Hej och tack för att du vänder dig till oss med din fråga!

Tillåtet att anlita externt dataskyddsombud

Precis som du är inne på är det fullt tillåtet att anlita en extern part för rollen som dataskyddsombud – GDPR gör ingen skillnad mellan ”interna” och externa ombud.

Ett externt ombud kan både vara en viss fysisk person eller en juridisk person. Om ni låter juridisk person ta rollen som dataskyddsombud är det viktigt att det tydligt framgår vem eller vilka som kommer att representera den juridiska personen i leveransen och hur en eventuell ansvarsfördelning ser ut om flera personer är inblandade.

Oavsett om man outsourcar dataskyddsombudsrollen ska ombudet enligt GDPR utses på grundval av yrkesmässiga kvalifikationer och, i synnerhet, sakkunskap om lagstiftning och praxis avseende dataskydd samt förmågan att fullgöra rollen som dataskyddsombud.

Sakkunskap

Den sakkunskapsnivå som krävs preciseras inte närmare i GDPR, men måste ändå stå i proportion till mängden behandlade uppgifter och till hur känsliga och komplexa de uppgifter är som en organisation behandlar. Om behandlingen av personuppgifter är särskilt komplex eller omfattar en stor mängd känsliga uppgifter kan dataskyddsombudet till exempel behöva ha mer sakkunskap och mer stöd. Det finns även en skillnad beroende på om organisationen systematiskt överför personuppgifter utanför EU eller om överföringarna bara sker då och då. Dataskyddsombudet bör därför väljas noggrant med hänsyn till de dataskyddsproblem som kan uppstå inom organisationen.

Yrkesmässiga kvalifikationer

GDPR anger inte vilka yrkesmässiga kvalifikationer som bör övervägas vid utnämnandet av ett dataskyddsombud, men ett ombud bör (enligt Europeiska dataskyddsstyrelsen) ha sakkunskap om dataskyddslagstiftning och praxis på nationell nivå och EU-nivå och en djupgående förståelse av den allmänna dataskyddsförordningen. Kunskap om affärssektorn och den personuppgiftsansvariges organisation är användbar. Dataskyddsombudet bör också ha en god förståelse av den behandling som genomförs och vara insatt i den personuppgiftsansvariges informationssystem samt datasäkerhets- och dataskyddsbehov.

Om det rör sig om en offentlig myndighet eller ett offentligt organ bör dataskyddsombudet även ha god kännedom om organisationens administrativa regler och förfaranden.

Förmåga att fullgöra uppgifter

Ett dataskyddsombuds förmåga att fullgöra sina uppgifter avser både personliga kvaliteter och kunskap och ombudets ställning inom organisationen. Personliga kvaliteter är till exempel integritet och hög yrkesetik: dataskyddsombudets främsta prioritering bör vara ett möjliggöra efterlevnad av den allmänna dataskyddsförordningen. Dataskyddsombudet spelar en central roll för att främja en dataskyddskultur inom organisationen och bidrar till att genomföra viktiga delar i den allmänna dataskyddsförordningen, såsom principerna om behandling av personuppgifter, de registrerades rättigheter, inbyggt dataskydd och dataskydd som standard, register över behandling av personuppgifter, säkerhet i samband med behandlingen samt anmälan och meddelande av personuppgiftsincidenter.