IMY rapporterar iakttagelser från DSO-tillsyner till EDPB
I mars i år inledde EDPB en samordnad åtgärd för att bedöma om dataskyddsombuden har den roll och ställning som krävs enligt artiklarna 37-39 i dataskyddsförordningen och de resurser som behövs för att utföra sina uppgifter. I den samordnade åtgärden deltar 26 europeiska dataskyddsmyndigheter, däribland IMY.
IMY har valt att genomföra sin del av den gemensamma åtgärden genom att inleda tillsyner mot ett 50-tal organisationer. I tillsynerna har organisationerna besvarat ett trettiotal frågor avseende bland annat dataskyddsombudets kvalifikationer, uppgifter och ställning. Dessa tillsyner är pågående men IMY redovisar nu sina iakttagelser hittills från tillsynerna till EDPB.
Kommande rapport från EDPB
EDPB ska under hösten och vintern sammanställa och analysera de iakttagelser som respektive dataskyddsmyndighet lämnar in och redovisa dessa i en rapport.
Av de 50-talet verksamheter som IMY granskar kommer ett 30-tal från offentlig sektor. Hälften av dataskyddsombuden representerar flera olika verksamheter. Närmare 90 procent anger att organisationens ledning har en tydlig definition och beskrivning av dataskyddsombudets åtaganden. Ungefär 80 procent arbetar som ombud på heltid och 75 procent anser att dataskyddsombudet har de resurser som behövs för uppdraget. I en majoritet av verksamheterna får dataskyddsombudet mellan 0 och 10 förfrågningar per månad från enskilda som vill utöva sina rättigheter enligt dataskyddsförordningen.
Fyra problemområden
I sin rapportering till EDPB har IMY identifierat fyra problemområden och lämnat förslag på möjliga lösningar.
- Flera dataskyddsombud har andra uppgifter/roller utöver rollen som dataskyddsombud vilket i vissa situationer potentiellt kan innebära en intressekonflikt med uppdraget som ombud. Det finns exempel på funktionsansvar, uppföljningsansvar, ledningsansvar och handläggningsroller inom olika områden som exempelvis informationssäkerhet, regelefterlevnad, förvaltningsrätt och dataskydd. IMY lyfter fram att en möjlig lösning skulle kunna vara att klargöra innebörden av begreppet "intressekonflikt" tydligare än vad som görs i Artikel 29-gruppens riktlinjer om dataskyddsombud, till exempel genom fler exempel och eventuellt en checklista med lämpliga frågeställningar.
- Det finns skillnader när det gäller hur många timmar som dataskyddsombuden ägnar åt kompetensutveckling kring dataskyddsfrågor. Svaren varierar från 5-10 timmar per år till 150 timmar per år. Det kan ställas mot att det i den undersökning som IMY tidigare gjort i Sverige angående dataskyddsombudens förutsättningar att bedriva dataskyddsarbete framgick att vart femte ombud anser att de inte får tillräckligt med utbildning och kompetensutveckling i sin roll som dataskyddsombud. IMY anser att detta tyder på att det finns behov av närmare vägledning i den här frågan.
- Det finns en stor variation när det gäller mängden resurser som dataskyddsombudet har till sitt förfogande för att fullgöra sina uppgifter. Resurserna tycks variera stort även om organisationerna i fråga hanterar en stor mängd personuppgifter och många av ombuden har ytterligare arbetsuppgifter eller arbetar inte heltid med uppdraget. I den undersökning som nämns i föregående punkt framkom också att flera dataskyddsombud upplever att de inte har tillräckligt med tid för dataskyddsfrågorna. IMY anser att detta pekar på att det kan vara svårt för organisationerna att bedöma hur mycket resurser som ombudet behöver till sitt förfogande för att utföra sitt uppdrag. En vägledning som tydliggör dataskyddsombudens arbetsuppgifter, enligt vad som föreslås i nästa punkt, skulle troligen göra det lättare för organisationerna att avgöra hur mycket resurser ombuden behöver för att klara uppdraget.
- Tillsynerna visar att organisationerna till viss del har olika uppfattningar om vad som ska ingå i dataskyddsombudets uppdrag. Som exempel anser de flesta, men inte alla, organisationer att ombudet ska delta i hanteringen av personuppgiftsincidenter. Men endast två tredjedelar av organisationerna anser att ombudet ska delta i planeringen av nya behandlingar av personuppgifter. Det kan vara en indikation på att det är svårt att avgöra vilka arbetsuppgifter som ligger i rollen som dataskyddsombud. IMY har även från andra håll, utanför denna granskning, fått in önskemål om tydligare vägledning vad gäller rollen som dataskyddsombud med exempel på vad som ska ingå och inte bör ingå samt metodstöd. IMY framför att en sådan vägledning skulle underlätta arbetet för dataskyddsombuden och samtidigt skapa en större insikt hos de personuppgiftsansvariga beträffande omfattningen av rollen.
Fördjupad granskning av urval
Av det 50-tal tillsyner som IMY inlett inom ramen för den samordnade åtgärden kommer myndigheten att gå vidare med ett mindre urval för att i dessa göra en fördjupad granskning av några särskilt viktiga frågeställningar. Arbetet med tillsynerna kommer att fortsätta nu under hösten, och kommer sannolikt att ge viktig vägledning även för andra verksamheter när de är klara.
I samband med att EDPB har publicerat sin rapport och IMY har avslutat sina tillsyner kommer IMY att sammanfatta resultatet av det som kommit fram och analysera behovet av ytterligare eventuella nationella åtgärder.
Fler nyheter inom ämnet
-
AI kan förenkla sekretessbedömningar av allmänna handlingar
7 november 2024 -
Nya föreskrifter förenklar för företag att genomföra kontroller mot sanktionslistor
29 oktober 2024 -
IMY söker innovationsprojekt med GPDR-utmaningar
7 oktober 2024 -
IMY och fyra banker i GDPR-projekt för minskad penningtvätt
24 september 2024
Fler nyheter inom ämnet
-
AI kan förenkla sekretessbedömningar av allmänna handlingar
7 november 2024 -
Nya föreskrifter förenklar för företag att genomföra kontroller mot sanktionslistor
29 oktober 2024 -
IMY söker innovationsprojekt med GPDR-utmaningar
7 oktober 2024 -
IMY och fyra banker i GDPR-projekt för minskad penningtvätt
24 september 2024