Det har gått tre år sedan Europeiska unionen började tillämpa en banbrytande lagstiftning för dataskydd i regionen - den allmänna dataskyddsförordningen (mer känd som GDPR). Det är den mest omfattande lagen om dataskydd och datasäkerhet i världen och den når långt utanför Europa. Mot bakgrund av några av de viktigaste uppdateringarna under det senaste året återpublicerar vi den ursprungliga artikelserien från 2018 för att ta hänsyn till hur GDPR har utvecklats. I denna första artikel tittar vi närmare på en av de viktigaste aspekterna - utnämningen av ett dataskyddsombud (DPO).
Vad exakt är en dataskyddsombud?
En enkel fråga, men svaret kräver viss förståelse för GDPR och EU:s regler om dataskydd.
För alla EU-medborgare garanteras rätten till privatliv och skydd av personuppgifter i stadgan om de grundläggande rättigheterna (artiklarna 7 och 8). Personuppgifter måste skyddas och behandlingen av dem måste ha ett lagligt syfte och vara transparent. Det huvudsakliga instrumentet för att säkerställa detta före 2018 var en kombination av EU-direktiv och lokal lagstiftning i de olika medlemsländerna. Allt detta förändrades den 25 maj 2018 när GDPR antogs i alla EU- och EES-länder.
En DPO (Data Protection Officer) arbetar för att skydda de registrerades grundläggande friheter och rättigheter i förhållande till integritet och dataskydd.
I och med GDPR blev dataskyddsombudets roll inskriven i EU-lagstiftningen. För vissa institutioner kommer det att vara obligatoriskt att ha ett dataskyddsombud, medan andra kan välja att delta. Följande organisationer är enligt lag skyldiga att utse ett dataskyddsombud:
- Offentliga/statliga institutioner
- Organisationer som behandlar vissa typer av känsliga uppgifter i stor skala
- Organisationer som behandlar personuppgifter som innebär storskalig övervakning eller kontroll
Medvetna om att många av våra kunder kommer att behöva fylla denna roll, var itslearning bland de första LMS-leverantörerna att utse en DPO. Förutom att övervaka vår egen efterlevnad och ge råd och utbildning till vår egen personal, är vårt dataskyddsombud tillgängligt för våra kunder och deras dataskyddsombud för att diskutera dataskyddsfrågor. Jag hade den rollen fram till 2020 när itslearning förvärvades av Sanoma Group. Rollen innehas nu av Riika Turunen på Sanoma. Mer information finns på vårGDPR-sida på .
Dataskyddsombudets roll
Så tillbaka till den ursprungliga frågan, vad är ett dataskyddsombud? Ett enkelt sätt att uttrycka det är att dataskyddsombud arbetar för att skydda de registrerades grundläggande friheter och rättigheter när det gäller integritet och dataskydd. För att säkerställa att dataskyddsombudet sätter den registrerades rättigheter först, och inte hans eller hennes arbetsgivares, finns det särskilda bestämmelser i GDPR för att säkerställa oberoende. Ett dataskyddsombud får inte instrueras i eller straffas för det arbete som utförs som förkämpe för dataskydd. Han eller hon får inte heller ha någon annan roll som kan stå i konflikt med skyddet av personuppgifter.
Ett vanligt missförstånd när det gäller rollen är att tro att dataskyddsombudet ansvarar för efterlevnaden av GDPR. Det är faktiskt tvärtom , ett dataskyddsombud kan inte ha en formell roll där beslut fattas som kan påverka efterlevnaden av GDPR. Tänk på det som skillnaden mellan en revisor och en bokförare; revisorn kan ge råd till bokföraren och rekommendera bokföringsteknik, men måste förbli oberoende.
På samma sätt måste dataskyddsombudet alltid rådfrågas i viktiga frågor som rör dataskydd inom hans organisation. Han eller hon kan ta ansvar för att utbilda organisationen om deras skyldigheter enligt europeiska dataskyddsbestämmelser. Dataskyddsombudet bör också proaktivt kunna bedöma och övervaka efterlevnaden och rapportera tillbaka till den högsta ledningsnivån i organisationen. Dataskyddsombudet är också kontaktpunkt för tillsynsmyndigheter i varje land som ansvarar för att se till att personuppgifter behandlas på ett rättvist och lagligt sätt.
Dataskyddsombudet är också ansvarigt för att hantera direkta förfrågningar från registrerade. Detta är dock begränsat till förfrågningar i fall där organisationen är ansvarig för syftet med behandlingen (den personuppgiftsansvarige). För itslearning är majoriteten av de uppgifter vi behandlar på uppdrag av våra kunder. Om ni är en elev, lärare eller förälder som använder våra kunders tjänster, ni måste kontakta den institution ni är inskriven i för att utöva dina rättigheter. Vår dataskyddsombud kommer dock att göra vad hon kan för att hjälpa din institution att skydda dina rättigheter.
Människor i Europa åtnjuter nu den högsta nivån av dataintegritet i världen, tack vare GDPR. Sedan den infördes har fler människor blivit medvetna om att deras uppgifter är värdefulla och att risken för dataintrång måste hanteras rigoröst. På itslearning tar vi datasekretess på största allvar med ett starkt engagemang för GDPR och ISO 27001-standarder.
För mer information om GDPR och dina rättigheter som användare av itslearning , vänligen besök vår webbsida: itslearning är förenlig med GDPR.