Nya vägledningar från Artikel 29 gruppen: Dataskyddsombud
Genom dataskyddsförordningen blir det i vissa fall obligatoriskt att utse ett dataskyddsombud (tidigare personuppgiftsombud). Dessa situationer pekas ut i artikel 37.1 och är 1) om behandlingen genomförs av en myndighet eller ett offentligt organ, 2) om kärnverksamheten består av behandling som kräver regelbunden och systematiskövervakning av de registrerade i stor omfattning, eller 3) om kärnverksamheten består av behandling i stor omfattning av särskilt känsliga uppgifter och personuppgifter som rör lagöverträdelser. I de fall det inte är uppenbart att ett dataskyddsombud inte behöver utses, bör den personuppgiftsansvarige och personuppgiftsbiträdet dokumentera varför de valt att inte utse ett dataskyddsombud. Detta för att de ska kunna visa att relevanta faktorer har övervägts. En stor del av Artikel 29-gruppens vägledning om dataskyddsombud rör hur kraven i artikel 37.1 ska tolkas, och det är även det som inledningsvis kommer behandlas i det här blogginlägget.
Tolkning av centrala begrepp och uttryck
Myndighet eller offentligt organ
Vad som utgör en myndighet eller ett offentligt organ ska enligt Artikel 29-gruppen bestämmas enligt nationell lagstiftning. Artikel 29-gruppen rekommenderar att privata organisationer som verkställer offentliga uppgifter eller utövar offentlig makt utser ett dataskyddsombud, trots att det inte är obligatoriskt. Dataskyddsombudets verksamhet ska i sådana fall täcka all behandling som utförs inom organisationen, inklusive den behandling som inte är relaterad till utförande av offentliga uppgifter eller utövande av en tjänsteplikt.
Kärnverksamhet
Artikel 37.1b och c hänvisar till ”den personuppgiftsansvariges eller personuppgiftsbiträdets kärnverksamhet”. En kärnverksamhet är något som utgör en viktig del av det arbete som är nödvändigt för att uppnå målen med personuppgiftsbehandlingen (t.ex. ett sjukhus som måste behandla uppgifter om personers hälsa eller ett säkerhetsföretag som utövar övervakning av allmän plats). Den behandling som sker inom ramen för en stödverksamhet (t.ex. utbetalning av löner till anställda) anses som huvudregel inte vara en kärnverksamhet (se recit 97 till dataskyddsförordningen).
Stor omfattning
Vad som avses med uttrycket ”stor omfattning”, en term som även den används i artikel 37.1b och c, definieras inte närmare i dataskyddsförordningen (se dock recit 91 till dataskyddsförordningen). Exempel på behandling som sker i stor omfattning är behandling av patientuppgifter på ett sjukhus, personuppgifter (innehåll, trafik samt lokalisering) som behandlas av personuppgiftsansvariga som tillhandahåller telefon- eller internettjänster samt behandling av reseuppgifter rörande individer som reser kollektivt. Artikel 29-gruppen ger även två exempel på när en behandling inte sker i stor omfattning: vid behandling av patientuppgifter av en enskild läkare och behandling av personuppgifter rörande brottmålsdomar och lagöverträdelser av en enskild jurist.
Artikel 29-gruppen rekommenderar att följande omständigheter ska beaktas vid bedömningen av om behandlingen utförs i stor omfattning:
- Antalet registrerade (antingen såsom ett särskilt antal eller i förhållande till den relevanta befolkningen),
- mängden uppgifter och/eller omfånget av de uppgifter som behandlas,
- behandlingens varaktighet eller beständighet, och
- den geografiska omfattningen av behandlingen.
Regelbunden och systematisk övervakning
Såsom angivits ovan är det obligatoriskt att utse ett dataskyddsombud om det sker ”regelbunden och systematisk övervakning” av de registrerade i stor omfattning. Artikel 29-gruppen tolkar ”regelbunden” som: 1) pågående eller förekommande vid särskilda tidsintervaller under en särskild tidsperiod, 2) återkommande eller upprepade vid bestämda tidpunkter, och/eller 3) konstant eller periodvist förekommande. Begreppet ”systematisk” ska förstås som: 1) pågående enligt ett system, 2) ordnat på förhand, organiserat eller metodiskt, 3) en del av en generell plan för insamling av uppgifter, och/eller 4) utförd som en del av en strategi.
Som exempel på verksamheter som utför regelbunden och systematisk övervakning ges bl.a. följande: att driva eller tillhandahålla nätverk eller tjänster rörande telekommunikation, spårning av lokalisering (t.ex. i mobilappar eller lojalitetsprogram) samt retargeting av e-mailadresser.
Dataskyddsombudets kompetens och arbetsuppgifter
I artikel 37.5 återfinns krav på den kompetens som ett dataskyddsombud ska besitta. Vilka krav som ska ställas på dataskyddsombudets kunskapsnivå ska ställas i relation till de behandlade personuppgifternas känslighet, komplexitet och det antal uppgifter som behandlas i organisationen. Detta innebär t.ex. att högre krav kan ställas på dataskyddsombudets kunskapsnivå om verksamheten består av behandling av ett stort antal känsliga personuppgifter.
När ett dataskyddsombud utses ska ombudets yrkesmässiga och personliga kvalifikationer beaktas. Ombudet bör ha kunskap om nationell och europeisk dataskyddslagstiftning, djup kunskap om dataskyddsförordningen, förståelse för den personuppgiftsansvariges företagssektor, ha hög integritet och yrkesmoral. Artikel 29-gruppen anser vidare att det är önskvärt om dataskyddsombudet har kunskap om organisationen, de behandlingar som utförs inom verksamheten, informationssystem samt säkerhet och dataskydd.
Det är viktigt att dataskyddsombudet, så snart som möjligt, involveras i allt arbete som rör dataskydd. Som standardförfarande, för att säkerställa tillämpning av privacy by design, ska dataskyddsombudet informeras och konsulteras. Organisationen bör därför bl.a. bjuda in dataskyddsombudet till möten med högsta ledningen samt ledningen på mellannivå, ta stor hänsyn till dataskyddsombudets åsikt samt omedelbart rådfråga ombudet vid personuppgiftsincidenter.
Dataskyddsombudets arbetsuppgifter beskrivs i artikel 39.1, däri det anges att en av ombudets huvuduppgifter är att säkerställa att organisationens behandling av personuppgifter sker i enlighet med dataskyddsförordningen. Detta kan bl.a. säkerställas genom att dataskyddsombudet samlar information i syfte att identifiera personuppgiftsbehandlingen, analyserar och stämmer av att behandlingen sker i enlighet med dataskyddsförordningen samt att informera, ge råd och rekommendationer till den personuppgiftsansvarige och personuppgiftsbiträden. Rådgivningen bör omfatta bl.a. frågor relaterade till konsekvensbedömning avseende dataskydd (t.ex. om en sådan ska utföras och om det i så fall ska göras inom organisationen eller outsourcas) och vilka säkerhetsåtgärder som ska tillämpas. Om dataskyddsombudets rekommendationer inte följs bör det dokumenteras varför så inte sker.
Slutligen ska organisationen tillhandahålla dataskyddsombudet de resurser som är nödvändiga för att ombudet ska kunna utföra sina arbetsuppgifter samt upprätthålla sin kunskapsnivå. Tillhandahållandet av nödvändiga resurser kan utgöras av att bl.a. ge dataskyddsombudet tillräckligt med tid för att utföra sina arbetsuppgifter, stöd i form av finansiella resurser och regelbunden utbildning.
Klicka här för att ta del av vägledningen i dess helhet.