Det här är det första inlägget i en serie inlägg skrivna av itslearnings Data Protection Officer (DPO), John Arthur Berg.
Låt oss börja med att svara på den mest uppenbara frågan; Vad är en DPO? En ganska enkel fråga, men svaret kräver viss förklaring om GDPR (den allmänna dataskyddsförordningen) och EU:s dataintegritet.
För varje EU-medborgare är rätten till integritet och skydd av personuppgifter säkrad i stadgan om grundläggande rättigheter (artiklarna 7 och 8). Personuppgifter måste skyddas och bearbetningen av uppgifterna måste ha ett lagligt syfte och vara transparent. Huvudinstrumentet för att säkerställa detta har hittills varit en kombination av EU-direktiv och lokal lagstiftning i de olika medlemsländerna. Men från den 25 maj 2018 kommer direktiven och lagstiftningarna ersättas av GDPR, en förordning som automatiskt blir lag i alla medlemsländerna (och EES).
Många medlemsländer har sedan tidigare haft bestämmelser om en dataskyddsansvarig, antingen obligatoriskt eller frivilligt. Med GDPR skrivs DPO-rollen in i EU-lagstiftningen. För vissa organisationer är det obligatoriskt att ha en DPO, medan andra kan välja att tillsätta en sådan. Följande verksamheter måste utse en DPO:
a) Offentliga/statliga verksamheter
b) Verksamheter som behandlar viss typ av känslig data i stor skala
c) Verksamheter som behandlar personuppgifter som innefattar storskalig övervakning
Många av våra kunder kommer att behöva fylla denna roll och även itslearning har utsett en DPO.
Så tillbaka till den ursprungliga frågan; vad är en DPO? Ett enkelt sätt att förklara det på är att en DPO arbetar för att skydda de grundläggande fri- och rättigheterna för användare i samband med integritet och dataskydd. För att säkerställa att uppgiftslämnaren i första hand bevakar den registrerades rättigheter, inte dennes arbetsgivares, finns det särskilda bestämmelser enligt GDPR för att säkerställa oberoende. En DPO kan inte instrueras eller straffas för det arbete som utförs som ansvarig för dataskydd. Han eller hon kan inte heller ha en annan roll som strider mot personuppgiftslagen.
Ett vanligt missförstånd om rollen är att man tror att DPO:n är ansvarig för överensstämmelse med GDPR. Det är faktiskt det motsatta; en DPO kan inte ha en formell roll där beslut fattas som kan påverka överensstämmelsen med GDPR. Tänk på det som skillnaden mellan en revisor och en räkenskapsgranskare; granskaren kan ge råd till revisorn, men måste förbli oberoende.
På samma sätt måste en DPO alltid konsulteras i viktiga frågor som rör dataskydd inom dennes organisation. Han eller hon skulle kunna ta ansvar för att utbilda organisationen i sina uppgifter enligt europeiska dataskyddsbestämmelser. En DPO bör även kunna utvärdera och bevaka överensstämmelser proaktivt och rapportera till organisationens ledning. DPO:n är även kontaktperson för myndigheter i varje land som ansvarar för att personuppgifter behandlas rätt och lagligt.
