Page 1

ombud och data­skyddsansvariga, men också ansvariga chefer. Den är inte begränsad till dataskyddsförordningen, utan täcker även in brottsdatalagen. Hur arbetar man riskbaserat och utifrån en kontrollplan? Hur hanterar man behandlingsregister och andra skakrav? Hur får man överblick över styrdokument och pågående IT-­projekt? Författaren ger både teoretiskt och praktiskt stöd, samt kombinerar juridisk analys av komplexa frågeställningar med konkreta tips. Visuella verktyg och praktiska checklistor ger stöd till dataskyddsarbetet. En utmaning i arbetet med dataskydd kan vara att få med sig hela organisationen. Författaren har en bred ansats; allt från retoriska arbetsprocesser och processkartläggning, till vad som gynnar en utveckling mot en lärande organisation.

ISBN 978-91-523- 5822-1

9 789152 358221

Dataskyddsförordningen GDPR

till alla som arbetar med integritetsskydd: dataskydds-

För dataskyddsombud och andra ansvariga

under ett komplext regelverk. Den här boken vänder sig

Monika Wendleby

Dataskyddsarbetet är roligt men utmanande och lyder

­­­

dataskyddsförordningen

GDPR

För dataskyddsombud och andra ansvariga Monika Wendleby

Foto: Fredrika Wendleby

­­­

Monika Wendleby är kvalificerad jurist med bred erfarenhet, bland annat som kammarrättsråd/rådman i förvaltningsdomstol, utredningssekreterare/expert i statliga utredningar och internationell chef på Migrationsverket. Idag arbetar Monika Wendleby som managementkonsult och partner i Passacon AB. Hon är dataskyddsombud för flera organisationer i den ideella sektorn och hjälper kunder med dataskyddsfrågor (som jurist, mentor till dataskyddsombud och managementkonsult). Monika är en uppskattad föreläsare och workshopsledare, eftersom hon har en förmåga att förklara svåra frågor på ett enkelt sätt. Hon är även medförfattare till boken Dataskyddsförordningen GDPR : Förstå och tillämpa i praktiken, som har blivit en juridisk bestseller.


SANOMA UTBILDNING Postadress: Box 38013, 100 64 Stockholm Besöksadress: Rosenlundsgatan 54, Stockholm Webbplats: www.sanomautbildning.se E-post: info@sanomautbildning.se Förläggare: Anne Laurella Redaktör: Karin Sörensen Grafisk form och omslag: Typ & Design Illustrationer: Jonny Hallberg GDPR för dataskyddsombud och andra ansvariga ISBN 978-91-523-5822-1 © 2020 Monika Wendleby och Sanoma Utbildning AB, Stockholm Första upplagan Första tryckningen Kopieringsförbud Detta verk är skyddat av lagen om upphovsrätt. Kopiering utöver lärares rätt att kopiera för undervisningsbruk enligt Bonus Copyright Access, är förbjuden. Sådant avtal tecknas mellan upphovsrättsorganisationer och huvudman för utbildningsanordnare, t.ex. kommuner/universitet. För information om avtalet hänvisas till utbildningsanordnares huvudman eller Bonus Copyright Access. Den som bryter mot lagen om upphovsrätt kan åtalas av allmän åklagare och dömas till böter eller fängelse i upp till två år samt bli skyldig att erlägga ersättning till upphovsman/rättsinnehavare. Tryck: Livonia Print, Lettland 2020

gdpr-dataskyddsomb.indd 2

2019-12-12 11:36


Innehåll Förord ������������������������������������������������������������������������������������������������������ 7 Inledning�������������������������������������������������������������������������������������������������12

