Din sökning gav 0 träffar

    Ett fel uppstod.
    Dölj bild

    Intranät Stockholms stift

    Dataskyddsombud 

    Vad säger regelverket?

    Vissa organisationer är skyldiga att ha ett dataskyddsombud. Juridiska personer inom svenska kyrkan omfattas av det kravet eftersom man i sin kärnverksamhet behandlar stora mängder känsliga personuppgifter (bland annat personuppgifter som avslöjar religiös övertygelse) samt också har tillgång till ett mycket omfattande medlemsregister.

    Det är mycket viktigt att utse ett dataskyddsombud och anmäla det till Datainspektionen. Datainspektionen har i ett flertal beslut meddelat fackföreningar (de behandlar på samma sätt som kyrkan känsliga personuppgifter i stor omfattning i sin kärnverksamhet) en reprimand för att de varit sena med sin anmälan räknat från den 25 maj 2018.

    Av besluten kan utläsas att det stannade vid en reprimand och inte en penningsanktion denna gång eftersom granskningen inleddes direkt efter att förordningen trätt ikraft. Det är också viktigt att kontaktuppgifter rörande ombudet finns anslagna både internt och externt (på webben, till exempel i integritetspolicyn) så att registrerade vet vem de ska vända sig till.

    Församlingar/pastorat kan utse ett internt eller externt dataskyddsombud förutsatt att formkraven på ombudet är uppfyllda (se nästa avsnitt). Oavsett om det är ett internt eller externt dataskyddsombud som utses ska denne ha tillräckligt med tid för uppdraget (detta behöver beaktas om flera pastorat eller församlingar vill dela på ett ombud). 

    Man kan ha ett eller flera dataskyddsombud (endast ett kan anmälas till Datainspektionen men alla som utsetts till dataskyddsombud har samma status). Att utse någon till ett dataskyddsombud bör göras i ett beslut som diarieförs. Dataskyddsombudens kontaktuppgifter ska vara tydligt angivna på hemsidan, helst i integritetspolicyn.

    Att inte ha ett dataskyddsombud anmält till Datainspektionen eller i övrigt inte följa kraven rörande dataskyddsombud kan leda till penningsanktioner på upp till 10 miljoner euro. 

    Vem kan utses till dataskyddsombud

    Det finns flera krav på dataskyddsombud och de avser både kompetens och integritet. Följande kompetenskrav ska uppfyllas;

    • Kunskap om dataskyddsförordningen, vilket betyder att man måste kunna regelverket och förstå hur det ska tillämpas. Eftersom kärnuppgiften rör behandling av känsliga personuppgifter, vilka anses särskilt integritetskänsliga, är det viktigt att ha gedigen kunskap rörande den hanteringen. Beträffande kunskap om regelverket är kraven att de har sakkunskap om dataskyddslagstiftning och praxis på nationell nivå och EU-nivå och en djupgående förståelse av texterna i dataskyddsförordningen.
    • Sakkunskap, det vill säga förstå verksamheten och de IT-stöd den använder. Dataskyddsombudet bör väljas noggrant utifrån de dataskyddsproblem som kan uppstå inom organisationen. Har församlingen/pastoratet till exempel verksamhet som berör länder utanför EU eller samarbete med internationella organisationer uppstår särskilda problem som måste hanteras.
    • Ha förmåga att fullfölja uppgifter: Utöver de tidigare två punkterna innefattas här både personliga kvaliteter och att man har rätt ställning i organisationen. Personliga kvaliteter är till exempel integritet och hög yrkesetik. Det ska vara tydligt att dataskyddsombudets främsta prioritering är att möjliggöra efterlevnad av den allmänna dataskyddsförordningen, vilket påverkar tjänstebeskrivningen.​


