Ska jag anmäla företaget till datainspektionen?


2018-08-22 - EXPERTEN Måste dataskyddsombudet anmäla sig själv till datainspektionen om hen misstänker att företaget inte följer lagen? Gdpr-experten Karil-Fredrik Björklund reder ut vem som ska anmäla, när det ska göras och hur det ska gå till.


FRÅGA: Redan innan gdpr trädde i kraft var jag tveksam till om vår organisation behandlar personuppgifter på rätt sätt. Jag är nyligen utsedd till dataskyddsombud och funderar nu på om vi behöver anmäla oss själva till Datainspektionen? Stämmer det?

GDPR-EXPERTEN SVARAR:
Ni som enligt gdpr måste ha ett dataskyddsombud i era organisationer, dels samtliga myndigheter, dels vissa typer av andra organisationer, till exempel vårdgivare och andra som behandlar stora mängder känsliga personuppgifter, ska skicka in kontaktuppgifter till dataskyddsombudet till Datainspektionen. Även organisationer som inte formellt behöver ha ett dataskyddsombud, men som ändå valt att utse ett sådant, måste skicka in dessa kontaktuppgifter till Datainspektionen.
Enligt personuppgiftslagen, som gällde fram till att den ersattes av gdpr den 25 maj 2018, gällde att personuppgiftsombudet, som var den tidigare benämningen på dataskyddsombud, skulle anmäla till Datainspektionen om denne hade anledning att misstänka att den organisation som man var personuppgiftsombud för bröt mot de bestämmelser som gäller för behandling av personuppgifter och om organisationen inte vidtog rättelse så snart det kunde ske efter påpekande. I motiveringen till gdpr, i de så kallade skälen, skriver man att denna skyldighet medförde administrativa och ekonomiska bördor, men förbättrade inte alltid personuppgiftsskyddet. Så denna generella anmälningsskyldighet togs bort med gdpr men ersattes av en del andra mer specifika anmälningsskyldigheter till Data­inspektionen. Dessa skyldigheter enligt gdpr åligger dock inte data­skyddsombudet utan själva organisationen.
Enligt gdpr har den personuppgiftsansvarige bland annat en skyldighet att anmäla så kallade personuppgiftsincidenter till Datainspektionen senast 72 timmar efter att denne har fått vetskap om den. Enligt gdpr är en personuppgiftsincident en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats, till exempel om en bärbar dator som innehåller personuppgifter har blivit stulen eller borttappad.
Vidare finns en skyldighet för den personuppgiftsansvarige enligt gdpr att för vissa typer av planerade personuppgiftsbehandlingar utföra så kallade konsekvensbedömningar innan behandlingen påbörjas, alltså göra särskilda analyser av hur främst ny teknik, nya system, påverkar risken för individernas, de registrerades, personliga integritet. Organisationen ska involvera dataskyddsombudet i denna analys. Finner organisationen efter denna analys att det finns risker för de registrerade ska organisationen be­gära samråd hos Datainspektionen innan personuppgiftsbehandlingen påbörjas, alltså rådgöra med Data­inspektionen.
Men återigen är detta den personuppgiftsansvariges skyldighet, inte dataskyddsombudets. Gdpr innebär därför en viss förskjutning av ansvaret från dataskyddsombudet till själva organisationen, alltså myndigheten, före­taget. Men det ligger i dataskyddsombudets roll att säkra att den personuppgiftsansvarige sköter dessa olika anmälningsskyldigheter till Data­inspektionen.


JUST NU PÅ FÖRSTA SIDAN
#9