Vilka krav ställs på ett dataskyddsombud?

Fråga:

Hej, Vi är lite osäkra på vilken kompetensprofil som gäller för dataskyddsombud. Finns det några mer konkreta regler kring detta?

Besvarad av:

Tomas Jalling

Senior affärsjurist

Tomas har en bred bakgrund inom ledning och utveckling av juridiska funktioner, med erfarenhet från både privata företag och organisationer inom den offentliga sektorn. Genom LegalWorks har han haft flera tillfälliga roller som chefsjurist och bolagsjurist, där han har stöttat organisationer under perioder av tillväxt, omvandling och regeländringar. Hans arbete kännetecknas av pragmatiskt omdöme, tydlig kommunikation och en stark förmåga att översätta komplexa juridiska krav till kommersiellt förankrade lösningar.

Visa profil

Stort tack för att du vänder dig till oss med din fråga!



Allmänna krav på dataskyddsombud



I GDPR finns inga konkreta regler som anger vilken kompetensprofil som krävs för den som ska axla rollen som dataskyddsombud.


Ett ombud ska enligt GDPR utses "på grundval av yrkesmässiga kvalifikationer och, i synnerhet, sakkunskap om lagstiftning och praxis avseende dataskydd" samt förmågan att fullgöra rollen som dataskyddsombud.


Sakkunskap


Den sakkunskapsnivå som krävs preciseras inte närmare i GDPR, men måste ändå stå i proportion till mängden behandlade uppgifter och till hur känsliga och komplexa de uppgifter är som en organisation behandlar. Om behandlingen av personuppgifter är särskilt komplex eller omfattar en stor mängd känsliga uppgifter kan dataskyddsombudet till exempel behöva ha mer sakkunskap och mer stöd. Det finns även en skillnad beroende på om organisationen systematiskt överför personuppgifter utanför EU eller om överföringarna bara sker då och då. Dataskyddsombudet bör därför väljas noggrant med hänsyn till de dataskyddsproblem som kan uppstå inom organisationen.


Yrkesmässiga kvalifikationer


GDPR anger inte vilka yrkesmässiga kvalifikationer som bör övervägas vid utnämnandet av ett dataskyddsombud, men ett ombud bör (enligt Europeiska dataskyddsstyrelsen) ha sakkunskap om dataskyddslagstiftning och praxis på nationell nivå och EU-nivå och en djupgående förståelse av den allmänna dataskyddsförordningen. Kunskap om affärssektorn och den personuppgiftsansvariges organisation är användbar. Dataskyddsombudet bör också ha en god förståelse av den behandling som genomförs och vara insatt i den personuppgiftsansvariges informationssystem samt datasäkerhets- och dataskyddsbehov.

Om det rör sig om en offentlig myndighet eller ett offentligt organ bör dataskyddsombudet även ha god kännedom om organisationens administrativa regler och förfaranden.


Förmåga att fullgöra uppgifter


Ett dataskyddsombuds förmåga att fullgöra sina uppgifter avser både personliga kvaliteter och kunskap och ombudets ställning inom organisationen. Personliga kvaliteter är till exempel integritet och hög yrkesetik: dataskyddsombudets främsta prioritering bör vara ett möjliggöra efterlevnad av den allmänna dataskyddsförordningen. Dataskyddsombudet spelar en central roll för att främja en dataskyddskultur inom organisationen och bidrar till att genomföra viktiga delar i den allmänna dataskyddsförordningen, såsom principerna om behandling av personuppgifter, de registrerades rättigheter, inbyggt dataskydd och dataskydd som standard, register över behandling av personuppgifter, säkerhet i samband med behandlingen samt anmälan och meddelande av personuppgiftsincidenter.

Redo att ta kontroll över din juridik?

Starta en kostnadsfri provperiod idag eller boka en kostnadsfri coaching med en jurist. Du förbinder dig inte till något, och du öppnar dörren till smidigare, säkrare juridik.