av Maria Ekstedt, f.d. dataskyddsombud Nynäshamns kommun, idag studerande, Jakob Söderbaum, f.d. dataskyddsombud Huddinge kommun, idag dataskyddsombud Nacka kommun, Joakim Söderberg, f.d. dataskyddsombud Tyresö kommun, idag dataskyddsjurist på None of Your Business (NOYB).
Vad ett dataskyddsombud ska göra, har för ställning i en organisation, och att det inte får utsättas för repressalier när hon/han utför sina uppgifter, är tydligt lagreglerat i GDPR. Trots detta är dataskyddsombudsrollen idag både utsatt och missförstådd på många håll och i olika verksamheter runtom i Sverige. Att det dessutom visat sig att flera dataskyddsombud som utsätts för både långvariga och systematiska repressalier i praktiken inte ens har något stöd från Integritetsskyddsmyndigheten (IMY), medför att man som dataskyddsombud får en ohållbar arbetssituation.
Skyddet för dataskyddsombud verkar inte gälla
Enligt dataskyddslagen ska dataskyddsombudets självständiga ställning vara säkerställd, och den som innehar rollen får inte utsättas för repressalier för att utföra sina arbetsuppgifter enligt GDPR. Detta är straffbelagt med upp till 5 miljoner kr i sanktionsavgifter. IMY är tillsynsmyndighet i Sverige för båda dessa lagar.
I realiteten upprätthålls dock inte detta skydd i Sverige, eftersom IMY inte tillhandahåller någon möjlighet för dataskyddsombud som utsätts för repressalier att väcka tillsynsmyndighetens uppmärksamhet om saken. Den sortens brott mot GDPR är ju per definition varken en personuppgiftsincident eller ett klagomål, och IMY är öppna med att de i princip lämnar alla inkomna tips utan avseende.
Visselblås är det sätt som då återstår för att kunna lyfta denna slags ärenden till IMY. Detta är dessutom det enda sättet idag att upprätthålla stark sekretess i pågående ärende, vilket är viktigt eftersom denna sorts ärenden i regel är mycket känsligt för dataskyddsombudet.
IMY är dock av uppfattningen att eftersom frågan enbart drabbar en person, så går det inte att visselblåsa om repressalier mot dataskyddsombud oavsett dessas omfattning eller hur väldokumenterade de är. IMY erbjuder i sådana här lägen den klagande att behandla ärendet som ett tips, med konsekvensen att det inte kommer finnas någon sekretess, annars lägger de ner ärendet utan sakprövning.
Ett dataskyddsombuds främsta uppgift är att övervaka efterlevnaden av GDPR inom den personuppgiftsansvariges verksamhetsområden. Detta råkar även vara IMY:s främsta uppgift. Många tror säkert därför att dataskyddsombud och IMY samarbetar tätt. Dataskyddsombudet har till och med en lagreglerad skyldighet att samarbeta med IMY, vilket talar för att dessa två parter väntas gå hand i hand. Men det visar sig alltså att i realiteten finns det inte något sådant samarbete, eller ens något egentligt stöd från IMY till dataskyddsombuden.
En krävande och utsatt roll
Att vara dataskyddsombud är både krävande och ensamt. Det hör till rollen att alltid vara kritisk, man har rätt att eskalera frågor hela vägen upp till de högsta beslutsfattarna, och man ska helst inte bygga utan hålla sig till granskning, uppföljning och informerande.
Förutom att kunna ha löpande samarbeten med samtliga verksamhetsdelar behöver dataskyddsombudet ha viss juridisk, IT-teknisk, organisationsteoretisk och kommunikativ kompetens. Eftersom allt inte kan göras omedelbart krävs att man är strukturerad, bra på att prioritera – och bra på att förankra sina prioriteringar.
Om då chefer kontinuerligt hindrar, motarbetar eller straffar dataskyddsombud som bara gör sitt jobb enligt lagen – vilket vi undertecknare alla har erfarenhet av – blir arbetsmiljön för dataskyddsombudet svår och kanske till slut ohållbar. Men trots att GDPR framhåller ett repressalieförbud belagt med höga sanktionsavgifter – vilket lagstiftaren har avsett ska göra dataskyddsombudets ställning starkare än den är enligt arbetsrätten – så hamnar dataskyddsombudet i realiteten i en situation där inte ens arbetsrätten skyddar. Man kan ju inte vända sig till chefens chef om denne redan är med på repressalierna, och man kan inte vända sig till HR eller facket eftersom den aktuella situationen lätt kan ses som bristande lojalitet mot arbetsgivaren.
Dataskyddsombud kan knappast lösa ut denna slags problem på egen hand, med allt vad det innebär i form av ständigt ifrågasättande av rekommendationer rörande GDPR-efterlevnaden, stängda dörrar till beslutsfattare, utfrysning i närmaste arbetsgruppen, utskällningar och tapp i lönerevisionerna. Dessutom bevisligen – vet vi – risk för att bli avskedad och/eller inte få bra referenser om man vill söka nytt jobb. I sådana här situationer är det alltså nödvändigt att IMY träder in och visar sitt stöd för dataskyddsombuden gentemot de beslutsfattare som hindrar och kanske trakasserar dataskyddsombudet i dess ordinarie tjänsteutövning.
Men som det är idag är det alltså riskfritt för arbetsgivare att straffa dataskyddsombud även om dessa bara gör sitt jobb ordentligt. Att IMY inte stöttar dataskyddsombud i sådana här situationen hindrar följaktligen en relevant GDPR-efterlevnad även sådana i organisationer som har dataskyddsombud, vilket till exempel är obligatoriskt i offentlig sektor. Detta är mycket allvarligt – för alla dataskyddsombud, alla registrerade, och även för förtroendet för IMY som tillsynsmyndighet.
Ska de tusentals dataskyddsombud som finns i Sverige våga utföra sin uppgift och på ett oberoende sätt fortsätta övervaka efterlevnaden av GDPR med risk att förlora både sin anställning, konsultuppdrag och fortsatt karriär? Eller är det så att rollen mer och mer istället kommer att utvecklas till att bli ett verkningslöst marknadsföringstrick eller ett följsamt alibi hos de personuppgiftsansvariga som har lagkrav på sig att ha egna dataskyddsombud?
Lösningen är enkel och finns inom räckhåll. IMY behöver bara låta visselblås rörande repressalier mot dataskyddsombudet gå vidare till saklig prövning. Detta kan då baseras på en bedömning om att dataskyddsombudets roll utgör ett allmänt intresse – som handlar om att säkerställa ett lagenligt skydd för alla registrerade – och att repressalier mot dataskyddsombudet därmed utgör ett hot mot alla de registrerades integritet och inte bara berör dataskyddsombudet självt.