    Kompetenskravet

    Det är församlingen/pastoratet som ansvarar för att dataskyddsombudet har den kompetens som beskrivs ovan. Om hen inte har rätt kompetens behöver den stärkas genom kompetensutvecklingsinsatser. Ett vanligt utvecklingsbehov för många dataskyddsombud är att få fördjupa sin kunskap om regelverket och juridiska metoder.  Hen kan också behöva utbildas i hur man arbetar riskbaserat med kontroller eller något annat som krävs för att hen på ett rimligt sätt ska kunna fullgöra sitt arbete. De träffar som Stockholms och Uppsala stift anordnar för sina dataskyddsombud är bra tillfällen att utöka sin kompetens (och bör vara obligatoriska för alla dataskyddsombud) men de är ofta inte ensamt tillräckliga. 
    Det bör i sammanhanget noteras att det finns ett repressalieförbud, se nedan, vilket gör att det inte är lätt att byta ombud i ett senare läge om parterna inte är överens. Det är därför bra att församlingar och pastorat noga tänker igenom hur mycket kompetensutveckling som krävs för att ett ombud ska kunna fullfölja sitt uppdrag korrekt innan ombudet tillsätts. När ombudet väl är tillsatt behöver huvudfokus vara att säkra punkterna ovan.
    Ett dataskyddsombud som anser att hen behöver ytterligare kompetensutveckling ska lyfta detta till sin församling/sitt pastorat. Checklistor och texter på intranätet kan vara en bra hjälp i att bedöma vilka fördjupningsbehov som kan finnas för hen. Det är viktigt att dataskyddsombudet själv är aktiv, eftersom en korrekt kompetensnivå är en viktig del av uppdraget (felaktig hantering kan i förlängningen leda till sanktioner för den personuppgiftsansvarige). Det är också klokt att ombudet noga dokumenterar vad hen gör och vilka svar hen får rörande detta. Ett bra ställe att göra detta är i kontrollrapporterna (där kan anges hur ombudet bedömer frågan). 

    Följande integritetskrav ska beaktas:

    • Församlingen/pastoratet ska säkerställa att dataskyddsombudet inte tar emot instruktioner som gäller utförandet av uppgifter. I klartext innebär detta att varken kyrkoråd, kyrkoherden eller ledningsgruppen kan styra vilken inställning dataskyddsombudet ska ha i viss fråga (se nedan under repressalieförbudet). Dataskyddsombudet får inte låta sig påverkas av annat än de krav dataskyddsförordningen har och den personliga integriteten blir därför viktig. 

    • Internt utsedda ombud får inte sitta i kyrkorådet eller i ledningsgruppen. Det är inte heller lämpligt att dataskyddsombudet i sin roll både granskar efterlevnaden av förordningen och föredrar eller fattar beslut om verksamhetens inriktning och arbetsmetoder (både allmänt eller i förhållande till förordningen).

    • Internt utsedda ombud som har andra arbetsuppgifter än dataskyddsombud kan få problem då det är svårt att granska sitt eget arbete. I den här situationen kan det vara bra att ha två dataskyddsombud som granskar varandras delar eller ta in ett externt ombud för den delen av uppdraget (kan vara ett dataskyddsombud från en annan församling/pastorat eller annan).​​
    •  Externt utsedda ombud får inte företräda församlingen och pastoratet i tvister rörande dataskydd t.ex. om en sanktion aktualiseras eller vid skadeståndstalan.  
    • Det är församlingen/pastoratet som är ansvarig för efterlevnaden av förordningen. Dataskyddsombudet får inte hållas ansvarig för detta. Bland annat därför är det viktigt att även dokumentera varför kyrkoråd eller ledningsgrupp inte följer viss rekommendation. Görs inte detta självmant av kyrkorådet/ledningsgruppen bör dataskyddsombudet själv dokumentera frågan till exempel i kontrollrapporten.


    Repressalieförbudet

    Ett dataskyddsombud får inte bestraffas för att hen gör sitt arbete (t.ex. bli omplacerad eller förlora sitt uppdrag). Detta innebär att församlingen/pastoratet som tillsatt ett dataskyddsombud måste vara försiktiga för att inte komma i konflikt med detta repressalieförbud. Detta får betydelse vid till exempel utvecklingssamtal där man måste vara noga att inte ge feedback till dataskyddsombudet att hen bör ändra sina ståndpunkter (däremot kan man förstås säga att man inte förstår hens tankar och be att få dem beskrivna på ett tydligare sätt). Tanken är att dataskyddsombudet ska kunna stå på de registrerades sida och inte känna rädsla för att ge rekommendationer (rädsla att få sämre löneutveckling eller missgynnas på annat sätt). 

    Tillgänglighetskravet

    Ett dataskyddsombud ska kunna fullgöra sina arbetsuppgifter. I det ligger att det ska finnas en rimlig tid avsatt för uppdraget så att arbetsuppgifterna hinns med. Att hantera detta felaktigt innebär att man inte följer dataskyddsförordningen.

    Vad är då rimlig tid för uppdraget? Följande är några punkter som kan beaktas:

    • Den faktiska arbetstiden som får läggas ner på uppdraget, som inte kan vara hur ringa som helst (att bara kunna ägna några få procent av sin arbetstid åt uppdraget är förstås inte tillräckligt – det är viktigt att här notera att det finns ett tillräcklighetskrav). Förutom att klara av nedanstående arbetsuppgifter måste det också finnas flexibilitet så att dataskyddsombudet hinner ta tag i akuta uppgifter vid behov som t.ex. personuppgiftsincidenter. Exakt procentsats av arbetstiden är svår att ange; den beror också på nedanstående punkter. Är uppdraget för stort för en person kan fler behöva tillsättas.

