombud ha minst följande uppgifter:


a)    Att informera och ge råd till uppdragsgivaren och de anställda som behandlar personuppgifter om skyldigheter enligt GDPR och andra av EU:s eller medlemsstaternas dataskyddsbestämmelser.
b)    Att övervaka efterlevnaden av GDPR, av andra av EU:s eller medlemsstaternas dataskyddsbestämmelser och av uppdragsgivarens strategi för skydd av personuppgifter. Övervakningen ska omfatta ansvarstilldelning, information till och utbildning av personal som deltar i behandling och tillhörande granskning.
c)    Att ge råd vad gäller konsekvensbedömningar avseende dataskydd, och övervaka genomförandet av den enligt artikel 35 GDPR.
d)    Att samarbeta med tillsynsmyndigheten, dock fortfarande i egenskap av uppdragsgivarens ombud.
e)    Att fungera som kontaktpunkt för tillsynsmyndigheten i frågor som rör behandling, inbegripet det förhandssamråd som avses i artikel 36 GDPR, och vid behov samråda i alla andra frågor.
Vid utförandet av sina uppgifter ska dataskyddsombudet ta vederbörlig hänsyn till de risker som är förknippade med behandlingen, med beaktande av behandlingens art, omfattning, sammanhang och syften.