Data protection officer – på svenska dataskyddsombud – är en roll som för vissa företag och organisationer kommer vara obligatoriskt att ha, beroende på storlek och om man som del i kärnverksamheten behandlar känsliga personuppgifter eller systematiskt övervakar individer. Vem bör denna personen vara sett till kompetens, utbildning, roll i organisationen och hur kan en DPO bidra till företaget på bästa sätt, utöver uppdraget som kontrollerande funktion? Detta blogginlägg gästas av Lisbeth Svensson, DPO på Bisnode.

LisbethSvensson_Bisnode

bisnode

Hej Lisbeth!

Du kommer under GDPR-dagen prata utifrån din roll som Data Protection Officer. Vad innebär din roll i praktiken och hur är du involverad i ert förberedelsearbete inför den nya GDPR-lagen?

Eftersom informationsförädling i olika former är vår affär har vi valt att bland annat ha en DPO på heltid på koncernnivå. GDPR är en stor del av min vardag som beställare av vårt omfattande program inom området. Självklart handlar det också om närliggande frågor, som ex. e-Privacy. Under en vanligt dag spenderar jag med att informera olika delar av organisationen och säkra att GDPR frågor kommer in i våra befintliga processer på ett bra sätt. Frågeställningar som når mig är allt ifrån ”räkas fält x som en personuppgift”, bedömning av DPIAs till vilken typ av lobbying på europanivå vi bör vara involverade i.

Vad upplever du vara de största utmaningarna i förberedelserna inför den nya lagstiftningen?

En av de stora utmaningarna är att det inte finns ett facit att hålla sig i, det behövs egna tolkningar i många frågor som till exempel – var går gränsen för vad som är ett för stort intrång i den privata sfären egentligen? Som ett internationellt bolag ser vi också skillnader i hur olika data protection agencies tolkar GDPR, vilket också är en utmaning för oss som finns i 18 europeiska länder. Tiden är naturligtvis en utmaning då exempelvis många av de nationellt anpassade lagarna, som den svenska dataskyddslagen eller kreditupplysningslagen, ännu inte är fullt ut beslutade.

Hur kan DPO:n på bästa sätt bidra till företaget, utöver sitt ansvar som kontrollfunktion, och hur kan företaget stötta DPO:n?

Som DPO bör man sträva efter att bli sedd som någon som hjälper organisationen framåt och som kommer med proaktiva råd i olika initiativ. Det är ju sunt förnuft men ju tidigare en DPO blir involverad i ett nytt initiativ som på något sätt innehåller personinformation, desto enklare blir det att göra rätt från början. Som DPO kan man antingen bli en” kontrollerande, nejsägande, stoppkloss” som tillfrågas i sista sekund eller en tillgång som organisationen ber om råd  och som faktiskt hjälper till att utveckla både organisation och affär. Nyckeln till att lyckas med detta är ”internt lobbying arbete” genom att synas, höras och skapa en känsla av kunskap, förtroende och service samtidigt som det måste stå klart att en DPO inte i första hand är en affärsutvecklare.

Den bästa stöttningen en DPO kan få är en företagsledning som själva förstår och tydligt kommunicerar vikten av GDPR och som också förstår att för att lyckas uppnå efterlevnad krävs det både resurser och att man ibland kommer vara tvungen att prioritera bort annat.

 


 

Den 21 november kan du lyssna på Lisbeth berätta om hennes syn på dataskyddsombudets roll och diskutera dina utmaningar och tankar. Läs mer om både konferensen och workshopen på GDPR-dagens hemsida.

Logga m bakgrund