DSO i de nordiska länderna
Företag kan behöva utse ett dataskyddsombud (DSO) om kärnverksamheten innebär storskalig behandling av personuppgifter. Vilken sektor det rör sig om kan ensamt vara avgörande för om ett DSO behövs. Exempelvis krävs ofta DSO inom IT-, sjukvårds-, säkerhets- eller rekryteringssektorn. Andra sektorer berörs också. Detta gäller bland annat flygsektorn, där både IATA och ERA rekommenderar att det finns ett DSO.
Företag kan utse ett DSO på obligatorisk eller frivillig grund. Företag måste utse ett DSO när kärnverksamheten består av storskalig behandling av personuppgifter och omfattar:
- Regelbunden och systematisk övervakning,
- Särskilda kategorier av uppgifter, eller
- Brottsdomar och brott
Oavsett om det är obligatoriskt eller frivilligt väljer många företag att utnyttja möjligheten att utse ett enda koncernövergripande DSO. Detta enda DSO måste dock fortfarande ha den kompetens som behövs i varje land som tjänsten omfattar.
Att tänka på när ett DSO ska utses
Kraven på ett DSO är i stort sett identiska i Norden. När ett enda DSO är etablerat utanför Norden kan det dock vara svårt att uppfylla dessa krav.
Ett ensamt DSO med ansvar över olika länder kan ha särskilt svårt att visa att följande villkor är uppfyllda enligt varje lands lagstiftning:
- Lättillgänglig information från varje verksamhet
- Kunna informera och ge råd om relevanta dataskyddsförpliktelser
- Ha tillgång till nödvändiga resurser (ekonomiskt, logistiskt, osv.)
- Kunna kommunicera med registrerade personer, myndigheter, osv.
- Kunna, om nödvändigt, samarbeta med myndigheter
Beroende på koncernens storlek och struktur kan det behövas flera DSO eller ett DSO-team för att uppfylla dessa krav i mer än en medlemsstat. DSO-teamet skulle då bestå av det utsedda DSO:t och dennes personal.
Anledningen är att många av kraven indirekt kommer att göra det svårt, om inte omöjligt, att ha ett enda DSO. Till exempel gäller kravet på lättillgänglighet i förhållande till registrerade personer och myndigheter, såväl som internt inom organisationen. Vidare krävs förmågan att kommunicera med registrerade personer, som kanske inte talar eller förstår något annat än det lokala språket. Till exempel har den norska Dataskyddsmyndigheten uttryckligen förklarat att deras ståndpunkt är att ett DSO åtminstone måste kunna kommunicera på de "skandinaviska språken".
IUNO menar
Kraven på DSO i Norden är i stort sett desamma. Därför kan företag som föredrar att ha ett fåtal DSO för flera olika lagstiftningar utse ett internt eller externt DSO, eller en team-medlem som har den nödvändiga kompetensen för de nordiska länderna.
IUNO rekommenderar att företag skaffar sig en tydlig överblick över de tillämpliga reglerna och nyansskillnaderna i varje nordiskt land för att säkerställa att ett utsett DSO uppfyller kraven. Alternativt kan företag också outsourca uppdraget som DSO. I så fall är det viktigt att se till att det externa DSO:t kan dokumentera att alla tillämpliga krav är uppfyllda å företagets vägnar.
IUNO tillhandahåller DSO-tjänster i hela Norden. Du kan läsa mer här.
Företag kan utse ett DSO på obligatorisk eller frivillig grund. Företag måste utse ett DSO när kärnverksamheten består av storskalig behandling av personuppgifter och omfattar:
- Regelbunden och systematisk övervakning,
- Särskilda kategorier av uppgifter, eller
- Brottsdomar och brott
Oavsett om det är obligatoriskt eller frivilligt väljer många företag att utnyttja möjligheten att utse ett enda koncernövergripande DSO. Detta enda DSO måste dock fortfarande ha den kompetens som behövs i varje land som tjänsten omfattar.
Att tänka på när ett DSO ska utses
Kraven på ett DSO är i stort sett identiska i Norden. När ett enda DSO är etablerat utanför Norden kan det dock vara svårt att uppfylla dessa krav.
Ett ensamt DSO med ansvar över olika länder kan ha särskilt svårt att visa att följande villkor är uppfyllda enligt varje lands lagstiftning:
- Lättillgänglig information från varje verksamhet
- Kunna informera och ge råd om relevanta dataskyddsförpliktelser
- Ha tillgång till nödvändiga resurser (ekonomiskt, logistiskt, osv.)
- Kunna kommunicera med registrerade personer, myndigheter, osv.
- Kunna, om nödvändigt, samarbeta med myndigheter
Beroende på koncernens storlek och struktur kan det behövas flera DSO eller ett DSO-team för att uppfylla dessa krav i mer än en medlemsstat. DSO-teamet skulle då bestå av det utsedda DSO:t och dennes personal.
Anledningen är att många av kraven indirekt kommer att göra det svårt, om inte omöjligt, att ha ett enda DSO. Till exempel gäller kravet på lättillgänglighet i förhållande till registrerade personer och myndigheter, såväl som internt inom organisationen. Vidare krävs förmågan att kommunicera med registrerade personer, som kanske inte talar eller förstår något annat än det lokala språket. Till exempel har den norska Dataskyddsmyndigheten uttryckligen förklarat att deras ståndpunkt är att ett DSO åtminstone måste kunna kommunicera på de "skandinaviska språken".
IUNO menar
Kraven på DSO i Norden är i stort sett desamma. Därför kan företag som föredrar att ha ett fåtal DSO för flera olika lagstiftningar utse ett internt eller externt DSO, eller en team-medlem som har den nödvändiga kompetensen för de nordiska länderna.
IUNO rekommenderar att företag skaffar sig en tydlig överblick över de tillämpliga reglerna och nyansskillnaderna i varje nordiskt land för att säkerställa att ett utsett DSO uppfyller kraven. Alternativt kan företag också outsourca uppdraget som DSO. I så fall är det viktigt att se till att det externa DSO:t kan dokumentera att alla tillämpliga krav är uppfyllda å företagets vägnar.
IUNO tillhandahåller DSO-tjänster i hela Norden. Du kan läsa mer här.
Liknande
Ny lag om skydd för visselblåsare på väg