Ta en aktiv roll i dataskyddsarbetet


2020-01-28 - Dataskyddsförordningen gdpr gav många hr-avdelningar bråda dagar. I den nyutkomna boken Dataskyddsförordningen gdpr: För dataskyddsombud och andra ansvariga ges praktiskt stöd i dataskyddsarbetet. Ett område där hr har mycket att bidra med.

Alla organisationer behöver utse var dataskyddsansvaret ska ligga. En del verksamheter ska också utse ett dataskyddsombud enligt dataskyddsförordningen. Dataskyddsombudets roll är att självständigt kontrollera att dataskyddsförordningen gdpr följs inom organisationen genom att till exempel utföra kontroller och informationsinsatser. Vad många inte känner till är att den som utses till dataskyddsombud omfattas av särskilda regler som rör anställningen.

- Ett dataskyddsombud får till exempel inte drabbas av sämre löneutveckling eller sägas upp hur som helst. Det finns ett repressalieförbud som ska skydda ombudets integritet, vilket gör att man inte får försöka påverka ombudet eller ge hen sämre förutsättningar för att hen sagt sin mening även om den inte är i linje med vad företaget tycker. Repressalieförbudet gör det också viktigt att bottna i regelverket före man rekryterar ett dataskyddsombud, säger Monika Wendleby som är aktuell med sin andra bok om gdpr, Dataskyddsförordningen gdpr - För dataskyddsombud och andra ansvariga (Sanoma utbildning, 2020).


Monika Wendleby. Foto: Pressbild.

Eftersom det finns ett integritetsskydd för dataskyddsombud påverkar det sättet man utför utvecklingssamtal på. Dataskyddsombud har också omfattande kompetenskrav på sig som organisationen ansvarar för att hantera korrekt.

- Dataskyddsombud ska vara kulturskapande och kunna driva frågan om dataskydd i styrelsen. De måste kunna jobba riskbaserat. Dataskyddsarbetet är utmanande och lyder under ett komplext regelverk. Företag som måste ha dataskyddsombud riskerar omfattande sanktionsavgifter om inte arbetet sker på rätt sätt, säger Monika Wendleby.

Det kan bli mycket dyrt att inte följa förordningen. Sanktionsavgiften för felaktig hantering av dataskyddsombud kan som mest vara 10 miljoner euro eller två procent av bolagets globala årsomsättning, beroende på vilket belopp som är högst.

För att stötta dataskyddsombud och andra ansvariga har Monika Wendleby tagit fram verktyg som kan användas för att dokumentera och diskutera eventuella kompetensbehov i rekrytering och utveckling av dataskyddsombud. Och det är inte bara ombudet som behöver tillföras kompetens.

- Om dataskydd ska fungera i praktiken behöver verksamheten utbildas. Det är inte bara en teknisk fråga. Hr kan behöva titta på utvecklingsplaner för alla medarbetare som jobbar med dataskydd. Dessutom brukar hr ha ett dataskyddsansvar så de kan ha egna medarbetare som har det här ansvaret, säger Monika Wendleby.

Faktorer som organisationskultur, organisatoriskt lärande och typ av styrning, hierarkiskt eller tillitsbaserad, spelar roll för dataskyddsarbetet, menar hon.

- Nyckeln är att få med sig medarbetarna och där har hr en viktig funktion. Gör man dataskyddarbetet på rätt sätt så får man större ordning och reda. Det kan vara jobbigt att ta tag i från början, men det tvingar fram ett gott arbete som skapar struktur. Det är den mänskliga faktorn som ofta påstås vara skälet till incidenter. Kanske beror detta på bristfällig utbildning. I en incidentsituation vill man inte stå där och undra varför man inte har checkat och utbildat tidigare.

JENNIE JENSEN

Mer om dataskyddsombud

Det finns tre typer av verksamheter som behöver ett dataskyddsombud: Offentliga organ (myndigheter eller folkvalda församlingar), organisationer med kärnverksamhet att regelbundet, systematiskt och i stor omfattning övervaka enskilda personer samt organisationer med kärnverksamhet att behandla känsliga personuppgifter eller uppgifter om brott i stor omfattning. Källa: Datainspektionen.

Om författaren

Monika Wendleby är jurist och har en gedigen bakgrund inom svenska staten bland annat som domare i kammarrätten och förvaltningsrätten och internationell chef på Migrationsverket. Idag är hon konsult och själv dataskyddsombud i flera kundverksamheter. Hon var medförfattare till boken Dataskyddsförordningen GDPR : Förstå och tillämpa i praktiken som innehåller praktiska avsnitt om hr-arbetet.