Del 1  REGELVERKET KRING DATASKYDD23 1. En genom­lysning av data­skydds­reglerna���������������������������������� 25 1.1 Inledning  25 1.2 Personuppgifter och behandling  27 1.3 Personuppgiftsansvarig och personuppgiftsbiträden  39 1.4 Inbyggt dataskydd och dataskydd som standard  43 1.5 Den registrerades rättigheter  45 1.6 Personuppgiftsincidenter  50 1.7 Behandlingsregister  54 1.8 Konsekvensbedömningar och samråd  57 1.9 Sanktioner och skadeståndsansvar  65 1.10 Brottsdatalagen  74 1.11 Sammanfattning  89 2. Dataskydds­ombudet����������������������������������������������������������������������95 2.1 Inledning  95 2.2 När och hur ska man utse ett dataskyddsombud?  97

gdpr-dataskyddsomb.indd 3

2019-12-12 11:36


2.3 Roll och arbetsuppgifter  125 2.4 Vad ska beaktas när ett dataskyddsombud utses?  143 2.5 Förhållandet till organisationen  154 2.6 Dokumentation av arbetet  177 2.7 Integritet – hur ska man hantera det?  180 2.8 Sekretess och tystnadsplikt  191 2.9 Ansvar för lärande och dataskyddskultur  216 2.10 Styrelsens och ledningens ansvar  219 2.11 Rollen vid incidenter  227 2.12 Kontaktuppgifter  232 2.13 Förhållandet till Datainspektionen  235 2.14 Sammanfattning  251 3. Andra roller i data­skydds­arbetet ����������������������������������������������255 3.1 Inledning  255 3.2 Dataskyddsansvariga  256 3.3 Internrevision  266 3.4 Intern styrning och kontroll  268 3.5 Sammanfattning  269

Del 2  DATASKYDDSARBETET I PRAKTIKEN273 4. Kontrollplan och riskbaserat kontrollarbete��������������������������� 275 4.1 Inledning  275 4.2 Systematiskt arbete med kontroll och övervakning  276 4.3 Kontrollplan och rapportering  280 4.4 Arbeta riskbaserat  291 4.5 Göra urval och presentera kontroller  302 4.6 Sammanfattning  323 5. Att bedöma och lära sig om verksamheten������������������������������324 5.1 Inledning  324 5.2 Processkartläggning  326 5.3 Behandlingsregister och konsekvensbedömningar  342

gdpr-dataskyddsomb.indd 4

2019-12-12 11:36


5.4 Djupintervjuer och enkäter  350 5.5 Styrdokument och arbetsordningar  352 5.6 Utbildning och spontana kontakter  360 5.7 Förstå projekt   364 5.8 Sammanfattning  373 6. Hantera incidenter ���������������������������������������������������������������������� 375 6.1 Inledning  375 6.2 Arbetsfördelning  376 6.3 Det akuta skedet  379 6.4 Lärandeskedet   383 6.5 Sammanfattning  384

Del 3  FÖRSTÅ OCH NÅ UT FÖR ATT FÖRÄNDRA387 7. Visualisera verksam­heten och rollen��������������������������������������� 389 7.1 Inledning  389 7.2 Beskriva verksamheten  391 7.3 Visualisera tillgänglighet   396 7.4 Utveckla kompetenser och kunnande  404 7.5 Sammanfattning  415 8. Kommunika­tionen med styrelse och ledning���������������������������417 8.1 Inledning  417 8.2 Mottagaranpassa  418 8.3 Använd retorik   427 8.4 Utnyttja en bra historia  435 8.5 Visualisera och använd bilder  438 8.6 Utförandet  439 8.7 När man har olika uppfattningar  442 8.8 Sammanfattning  444 9. Förstå kulturen och få med sig medarbetarna����������������������� 445 9.1 Inledning  445

gdpr-dataskyddsomb.indd 5

2019-12-12 11:36


9.2 Vad man ska tänka på för att nå ut  446 9.3 Motivation, delaktighet och trygghet  452 9.4 Medarbetarnas lärande  462 9.5 Organisationskultur och förmåga till organisatoriskt lärande 464 9.6 Sammanfattning  479 Slutord�������������������������������������������������������������������������������������������������� 481 Begrepp och förkortningar������������������������������������������������������������� 483 Källor och lästips��������������������������������������������������������������������������������492 Register������������������������������������������������������������������������������������������������ 501

