Fråga: Får vi outsourca rollen som dataskyddsombud?
Hej, På grund av både resurs- och kompetensskäl funderar vi på att outsourca rollen som dataskyddsombud till någon extern part. Såvitt jag förstår är det fullt tillåtet, tacksam om ni kan bekräfta. Den person vi har i åtanke verkar ha goda kunskaper om hur GDPR funkar.
Legalbuddy svarar

Hej och tack för att du vänder dig till oss med din fråga!


Tillåtet att anlita externt dataskyddsombud


Precis som du är inne på är det fullt tillåtet att anlita en extern part för rollen som dataskyddsombud – GDPR gör ingen skillnad mellan ”interna” och externa ombud.


Ett externt ombud kan både vara en viss fysisk person eller en juridisk person. Om ni låter juridisk person ta rollen som dataskyddsombud är det viktigt att det tydligt framgår vem eller vilka som kommer att representera den juridiska personen i leveransen och hur en eventuell ansvarsfördelning ser ut om flera personer är inblandade.


Oavsett om man outsourcar dataskyddsombudsrollen ska ombudet enligt GDPR utses på grundval av yrkesmässiga kvalifikationer och, i synnerhet, sakkunskap om lagstiftning och praxis avseende dataskydd samt förmågan att fullgöra rollen som dataskyddsombud.


Sakkunskap


Den sakkunskapsnivå som krävs preciseras inte närmare i GDPR, men måste ändå stå i proportion till mängden behandlade uppgifter och till hur känsliga och komplexa de uppgifter är som en organisation behandlar. Om behandlingen av personuppgifter är särskilt komplex eller omfattar en stor mängd känsliga uppgifter kan dataskyddsombudet till exempel behöva ha mer sakkunskap och mer stöd. Det finns även en skillnad beroende på om organisationen systematiskt överför personuppgifter utanför EU eller om överföringarna bara sker då och då. Dataskyddsombudet bör därför väljas noggrant med hänsyn till de dataskyddsproblem som kan uppstå inom organisationen.


Yrkesmässiga kvalifikationer


GDPR anger inte vilka yrkesmässiga kvalifikationer som bör övervägas vid utnämnandet av ett dataskyddsombud, men ett ombud bör (enligt Europeiska dataskyddsstyrelsen) ha sakkunskap om dataskyddslagstiftning och praxis på nationell nivå och EU-nivå och en djupgående förståelse av den allmänna dataskyddsförordningen. Kunskap om affärssektorn och den personuppgiftsansvariges organisation är användbar. Dataskyddsombudet bör också ha en god förståelse av den behandling som genomförs och vara insatt i den personuppgiftsansvariges informationssystem samt datasäkerhets- och dataskyddsbehov.

Om det rör sig om en offentlig myndighet eller ett offentligt organ bör dataskyddsombudet även ha god kännedom om organisationens administrativa regler och förfaranden.


Förmåga att fullgöra uppgifter


Ett dataskyddsombuds förmåga att fullgöra sina uppgifter avser både personliga kvaliteter och kunskap och ombudets ställning inom organisationen. Personliga kvaliteter är till exempel integritet och hög yrkesetik: dataskyddsombudets främsta prioritering bör vara ett möjliggöra efterlevnad av den allmänna dataskyddsförordningen. Dataskyddsombudet spelar en central roll för att främja en dataskyddskultur inom organisationen och bidrar till att genomföra viktiga delar i den allmänna dataskyddsförordningen, såsom principerna om behandling av personuppgifter, de registrerades rättigheter, inbyggt dataskydd och dataskydd som standard, register över behandling av personuppgifter, säkerhet i samband med behandlingen samt anmälan och meddelande av personuppgiftsincidenter.

Kickstarta ditt GDPR-arbete med ett fastpris-paket med viktiga dokument och rådgivning.

Prata med en av våra affärsjurister i 30 minuter (gratis).

Kommentarer

Få hjälp med ett GDPR-säkrat biträdesavtal för personuppgifter till fast pris

Friendly image

Finns inte svaret på din fråga?

Skriv till oss så svarar vi inom 5 arbetsdagar.

Ställ en fråga

Ställ en fråga inom alla affärsjuridiska rättsområden.

Du får en utredning från våra jurister inom 5 arbetsdagar, helt gratis!

Skriv frågan