GDPR Artiklar

Vad gör en DPO? Dataskyddsombudets arbetsuppgifter

21 maj 2018

En av följderna av dataskyddslagstiftningen (GDPR, General Data Protection Regulation) som träder i kraft den 25 maj är att vissa företag inom EU måste utse ett dataskyddsombud (Data Protection Officer, DPO). Men vilka företag berörs av detta och exakt vad är det ett dataskyddsombud gör? Lisbeth Svensson, fd Group DPO på Bisnode, svarar på dessa och många andra frågor. 

Vilka huvudsakliga uppgifter har ett dataskyddsombud? 

Dataskyddsombudet ska säkerställa att vi behandlar personuppgifter med respekt och i enlighet med dataskyddslagstiftningen. Det inkluderar att informera, vägleda och kontrollera att företaget förstår och följer lagstiftningen. Dataskyddsombudet ska även se till att företaget har rätt dokumentation på plats och att den hålls uppdaterad. Dataskyddsombudet är dessutom dataskyddsmyndighetens huvudkontakt. 

Vilka kvalifikationer och kunskaper krävs för att vara ett bra dataskyddsombud? 

För det första måste man vara väl insatt i dataskyddsfrågor, inte minst GDPR. Dataskyddsombudet har vanligtvis kontakt med hela organisationen, och därför krävs även goda kunskaper om verksamheten och förmåga att förstå (och göra sig förstådd av) kollegor med väldigt olika arbetsuppgifter. Med andra ord är det viktigt att ha god kommunikationsförmåga. Min bakgrund är bred och omfattar IT, försäljning, projektledning, HR och data, säger Lisbeth Svensson. Det ger mig en god grund att stå på, och det tror jag är en stor fördel. 

Vilka är dina främsta ansvarsområden på Bisnode? 

Mitt huvudsakliga ansvarsområde är att säkerställa att vi skyddar och hanterar personuppgifter i enlighet med lagstiftningen. Just nu är jag involverad i vårt GDPR-program och svarar på frågor från olika delar av vår organisation. Jag ser dessutom till att vi har alla nödvändiga riktlinjer och processer på plats och att vi beaktar integritetsfrågor i våra projekt och system. Det är även viktigt att vi fortsätter med dataskyddssarbetet framöver, eftersom det inte är något som upphör den 25 maj. 

Vilken typ av företag behöver utse ett dataskyddsombud? 

Rent formellt måste ett dataskyddsombud utses inom offentliga myndigheter och organisationer, och i företag vars aktiviteter omfattar storskalig, regelbunden och systematisk övervakning av registrerade personer, eller storskalig behandling av särskilda kategorier av data och personuppgifter i samband med lagöverträdelser och fällande domar. Men jag rekommenderar att alla företag som behandlar personuppgifter utser ett dataskyddsombud, eller åtminstone att man identifierar en person som är ansvarig för sekretessfrågor, beroende på hur stort företaget är och vilken mängd data man har tillgång till. 

Hur kommer dina arbetsuppgifter se ut efter den 25 maj? 

Jag fortsätter med det arbete jag utför i dag, men jag börjar även kontrollera verksamheten för att säkerställa att vi även fortsättningsvis följer lagstiftningen. Sedan uppstår löpande många frågor om vår organisation. Vi behöver säkert göra vissa finjusteringar när vi har arbetat med de nya processerna ett tag. Slutligen ska jag fortsätta att öka medvetenheten och utbilda medarbetarna när det behövs. 

Har Bisnode ett dataskyddsombud i varje land? 

Bisnode har utsett lokala dataskyddsombud, men några av dem representerar fler än bara en marknad. Det beror på att dataskyddsombudet ska vara lätt att nå och väl insatt i den lokala lagstiftningen. Det är dessutom en fördel att prata det lokala språket. Men det är inget måste att ha flera dataskyddsombud bara för att man har en internationell organisation. 

Vilken ser du som den största utmaningen i din roll? 

Jag vill säkerställa att dataskyddsombudet ständigt rådfrågas på ett tidigt stadium i varje ny process. Det är alltid lättare att ge goda råd innan något köps in eller byggs upp och implementeras. 

Vilka möjligheter ser du för ett företag som Bisnode efter att GDPR träder i kraft? 

Vårt företag och dess möjligheter kommer att förbli relativt oförändrade efter att dataskyddslagstiftningen införs, men det är enormt viktigt att vi hjälper till att kontrollera att våra kunder har rätt information för det de gör, och att deras data är korrekt och uppdaterat. En positiv bieffekt av GDPR-programmet är att vissa delar av det arbete som utförs kommer att snabba på våra processer inom andra områden. 

Vilka tror du är de största missuppfattningarna om GDPR? 

Det är framför allt tre saker som jag ofta hör och får frågor om: För det första, dataportabilitet. Ja, i vissa fall kan man begära att få sina uppgifter överförda till en annan operatör. Men det är inte alltid möjligt för alla typer av uppgifter. För det andra tror vissa att företagen alltid måste ha samtycke för att få behandla personuppgifter. Det stämmer inte. Det finns sex rättsliga grunder, och samtycke är bara en av dem. För det tredje tror en del att företag inte längre får behålla de personuppgifter de behöver. Sanningen är att företag får behålla alla uppgifter de behöver så länge det finns rättslig grund. De får inte behålla fler uppgifter än de behöver, och inte längre än de behöver dem. Dessutom måste man naturligtvis säkerställa att man respekterar individens rättigheter.  

Få insikter, trender och inspiration från Bisnode Smart Insights