gdpr-dataskyddsomb.indd 6

2019-12-12 11:36


Förord Idén till den här boken fick jag när jag höll en certifieringsutbildning för dataskyddsombud på Dataföreningen. Min del av utbildningen skulle handla om hur man når fram till styrelser. Förutom ett block om kontrollrapporter och riskhantering pratade jag om mottagaranpassad kommunikation och retorik. På responsen – både den jag fick under mitt pass och efteråt – märkte jag att detta var något som verkligen intresserade deltagarna, samtidigt som det verkade finnas få källor att ösa kunskap och inspiration ur. Kommentarer som ”detta har verkligen gett mervärde, det svåraste av allt är att få dem att lyssna” visade att jag pratat om något som kändes värdefullt. Jag började då reflektera över uppdraget dataskyddsombud och insåg hur många olika färdigheter det kräver. Det är ett roligt uppdrag men också på många sätt utmanande. När jag hade insett detta fick jag lust att skriva den här boken. Min förläggare Anne Laurella på förlaget var också eld och lågor över idén, vilket fick mig att känna än mer lust att än en gång sätta mig ned och skriva. Min första bok, som jag skrev tillsammans med Isabel Runebjörk, handlade om ledarskap och kommunikation. Boken Lean med hjärta och kreativitet : om autentiskt ledarskap och kommunikation (fortsättningsvis kallad Lean med hjärta och kreativitet) var när den kom 2013 mycket uppskattad och den nominerades till och med till årets ledarskapsbok. Den inspirerade mig att några år senare börja blogga om ledarskap, kommunikation och kloka sätt att styra verksamheter (bloggen heter WendlebyCreative­ Lean.com). Både boken och bloggen gav mig energi, eftersom 7

gdpr-dataskyddsomb.indd 7

2019-12-12 11:36


de handlade om kvalitetsarbete och vikten av att få med sig medarbetare i arbetet. Det var intressanta ämnen som så småningom fick mig att våga ta steget att överge trygga anställningar och ansluta mig till Passacon AB som managementkonsult för att få jobba med kvalitetsfrågor – vad som gör organisationer starka och framgångsrika. Den andra boken jag varit medförfattare till heter Dataskyddsförordningen GDPR : Förstå och tillämpa i praktiken (fortsättningsvis Förstå och tillämpa i praktiken). Den kom ut i januari 2018, några månader före dataskyddsförordningen skulle börja tillämpas. Den boken som jag skrev tillsammans med Dag Wetterberg har redan kommit ut i två upplagor. Boken var rolig att skriva. I boken mixas juridik och management på ett sätt som inte tidigare gjorts vad jag vet. Förlaget stödde oss helhjärtat i att göra en annorlunda bok. Jag fick starkt stöd när jag tog fram förslag till bilder och illustrationer, som skulle vara värdefulla även för de som inte var jurister. Boken har blivit något av en juridisk bestseller och jag har efter alla läsarreaktioner förstått att många haft glädje av den. Alla positiva reaktioner på boken fick mig att fokusera mer på dataskyddsförordningen. I dag arbetar jag i stor utsträckning med dataskyddsfrågor – ibland som jurist, ibland med kvalitetsfrågor. Ett ytterligare plus för mig har varit att återigen få kombinera juridik med mjuka frågor i en bok: i juristutbildningen finns inget om hur man får organisationer med sig och det tog rätt många år i mitt eget yrkesliv innan jag insåg hur väsentligt det är att ha ett holistiskt perspektiv på juristjobbet. Det räcker inte att göra snygga rättsutredningar, som visar en trygg väg som organisationen kan ta över de juridiska blindskären. Den kan vara väl genomarbetad och klok, fylld av juridisk briljans – och ändå händer inget i verkligheten. Den bok jag nu har skrivit och som du nu har i dina händer har byggt vidare på tänket från de tidigare två böckerna, vilket gör att det på något sätt känns som att en cirkel slutits. För att få 8

gdpr-dataskyddsomb.indd 8

Förord

2019-12-12 11:36


bredare inspiration och kunskap om vad som är viktigt har jag också intervjuat ett antal dataskyddsombud, som berättat om sitt arbete på ett generöst sätt, och en företrädare för Datainspektionen. Detta tycker jag bidrar till att boken får mer liv och blir mer intressant. Det har också gett mig personligen glädje, eftersom alla intervjuer lett till intressanta samtal. Boken riktar sig inte bara till dataskyddsombud. När jag skrivit en del började jag inse att den inte bara kan hjälpa dataskyddsombud i deras arbete: alla funktioner som arbetar med dataskydd har på olika sätt liknande glädjeämnen och utmaningar. Jag hoppas därför att boken kommer att glädja många kategorier av läsare och förstås särskilt inspirera dem som arbetar med dataskydd (experter, chefer, styrelseledamöter, med flera). Jag önskar alla en trevlig läsning som också ger värde. Kan jag på något sätt bidra till inspiration i det viktiga dataskyddsarbetet blir jag glad.

