Välkommen till Delphi Data Protection Blog! Vi kan förvänta oss stora förändringar i kraven på företags och myndigheters hantering av data. Inom EU pågår nämligen en lagstiftningsprocess om en ny reglering om skydd för personuppgifter ("dataskyddsförordningen"). Den här bloggen drivs av jurister i Advokatfirman Delphis TMT/IP-grupp i samarbete med Christine Kirchberger, doktorand vid Institutet för rättsinformatik på Stockholms universitet. Bloggen syftar till att öka medvetenheten om den kommande regleringen och peka på hur reglerna på dataskyddsområdet kan komma att ändras. Vi följer utvecklingen och uppdaterar självklart även om andra nyheter på området.

Nya vägledningar från Artikel 29 gruppen: Dataskyddsombud

Genom dataskyddsförordningen blir det i vissa fall obligatoriskt att utse ett dataskyddsombud (tidigare personuppgiftsombud). Dessa situationer pekas ut i artikel 37.1 och är 1) om behandlingen genomförs av en myndighet eller ett offentligt organ, 2) om kärnverksamheten består av behandling som kräver regelbunden och systematisk övervakning av de registrerade i stor omfattning, eller 3) om kärnverksamheten består av behandling i stor omfattning av särskilt känsliga uppgifter och personuppgifter som rör lagöverträdelser. I de fall det inte är uppenbart att ett dataskyddsombud inte behöver utses, bör den personuppgiftsansvarige och personuppgiftsbiträdet dokumentera varför de valt att inte utse ett dataskyddsombud. Detta för att de ska kunna visa att relevanta faktorer har övervägts. En stor del av Artikel 29-gruppens vägledning om dataskyddsombud rör hur kraven i artikel 37.1 ska tolkas, och det är även det som inledningsvis kommer behandlas i det här blogginlägget.

Tolkning av centrala begrepp och uttryck
Myndighet eller offentligt organ
Vad som utgör en myndighet eller ett offentligt organ ska enligt Artikel 29-gruppen bestämmas enligt nationell lagstiftning. Artikel 29-gruppen rekommenderar att privata organisationer som verkställer offentliga uppgifter eller utövar offentlig makt utser ett dataskyddsombud, trots att det inte är obligatoriskt. Dataskyddsombudets verksamhet ska i sådana fall täcka all behandling som utförs inom organisationen, inklusive den behandling som inte är relaterad till utförande av offentliga uppgifter eller utövande av en tjänsteplikt.

Kärnverksamhet
Artikel 37.1b och c hänvisar tillden personuppgiftsansvariges eller personuppgiftsbiträdets kärnverksamhet”. En kärnverksamhet är något som utgör en viktig del av det arbete som är nödvändigt för att uppnå målen med personuppgiftsbehandlingen (t.ex. ett sjukhus som måste behandla uppgifter om personers hälsa eller ett säkerhetsföretag som utövar övervakning av allmän plats). Den behandling som sker inom ramen för en stödverksamhet (t.ex. utbetalning av löner till anställda) anses som huvudregel inte vara en kärnverksamhet (se recit 97 till dataskyddsförordningen).

Stor omfattning
Vad som avses med uttrycket ”stor omfattning”, en term som även den används i artikel 37.1b och c, definieras inte närmare i dataskyddsförordningen (se dock recit 91 till dataskyddsförordningen). Exempel på behandling som sker i stor omfattning är behandling av patientuppgifter på ett sjukhus, personuppgifter (innehåll, trafik samt lokalisering) som behandlas av personuppgiftsansvariga som tillhandahåller telefon- eller internettjänster samt behandling av reseuppgifter rörande individer som reser kollektivt. Artikel 29-gruppen ger även två exempel på när en behandling inte sker i stor omfattning: vid behandling av patientuppgifter av en enskild läkare och behandling av personuppgifter rörande brottmålsdomar och lagöverträdelser av en enskild jurist.

Artikel 29-gruppen rekommenderar att följande omständigheter ska beaktas vid bedömningen av om behandlingen utförs i stor omfattning:

  • Antalet registrerade (antingen såsom ett särskilt antal eller i förhållande till den relevanta befolkningen),
  • mängden uppgifter och/eller omfånget av de uppgifter som behandlas,
  • behandlingens varaktighet eller beständighet, och
  • den geografiska omfattningen av behandlingen.

Regelbunden och systematisk övervakning
Såsom angivits ovan är det obligatoriskt att utse ett dataskyddsombud om det sker ”regelbunden och systematisk övervakning” av de registrerade i stor omfattning. Artikel 29-gruppen tolkar ”regelbunden” som: 1) pågående eller förekommande vid särskilda tidsintervaller under en särskild tidsperiod, 2) återkommande eller upprepade vid bestämda tidpunkter, och/eller 3) konstant eller periodvist förekommande. Begreppet ”systematisk” ska förstås som: 1) pågående enligt ett system, 2) ordnat på förhand, organiserat eller metodiskt, 3) en del av en generell plan för insamling av uppgifter, och/eller 4) utförd som en del av en strategi.

