GDPR: Behöver din verksamhet utse en data protection officer?

Se till att din verksamhet är förberedd för GDPR.

Data protection officer_ GDPR

GDPR innebär att fler verksamheter behöver utse en data protection officer. Foto: Colourbox.

När GDPR träder i kraft är det viktigt för både privata och offentliga verksamheter att ha koll på sitt dataskydd, och här kan en data protection officer (DPO) vara till stor hjälp.

När GDPR-lagstiftningen träder i kraft införs strängare regler om dataskydd. Det innebär att företag inom både den privata och den offentliga sektorn behöver ligga i framkant för att undvika omfattande böter. 

Vad är en DPO?

Generellt sett ansvarar en DPO för att rådge företagets dataansvarige om persondataskydd, eftersom han eller hon har en särskild inblick i lagstiftningen och reglerna inom området. Den som är DPO arbetar självständigt och ansvarar för att följa de nya GDPR-reglerna och samtidigt fungerar rollen även som kontaktperson för Dataskyddsmyndigheten som kontrollerar företagen och deras datahantering. En data protection officer kan också ansvara för utbildning och upplärning av personal som hanterar personuppgifter dagligen. Det innebär att du som utnämnd DPO ska ha goda kompetens och kunskap inom databehandling och dataskydd.

Privata och offentliga verksamheter som arbetar med personuppgifter och samtidigt är dataansvariga måste enligt den nya GDPR-lagen utse en DPO. En data protection officer kan vara anställd av en verksamhet men fungerar som konsult och rådgivare åt flera företag, vilket innebär att verksamheter kan arbeta tillsammans för att ligga i framkant när det kommer till de nya reglerna om dataskydd. En DPO kan också vara anställd av de berörda myndigheterna och därutöver arbeta med att hålla koll på om offentliga organ och företag följer de nya reglerna.

Vilka verksamheter och instanser behöver ha en DPO?
Inom offentlig sektor är det obligatoriskt att alla myndigheter, förutom domstolar, utser en ansvarig DPO. Inom privata verksamheter finns det i grunden två omständigheter som leder till utnämning av en DPO:

1. Företagets kärnverksamhet består av; att behandla personuppgifter av
sådan karaktär att det regelbundet och systematiskt pågår en övervakning
av personer i stor skala. Det vill säga: om din verksamhet arbetar med stora mängder personuppgifter är det ett krav från EU att utse en DPO.

2. Om ditt företags kärnverksamhet går ut på att arbeta med känsliga personuppgifter. Känslig information är bland annat brottmål, information som avslöjar något om ras, etniskt ursprung, sexualitet eller politiska åsikter. Om denna känsliga information ingår i verksamhetens dagliga arbete måste en DPO utpekas.

Men det betyder inte att verksamheter som inte nödvändigtvis faller inom dessa två kategorier kan bortse från hur de hanterar sina uppgifter. Ett bra dataskydd kan ha en positiv inverkan på företagets rykte, samtidigt som man undviker framtida böter.

Säkerheten och kraven på hur data och känsliga uppgifter hanteras kommer bara att öka under de närmaste åren. Privata eller offentliga verksamheter bör därför förbereda sig ordentligt och därmed ligga i framkant när det gäller regler och krav.

Tiden är knapp innan den nya GDPR-lagen träder i kraft och det är därför viktigt att fastställa hur EU:s nya krav påverkar din verksamhet och inte minst om GDPR-lagen är relevant för huruvida en data protection officer ska utses för att hantera och ge råd om de komplexa reglerna.

Annons
Annons
Andra läser också
Annons
Annons