Mina tack Jag har den stora lyckan att ha tre ytterst duktiga jurister som familjemedlemmar: min make Björn Wendleby, som är en väletablerad och skicklig advokat, och mina döttrar Fredrika och Louise Wendleby, som fick sina examensbevis från universiteten under tiden boken skrevs och nu jobbar som jurister. Vi diskuterar ofta intressanta juridiska frågor när vi träffas och de diskussionerna leder alltid till fler perspektiv. Alla har också hjälpt mig med boken genom att läsa den och ge feedback om stort och smått, vilket har varit en viktig kvalitetssäkring. Ett stort tack för detta, men också förstås för att ni i övrigt alltid finns där och är helt underbara. Sådant stöd behövs när man parallellt med alla uppdrag och utbildningar också åtar sig att skriva en bok! Jag vill också tacka mina fina kollegor i Passacon AB. Passacon är en kreativ och tillåtande miljö där vi lär oss tillsammans Förord

gdpr-dataskyddsomb.indd 9

9

2019-12-12 11:36


och av varandra, en miljö där fokuset alltid är att tillföra kundvärde och ha roligt samtidigt. Ni sporrar mig allihop och jag värdesätter samarbetet med er stort. En del av de metoder som jag utvecklat i boken har tillkommit efter att jag och någon kollega samarbetat i ett kunduppdrag eller i utbildningar. Särskilda tack i det avseendet går till Kerstin Hermanson och Monica Birgersson (en tidigare Passacon-kollega), som jag arbetat med i flera olika typer av dataskyddsuppdrag/-utbildningar, samt till Niklas Ansgariusson, som jag arbetat tillsammans med i uppdrag och utbildningar om styrning, kultur och kvalitet. Kerstin har dessutom läst igenom boken och gett mig nyttig feedback utifrån sina egna erfarenheter av dataskyddsarbetet. Ett särskilt tack går också till alla dataskyddsombud som ställt upp på intervjuer och så generöst delat med sig av sin kunskap och erfarenhet. Jag tycker att ni har gett boken kött och blod och gjort den mer påtaglig och relevant. Citaten visar också på värdet av att illustrera med berättelser från verkligheten. De berör på ett annat sätt än fakta gör och får dem som läser eller lyssnar att känna igen sig. Jag återkommer till hur man kan använda berättelser i dataskyddsarbetet i bokens tredje del. Även Pernilla Andersson på Datainspektionen förtjänar ett varmt tack för det arbete hon lagt ned på att svara på frågorna och i övrigt ge mig tips och intressant material. Jag vet att hon i det arbetet också involverat andra på myndigheten. En stor källa till daglig inspiration får jag från alla de personer jag mött i uppdrag och utbildningar under åren. Jag har självklart haft en stor nytta av alla samtal i de dataskyddsombudsuppdrag jag har och tidigare haft. Det har varit många bra diskussioner som fört arbetet framåt och hjälpt mig att utveckla nya idéer. Ni har alla varit betydelsefulla. Utan att ha interagerat och diskuterat med er hade den här boken inte fått det innehåll den nu har. Det är när man jobbar praktiskt som både utmaningar och möjligheter blir som mest tydliga.

10

gdpr-dataskyddsomb.indd 10

Förord

2019-12-12 11:36


I de diskussioner vi haft har jag gång på gång slagits av att dataskyddsförordningen innebär så mycket mer än bara juridik. Ett varmt tack går också till den feedback jag fått under åren från läsare av böcker jag varit medförfattare till och av min blogg. Ni har alla hjälpt mig sålla fram ämnen som kan vara intressanta för fler och på så sätt bidragit till bokens struktur och ämnesval. Sist men inte minst vill jag också tacka förlaget. Utan stöd och glada tillrop från Anne Laurella, min förläggare, och Karin Sörensen, min redaktör, hade bokskrivandet inte varit lika roligt. Den mycket proffsiga illustratören Jonny Hallberg har gett mina utkast till bilder ett stort lyft. Gillar ni illustrationerna i boken förstår ni vad jag menar.

