Stort tack för att du vänder dig till oss med din fråga!

Allmänna krav på dataskyddsombud

I GDPR finns inga konkreta regler som anger vilken kompetensprofil som krävs för den som ska axla rollen som dataskyddsombud.

Ett ombud ska enligt GDPR utses "på grundval av yrkesmässiga kvalifikationer och, i synnerhet, sakkunskap om lagstiftning och praxis avseende dataskydd" samt förmågan att fullgöra rollen som dataskyddsombud.

Sakkunskap

Den sakkunskapsnivå som krävs preciseras inte närmare i GDPR, men måste ändå stå i proportion till mängden behandlade uppgifter och till hur känsliga och komplexa de uppgifter är som en organisation behandlar. Om behandlingen av personuppgifter är särskilt komplex eller omfattar en stor mängd känsliga uppgifter kan dataskyddsombudet till exempel behöva ha mer sakkunskap och mer stöd. Det finns även en skillnad beroende på om organisationen systematiskt överför personuppgifter utanför EU eller om överföringarna bara sker då och då. Dataskyddsombudet bör därför väljas noggrant med hänsyn till de dataskyddsproblem som kan uppstå inom organisationen.

Yrkesmässiga kvalifikationer

GDPR anger inte vilka yrkesmässiga kvalifikationer som bör övervägas vid utnämnandet av ett dataskyddsombud, men ett ombud bör (enligt Europeiska dataskyddsstyrelsen) ha sakkunskap om dataskyddslagstiftning och praxis på nationell nivå och EU-nivå och en djupgående förståelse av den allmänna dataskyddsförordningen. Kunskap om affärssektorn och den personuppgiftsansvariges organisation är användbar. Dataskyddsombudet bör också ha en god förståelse av den behandling som genomförs och vara insatt i den personuppgiftsansvariges informationssystem samt datasäkerhets- och dataskyddsbehov.

Om det rör sig om en offentlig myndighet eller ett offentligt organ bör dataskyddsombudet även ha god kännedom om organisationens administrativa regler och förfaranden.

Förmåga att fullgöra uppgifter

Ett dataskyddsombuds förmåga att fullgöra sina uppgifter avser både personliga kvaliteter och kunskap och ombudets ställning inom organisationen. Personliga kvaliteter är till exempel integritet och hög yrkesetik: dataskyddsombudets främsta prioritering bör vara ett möjliggöra efterlevnad av den allmänna dataskyddsförordningen. Dataskyddsombudet spelar en central roll för att främja en dataskyddskultur inom organisationen och bidrar till att genomföra viktiga delar i den allmänna dataskyddsförordningen, såsom principerna om behandling av personuppgifter, de registrerades rättigheter, inbyggt dataskydd och dataskydd som standard, register över behandling av personuppgifter, säkerhet i samband med behandlingen samt anmälan och meddelande av personuppgiftsincidenter.