Det har gått tre år sedan EU började tillämpa en banbrytande lagstiftning för dataskydd i regionen - den allmänna dataskyddsförordningen (mer känd som GDPR). Det är den mest omfattande lagen om dataskydd och datasäkerhet i världen och den når långt utanför Europa. Mot bakgrund av några av de viktigaste uppdateringarna under det senaste året publicerar vi den ursprungliga artikelserien från 2018 på nytt för att ta hänsyn till hur GDPR har utvecklats. I den här första artikeln tittar vi på en av de viktigaste aspekterna - utnämningen av ett dataskyddsombud (DPO).
Vad är egentligen ett dataskyddsombud?
En enkel fråga, men svaret kräver viss förståelse för GDPR och EU:s regler för dataskydd.
För alla EU-medborgare är rätten till integritet och skydd av personuppgifter säkrad i stadgan om de grundläggande rättigheterna (artiklarna 7 och 8). Personuppgifter måste skyddas och behandlingen av dem måste ha ett lagligt syfte och vara transparent. Det viktigaste instrumentet för att säkerställa detta före 2018 var en kombination av EU-direktiv och lokal lagstiftning i de olika medlemsländerna. Allt detta förändrades den 25 maj 2018 då GDPR antogs i alla EU- och EES-medlemsstater.
Ett dataskyddsombud arbetar för att skydda de registrerades grundläggande friheter och rättigheter när det gäller integritet och dataskydd.
I och med GDPR blev dataskyddsombudets roll inskriven i EU-lagstiftningen. För vissa institutioner kommer det att vara obligatoriskt att ha ett dataskyddsombud, medan andra kan välja att ansluta sig. Följande organisationer är enligt lag skyldiga att utse ett dataskyddsombud:
- Offentliga/statliga institutioner
- Organisationer som behandlar vissa typer av känsliga uppgifter i stor skala
- Organisationer som behandlar personuppgifter som innebär storskalig kontroll eller övervakning
Vi insåg att många av våra kunder kommer att behöva fylla den här rollen och itslearning var bland de första LMS-leverantörerna att utse ett dataskyddsombud. Förutom att övervaka vår egen efterlevnad och ge råd och utbildning till vår egen personal, är vårt dataskyddsombud tillgängligt för våra kunder och deras dataskyddsombud för att diskutera dataskyddsfrågor. Jag hade den rollen fram till 2020 då itslearning förvärvades av Sanoma Group. Rollen innehas nu av Riika Turunen på Sanoma. Mer information finns på vår GDPR-sida.
Uppgiftsskyddsombudets roll
Så tillbaka till den ursprungliga frågan, vad är ett dataskyddsombud? Ett enkelt sätt att uttrycka det är att dataskyddsombud arbetar för att skydda de registrerades grundläggande friheter och rättigheter när det gäller integritet och dataskydd. För att säkerställa att dataskyddsombudet sätter den registrerades rättigheter främst, och inte sin arbetsgivares, finns det särskilda bestämmelser i GDPR för att säkerställa oberoende. Ett dataskyddsombud kan inte instrueras eller straffas för det arbete som utförs i egenskap av förkämpe för dataskydd. Han eller hon får inte heller ha någon annan roll som kan komma i konflikt med skyddet av personuppgifter.
Ett vanligt missförstånd kring rollen är att man tror att dataskyddsombudet är ansvarigt för efterlevnaden av GDPR. Det är faktiskt motsatsen, ett dataskyddsombud kan inte ha en formell roll där beslut fattas som kan påverka efterlevnaden av GDPR. Tänk på det som skillnaden mellan en revisor och en bokförare; revisorn kan ge råd till bokföraren och rekommendera bokföringsteknik, men måste förbli oberoende.
På samma sätt måste dataskyddsombudet alltid rådfrågas i viktiga frågor som rör dataskydd inom organisationen. Han eller hon kan ta ansvar för att utbilda organisationen om deras skyldigheter enligt de europeiska dataskyddsbestämmelserna. Dataskyddsombudet ska också proaktivt kunna bedöma och övervaka efterlevnaden och rapportera tillbaka till organisationens högsta ledning. Dataskyddsombudet är också kontaktpunkt för tillsynsmyndigheter i varje land som ansvarar för att se till att personuppgifter behandlas på ett rättvist och lagligt sätt.
Dataskyddsombudet är också ansvarigt för att hantera direkta förfrågningar från registrerade. Detta är dock begränsat till förfrågningar i fall där organisationen är ansvarig för syftet med behandlingen (den registeransvarige). För itslearning är majoriteten av de uppgifter vi behandlar på uppdrag av våra kunder. Om du är en elev, lärare eller förälder som använder våra kunders tjänster måste du kontakta den institution där du är inskriven för att utöva dina rättigheter. Vårt dataskyddsombud kommer dock att göra vad hon kan för att hjälpa din institution att skydda dina rättigheter.
Människor i Europa åtnjuter nu den högsta nivån av dataskydd i världen, tack vare GDPR. Sedan den infördes har fler människor blivit medvetna om att deras uppgifter är värdefulla och att risken för dataintrång måste hanteras på ett rigoröst sätt. På itslearning tar vi datasekretess på största allvar med ett starkt engagemang för GDPR och ISO 27001-standarder.
För mer information om GDPR och dina rättigheter som användare av itslearning , besök vår webbsida: itslearning är GDPR-kompatibel.