Jag har diskuterat dataskyddsombudets roll enligt GDPR i ett tidigare inlägg. I detta inlägg tänkte jag ytterligare fördjupa mig i ämnen och ge min syn på rollen som DPO (data protection officer).

Enligt GDPR är vissa personuppgiftsansvariga skyldiga att utse en DPO. Även om en sådan skyldighet inte föreligger för vissa företag, kan det ändå vara klokt att utse en DPO för att säkerställa att behandlingen utgörs i enlighet med lagstiftningen. Det är även klokt att, om företaget anser sig inte behöva utse en DPO enligt GDPR, att dokumentera hur bedömningen gjorts för att säkerställa att detta beslut fattats i enlighet med GDPR.

Många organisationer och företag väljer att istället hyra in en DPO på konsultbasis, hellre än att anställda en egen DPO. Förutom att övervaka att personuppgiftsbehandlingen sker enligt dataskyddsförordningen kan en DPO fungera som kontaktperson mot tillsynsmyndigheten och mellan olika enheter inom en organisation. Att utse en DPO utanför organisationen hjälper även att trygga DPOs självständighet och oberoende på ett effektiv sätt.

Det är av stor vikt att en DPO involveras i aktuella personuppgiftsfrågor så snart som möjligt. Vid utförandet av så kallade konsekvensanalyser finns det därtill en uttrycklig skylighet att involvera och rådfråga DPOn. Att involvera DPOn vid ett tidigt skede är även en förutsättning för att uppfylla kravet på privacy by design och bör vara ett naturligt steg i varje företags utvecklingsprocesser.

Den personuppgiftsansvarige bör därför tillse att:

  • DPOn bereds möjligheten att delta i möten på strategiska och taktiska möten gällande företagets behandling av personuppgifter
  • DPOn bereds möjligheten att delta i beslut som berör personuppgiftsfrågor
  • All relevant information om företagets personuppgiftsbehandlingar lämnas till DPOn i god tid för att DPOn ska kunna lämna god rådgivning
  • DPOns bedömningar och rekommendationer ska alltid övervägas. I de fall DPOns rekommendationer inte följs, bör ett sådant beslut, inkluderande en motivering till beslutet, dokumenteras
  • DPOs utan dröjsmål informeras om eventuella personuppgiftsincidenter

Det rekommenderas att den personuppgiftsansvarige antar styrande riktlinjer för när en DPO bör konsulteras.

I art 39.1 anges de uppgifter som en DPO åtminstone bör ha. Det finns däremot inget i GDPR som hindrar att DPO även utför andra uppgifter så länge som DPOs oberoende ställning inte riskeras.