Skip to content

Personuppgiftsombud – ett bristyrke inom två år

Krönika av Caroline Olstedt Carlström, advokat DLA Nordic

 


Har du ett personuppgiftsombud i din organisation? Om inte så är det dags att börja fundera på att rekrytera eller utbilda en sådan person. Det handlar om att skydda datalagrade personuppgifter och enligt ett EU-förslag kan det om ett par år vara lagkrav på ett sådant ombud för alla dessa verksamheter:

  • Offentliga myndigheter och andra offentliga organ
  • Alla företag med minst 250 anställda
  • Alla företag vars kärnverksamhet innebär regelbunden/systematisk behandling av lagrade uppgifter

Personuppgiftsombudet ska se till att den personliga integriteten värnas genom att garantera att dataskyddslagstiftningen följs och att personuppgifter behandlas korrekt i organisationen. Benämningen personuppgiftsombud är en svensk variant av det engelska ”Data Protection Officer”. Ombudet utses av den egna organisationen och anmäls till Datainspektionen.

I Tyskland är det redan sedan ett antal år obligatoriskt för större företag med personuppgiftsombud. I Sverige är det ännu så länge ett frivilligt åtagande, och idag finns enligt Datainspektionen 3 800 ombud som omfattar 6 200 verksamheter. Enkelt kan man säga att personuppgiftsombudet ska kontrollera att den som ansvarar för personuppgifterna gör rätt.

Mot bakgrund av den debatt som ständigt pågår om datasäkerhet och integritetsfrågor är det viktigt för den egna verksamhetens anseende och varumärke, att man genom att utse ett personuppgiftsombud kan visa att man sköter detta korrekt.

Personuppgiftsombudet, om det är en anställd, ska ha en självständig ställning i förhållande till arbetsgivaren. Ombudet är skyldigt att utöva tillsyn och granska rutiner och skall vid behov anmäla brister till den personuppgiftsansvarige organisationen och, vid behov, även till Datainspektionen. Ombudet ska fungera som en internrevisor och kan av det skälet inte ha en underordnad ställning internt.  Det krävs med andra ord utbildning, erfarenhet och tyngd för att kunna uppfylla de här kraven.

Den tekniska utvecklingen och möjligheten att i olika sammanhang samla in mängder med personuppgifter får till följd att kraven på kontroll ökar. Det är mot bakgrund av detta som EU:s kommissionär Viviane Reding i januari lade fram sitt förslag om förnyad reglering av det europeiska dataskyddet. Det nya förslaget medför också i sig kraftigt ökade krav på kontroll och skydd av personuppgifter, inte minst mot bakgrund av de omfattande företagsböter som föreslås.

Allra viktigast att tänka på är att i tid se till att det finns ett personuppgiftsombud. Alla statliga verk, kommuner och kommunala bolag, ska enligt förslaget ha ombud. Lägg därtill alla företag med mer än 250 anställda och dessutom alla de företag som i sin kärnverksamhet behandlar lagrade personuppgifter. Det kommer att handla om väldigt många ombud. Det kommer att bli ett bristyrke.

Stärkt integritetsskydd är idag en global fråga och Europa är en föregångare. Peter Fleischer, jurist och Googles Global Privacy Counsel, har sett den här utvecklingen i flera år. På sin blogg resonerar han om hur rollen som personuppgiftsombud kan och bör utvecklas. Han menar att rollen måste stärkas genom ett professionellt kunnande och agerande, och att personuppgiftsombudet därmed skaffar sig auktoritet. För verksamheter med komplicerad och omfattande hantering av personuppgifter menar Fleischer att det måste finnas en specialutbildad "tungviktare” som med auktoritet kan säkra att allting går rätt till.  I många fall kommer det här betyda att det krävs någon med lång erfarenhet av dessa frågor.

Avslutningsvis en liten fundering kring vad vi ska kalla den här rollen. ”Personuppgiftsombud” låter väl inte så spännande. Så mycket bättre är knappast ”Uppgiftsskyddsombud” som det kallas i svenska översättningen av EU-förslaget, där rollen på engelska benämns ”Data Protection Officer” . I ett försök att hitta något som låter lite tyngre med mer pondus - vad sägs om ”Dataskyddschef”? Benämningen är inte oviktig med tanke på den viktiga funktionen. 

En sak är säker, oavsett vad vi kallar rollen: Det kommer säkerligen att bli lagstadgat krav om ett par år och då blir dataskyddschefer en bristvara. Erfarna personuppgiftsombud växer inte på träd. Så börja redan nu att planera och rekrytera, så slipper verksamheten stå utan när lagen är ett faktum.

 

Caroline Olstedt Carlström

advokat DLA Nordic

Tipsa via e-post

Ange flera adresser på olika rader eller separera dem med kommatecken.

Vill du verkligen anmäla denna kommentar som olämplig?

Anmäl Avbryt