Personuppgiftsombud, dataskyddsombud, DPO, chief privacy officer, data protection officer… Hur hänger begreppen ihop?

GDPR introducerar begreppet dataskyddsombud, en roll som har ett utökat ansvar jämfört med dagens personuppgiftsombud. En DPO (eller en data protection officer) är det engelska begreppet på ett dataskyddsombud (ibland förekommer det att begreppet data privacy officer används synonymt men GDPRs begrepp är data protection officer. Den engelska förkortningen DPO används mycket ofta även i Sverige. En CPO eller en chief privacy officer är ett relativt nytt begrepp som börjar synas i vissa organisationer med mycket omfattande personuppgiftsbehandlingar, gränsöverskridande organisationer och eller inom större koncerner. En CPO kan exempelvis vara ansvarig för en grupp av dataskyddsombud som verkar inom en koncern.

Men vad innebär då dataskyddsrollen och vilka kvaliteter ska dataskyddsombudet inneha?

Att utse ett dataskyddsombud är obligatoriskt enligt GDPR om något av följande tre kriterier är uppfyllt:

  1. Den personuppgiftsansvarige är en myndighet eller offentligt organ,
  2. Kärnverksamheten består av behandling som kräver regelbunden och systematisk övervakning,
  3. Kärnverksamheten består av behandling av känsliga personuppgifter i stor omfattning.

Dataskyddsombudet ska rapportera till högsta förvaltningsnivå (art 38) och därtill ha de yrkesmässiga kvalifikationer som krävs (art 37), i synnerhet sakkunskap om lagstiftning och praxis på området och förmågan att fullgöra de uppgifter som avses i art 39.

Dataskyddsombudet måste alltså inte bara kunna klara av de juridiska frågeställningar, utan även ha en grundläggande förståelse för IT, vara väl insatt i verksamheten och ha en sådan ställning i organisationen att denna kan utföra de uppgifter som dataskyddsombudet har att utföra.

Har er organisation inte utsett ett dataskyddsombud än? Då är det hög tid att se över hur dataskyddsarbetet ska bedrivas, både inför och efter ikraftträdandet av förordningen.