Som exempel på verksamheter som utför regelbunden och systematisk övervakning ges bl.a. följande: att driva eller tillhandahålla nätverk eller tjänster rörande telekommunikation, spårning av lokalisering (t.ex. i mobilappar eller lojalitetsprogram) samt retargeting av e-mailadresser.

Dataskyddsombudets kompetens och arbetsuppgifter
I artikel 37.5 återfinns krav på den kompetens som ett dataskyddsombud ska besitta. Vilka krav som ska ställas på dataskyddsombudets kunskapsnivå ska ställas i relation till de behandlade personuppgifternas känslighet, komplexitet och det antal uppgifter som behandlas i organisationen. Detta innebär t.ex. att högre krav kan ställas på dataskyddsombudets kunskapsnivå om verksamheten består av behandling av ett stort antal känsliga personuppgifter.

När ett dataskyddsombud utses ska ombudets yrkesmässiga och personliga kvalifikationer beaktas. Ombudet bör ha kunskap om nationell och europeisk dataskyddslagstiftning, djup kunskap om dataskyddsförordningen, förståelse för den personuppgiftsansvariges företagssektor, ha hög integritet och yrkesmoral. Artikel 29-gruppen anser vidare att det är önskvärt om dataskyddsombudet har kunskap om organisationen, de behandlingar som utförs inom verksamheten, informationssystem samt säkerhet och dataskydd.

Det är viktigt att dataskyddsombudet, så snart som möjligt, involveras i allt arbete som rör dataskydd. Som standardförfarande, för att säkerställa tillämpning av privacy by design, ska dataskyddsombudet informeras och konsulteras. Organisationen bör därför bl.a. bjuda in dataskyddsombudet till möten med högsta ledningen samt ledningen på mellannivå, ta stor hänsyn till dataskyddsombudets åsikt samt omedelbart rådfråga ombudet vid personuppgiftsincidenter.

Dataskyddsombudets arbetsuppgifter beskrivs i artikel 39.1, däri det anges att en av ombudets huvuduppgifter är att säkerställa att organisationens behandling av personuppgifter sker i enlighet med dataskyddsförordningen. Detta kan bl.a. säkerställas genom att dataskyddsombudet samlar information i syfte att identifiera personuppgiftsbehandlingen, analyserar och stämmer av att behandlingen sker i enlighet med dataskyddsförordningen samt att informera, ge råd och rekommendationer till den personuppgiftsansvarige och personuppgiftsbiträden. Rådgivningen bör omfatta bl.a. frågor relaterade till konsekvensbedömning avseende dataskydd (t.ex. om en sådan ska utföras och om det i så fall ska göras inom organisationen eller outsourcas) och vilka säkerhetsåtgärder som ska tillämpas. Om dataskyddsombudets rekommendationer inte följs bör det dokumenteras varför så inte sker.

Slutligen ska organisationen tillhandahålla dataskyddsombudet de resurser som är nödvändiga för att ombudet ska kunna utföra sina arbetsuppgifter samt upprätthålla sin kunskapsnivå. Tillhandahållandet av nödvändiga resurser kan utgöras av att bl.a. ge dataskyddsombudet tillräckligt med tid för att utföra sina arbetsuppgifter, stöd i form av finansiella resurser och regelbunden utbildning.

Klicka här för att ta del av vägledningen i dess helhet.

This entry was posted in Nyheter. Bookmark the permalink. Follow any comments here with the RSS feed for this post. Post a comment .

Kommentera

  • ANSVAR – RÄTTIGHETER – INTEGRITET

    Innehållet i denna blogg är av allmän karaktär och är inte att betrakta som rådgivning. Användning av innehållet på bloggen sker på egen risk. Advokatfirman Delphi ansvarar inte för innehållet på de webbplatser som Delphis webbplats länkar till. Vid länkning till denna blogg eller till Delphis webbplats skall länkning göras till startsidan. Advokatfirman Delphi kan inte garantera säker överföring eller konfidentiell hantering av information som överförs via webbplatsen. Kommunikation till Advokatfirman Delphi via webbplatsen innebär inte att det föreligger ett klient-/rådgivarförhållande mellan Advokatfirman Delphi och avsändaren. Advokatfirman Delphi förbehåller sig alla rättigheter till innehållet på webbplatsen. För de områden på webbplatsen där andra villkor för användande anges skall dessa gälla.