    • Församlingens/pastoratets riskläge. Är riskläget högt kommer fler kontroller behöva göras och tätare rapportering behöva ske. Ett högt riskläge kräver sannolikt att ordentlig arbetstid finns.

    • Vilken kompetens dataskyddsombudet redan har och vilket utbildningsbehov som finns. Dataskyddsombudet ska kunna avsätta tid för sin kompetensutveckling och kraven på kompetens är mycket höga. Har man dataskyddsombud som inte har goda kunskaper kommer omfattande utbildning att krävas.

    • Hur mycket den övriga organisationen mäktar med. Det är inte dataskyddsombudet som ska göra allt dataskyddsarbete. Tvärtom måste det finnas en stabil linjefunktion som också arbetar med frågan bland annat för att säkra ombudets integritet. Finns det en stabil och kunnig linjeorganisation krävs sannolikt mindre tid för dataskyddsombudet som då tydligare kan fokusera på sitt uppdrag. 

    Det kan konstateras utifrån de nätverksträffar som varit att dataskyddsombud i församlingar och pastorat oftast inte har objektivt sett tillräckligt med tid. Detta är ett problem eftersom det innebär att dataskyddsförordningen inte följs korrekt (man iakttar inte tillgänglighetskravet korrekt).​​

    Vilka arbetsuppgifter ska ett dataskyddsombud ha?

    Dataskyddsombudet ska genomföra följande arbetsuppgifter:

    • Fortlöpande rapportering till kyrkorådet med rekommendationer rörande dataskyddet. Dataskyddsombudet ska även närvara vid andra dagordningspunkter då viktiga dataskyddsfrågor föredras. Ju fler allvarliga risker som finns, desto tätare rapportering bör ske. - Vill du veta mer om rapporteringen så finns mer information i mallen om riskbaserad metod till höger på sidan.

    • Rapportering till ledningsgruppen.

    • Genomföra utbildningar och hålla personal uppdaterad om senaste utvecklingen. 

    • Föreslå och bistå i konsekvensbedömningar och samråd med Datainspektionen.

    • Bistå i hanteringen av personuppgiftsincidenter.

    • Ta emot synpunkter från registrerade och anställda.

    • Fungera som kontaktpunkt mot Datainspektionen vilket innebär att dataskyddsombudet även kan ta kontakter utan att tillfråga församlingen/pastoratet. 

    I arbetet som dataskyddsombud gäller sekretess. Detta innebär att dataskyddsombudet inte obehörigen röja det som han eller hon vid fullgörandet av sin uppgift har fått kännedom om.

    Det är lämpligt att dataskyddsombudet i rapportskrivandet arbetar med en riskbaserad metod (ett exempel på vad det kan innebära finns som mall till höger på sidan). 

    Rapporter ska diarieföras. Om kyrkorådet eller ledningsgruppen inte följer rekommendationer från dataskyddsombudet bör motiveringen dokumenteras.

    Ett dataskyddsombud kan utöver ovanstående stödja församlingen och pastoratet i sitt arbete till exempel genom att arbeta med processkartläggningar, bistå i arbetet med behandlingsregistret eller ge råd och stöd vid tecknande av personuppgiftsbiträdesavtal. Ett dataskyddsombud kan här hjälpa till med förslag men ska inte ensamt ha ansvaret för arbetsuppgiften. Genom att jobba med sådana här arbetsuppgifter kan dataskyddsombudet lära sig mer om verksamheten vilket stärker hens kompetens.

    Tystnadsplikt

    Ett dataskyddsombud har en straffsanktionerad tystnadsplikt vilket innebär att hen inte obehörigen får röja uppgifter. Detta innebär bland annat följande:

    • Om en registrerad hör av sig (kan vara anställd eller en utomstående) får dataskyddsombudet inte utan dennes samtycke berätta för församlingen/pastoratet om samtalet.
    • Dataskyddsombudet får inte till utomstående berätta om församlingens/pastoratets angelägenheter mot deras vilja.
    • Dataskyddsombud får alltid prata med Datainspektionen (då gäller inte ovanstående två punkter).
    • Att ha tystnadsplikt innebär mer än att inte röja vad man hört eller läst. Det handlar också om att skydda uppgifter så att andra inte kan se dem. Detta ställer krav på hur IT-stöd etcetera har utformats (ingen ska kunna gå in i dataskyddsombudets sekretesskyddade material). Med anledning av detta kan det vara lämpligt att inrätta en särskild mejladress som endast dataskyddsombudet har tillgång till.



    Redaktör och innehållsansvarig
    Björn Ericsson, Häftstiftet
    Uppdaterad
    2019-11-28
    X
    Dokumentid: 1414909- Webid: 28950 - Unitid: 14