Det har nu gått åtta år sedan Europeiska unionen började tillämpa en banbrytande lagstiftning för dataskydd i regionen – denallmänna dataskyddsförordningen (bättre känd som GDPR).Den är fortfarande ett av världens mest omfattande regelverk för dataskydd och datasäkerhet och fortsätter att påverka lagstiftningen långt utanför Europas gränser.
Sedan GDPR infördes 2018 har förordningen utvecklats och förtydligats genom vägledningar från tillsynsmyndigheter, tillsynsbeslut och domstolsavgöranden inom Europeiska unionen och Europeiska ekonomiska samarbetsområdet.
I detta sammanhang är det värdefullt att återvända till några av de centrala begrepp som infördes genom GDPR och fundera över hur de tillämpas idag. I denna artikel tittar vi närmare på en av de centrala roller som definieras i förordningen – dataskyddsombudet (DPO).
En enkel fråga, men svaret kräver viss förståelse för GDPR och EU:s regler för dataskydd.
För alla EU-medborgare är rätten till integritet och skydd av personuppgifter säkrad i stadgan om de grundläggande rättigheterna (artiklarna 7 och 8). Personuppgifter måste skyddas och behandlingen av dem måste ha ett lagligt syfte och vara transparent. Det viktigaste instrumentet för att säkerställa detta före 2018 var en kombination av EU-direktiv och lokal lagstiftning i de olika medlemsländerna. Allt detta förändrades den 25 maj 2018 då GDPR antogs i alla EU- och EES-medlemsstater.
Ett dataskyddsombud arbetar för att skydda de registrerades grundläggande friheter och rättigheter när det gäller integritet och dataskydd.
I och med GDPR har rollen som dataskyddsombud förankrats i EU-lagstiftningen. För vissa institutioner blir det obligatoriskt att ha ett dataskyddsombud, medan andra kan välja att ansluta sig till systemet. Följande organisationer är enligt lag skyldiga att utse ett dataskyddsombud:
Med tanke på att många av våra kunder kommer att behöva tillsätta en sådan befattning itslearning en av de första leverantörerna av lärplattformar som utsåg en dataskyddsombud. Förutom att övervaka vår egen efterlevnad och erbjuda rådgivning och utbildning till vår egen personal står vårt dataskyddsombud till förfogande för våra kunder och deras dataskyddsombud för att diskutera frågor som rör dataskydd. Befattningen är för närvarande placerad inom Sanoma-koncernen. Mer information finns på vår GDPR-sida.
Så tillbaka till den ursprungliga frågan: vad är en dataskyddsombud? Enkelt uttryckt arbetar dataskyddsombuden för att skydda de registrerades grundläggande fri- och rättigheter när det gäller integritet och dataskydd. För att säkerställa att dataskyddsombudet sätter de registrerades rättigheter i första rummet, och inte arbetsgivarens, finns det särskilda bestämmelser i GDPR som garanterar oberoende. En dataskyddsombud får inte ges instruktioner eller straffas för det arbete som utförs i egenskap av förespråkare för dataskydd. De får inte heller ha någon annan roll som kan stå i konflikt med skyddet av personuppgifter.
Ett vanligt missförstånd är att dataskyddsombudet (DPO) ansvarar för att GDPR efterlevs. I själva verket ligger ansvaret för efterlevnaden hos organisationen själv, medan dataskyddsombudet fungerar i en rådgivande och övervakande roll. Man kan jämföra det med skillnaden mellan en bokförare och en revisor: revisorn kan ge råd till bokföraren och rekommendera redovisningsmetoder, men måste förbli oberoende.
På samma sätt måste dataskyddsombudet alltid rådfrågas i viktiga frågor som rör dataskydd inom organisationen. Han eller hon kan ansvara för att utbilda organisationen i dess skyldigheter enligt de europeiska dataskyddsförordningarna. Dataskyddsombudet bör också kunna bedöma och övervaka efterlevnaden på ett proaktivt sätt samt rapportera till organisationens högsta ledning. Dataskyddsombudet fungerar även som kontaktperson för tillsynsmyndigheterna i respektive land, vilka har till uppgift att säkerställa att personuppgifter behandlas på ett rättvist och lagligt sätt.
Dataskyddsombudet ansvarar även för att hantera direkta förfrågningar från registrerade. Detta gäller dock endast förfrågningar i de fall där organisationen är ansvarig för syftet med behandlingen (den personuppgiftsansvarige). För itslearning sker den största delen av den databehandling vi utför på uppdrag av våra kunder. Om du är elev, lärare eller förälder som använder våra kunders tjänster måste du kontakta den institution där du är inskriven för att utöva dina rättigheter. Vår dataskyddsombud kommer dock att göra vad de kan för att stödja din institution i att skydda dina rättigheter.
GDPR har avsevärt stärkt rätten till dataskydd i hela Europa och ökat medvetenheten om hur personuppgifter används och skyddas. I takt med att dataskyddet fortsätter att utvecklas i takt med ny teknik och nya regelverk förblir dataskyddsombudets roll central för att säkerställa ansvarsskyldighet, öppenhet och förtroende. På itslearning tar vi dataskydd på största allvar och har ett starkt engagemang för GDPR och ISO 27001-standarderna.
För mer information om GDPR och dina rättigheter som användare av itslearning , besök vår webbsida: itslearning är GDPR-kompatibel.