Förord

gdpr-dataskyddsomb.indd 11

11

2019-12-12 11:36


Inledning Hur man arbetar med dataskydd spelar roll Det är något särskilt med dataskyddsförordningen. Det är en utmanande och krävande lagstiftning som nästan känns övermäktig när man först börjar arbeta med den. Samtidigt är det en lagstiftning som också kan mana fram engagemang och vilja att förändra. Dataskyddet är en viktig del av den personliga integriteten och på så sätt en mänsklig rättighet. Var och en av oss vet hur det känns när våra rättigheter inte respekteras. När vi läser om Vårdguiden 1177:s slarv blir vi upprörda. Det är inte rimligt att man har så dålig kontroll när man anförtrotts våra innersta tankar om vår hälsa. Vi upprörs också över hur de stora plattformsföretagen beter sig och oroar oss kanske för att det som samlas in skulle kunna drabba oss på ett sätt som känns allt för närgånget och olustigt. Det räcker med att titta på filmen Brexit – the Uncivil War och lyssna på cynismen som finns kring personuppgiftshanteringen hos företag som Cambridge Analytica och Facebook. ”Vi vet bättre än människor själva om de kommer att skilja sig, den kunskapen har vi efter att ha lärt oss av miljarder statusuppdateringar och kommentarer” är andemeningen i en företagsföreträdares resonemang i filmen. Då detta (att bolaget vet mer om vad som kommer att hända i människors kärleksförhållanden än de inblandade själva gör) var avbockat på listan behövde företagsföreträdaren nya utmaningar: vad 12

gdpr-dataskyddsomb.indd 12

2019-12-12 11:36


kan vi mer manipulera eller styra med hjälp av personuppgifter? Företrädaren för bolaget vänder sig därför i filmen till Nej-sidan i Brexit-kampanjen för att se om ett politiskt val kan påverkas genom bolagets agerande. Lyckas man kommer man i framtiden att kunna sälja politisk makt till högstbjudande. Han gör det utan att skämmas eller se några etiska eller demokratiska risker. Jag gissar att många berörs och känner obehag när de hör hur cyniskt man kan resonera. Det är inte roligt att känna sig övervakad, manipulerad och lurad. Då det finns många som missbrukat människors förtroende rörande deras integritet finns förstås också möjlighet att sticka ut positivt och bygga ett varumärke som respekterar de mänskliga rättigheterna. Jag brukar ibland tänka att det borde finnas en rättvisemärkning också för integritet – en sorts ”Svanen-märkning” för att visa att organisationen tar detta på allvar. Men även utan en sådan märkning på plats finns det förstås skäl att jobba med förordningen och ta den på allvar. Givetvis för de registrerades – det vill säga du och jag, vi alla – skull, men också för att bygga in kvalitet i sitt arbete. När skiten väl träffar fläkten – när man drabbas av en integritetsskandal – är det försent att skapa förtroende för sitt varumärke. En organisation som framgångsrikt ska arbeta med dataskyddsförordningen behöver hämta energin i arbetet från det fina ändamålet bakom lagstiftningen: respekt för människans integritet. För att komma framåt i arbetet på ett positivt sätt behöver man lyssna både på medarbetare och på organisationens kunder, medlemmar och samarbetspartners. För dataskyddet finns det flera utpekade kategorier av medarbetare som involveras. I den här boken kommer jag att berätta om både regelverk och metoder som den som arbetar med dataskydd inom en organisation kan använda sig av. Regelverket kring dataskyddsombud är komplext och svårt att greppa. Datainspektionens integritetsrapport för 2019 visar att många kommit en bit på vägen, men också att det finns mycket kvar att göra. Dessutom Inledning

gdpr-dataskyddsomb.indd 13

13

2019-12-12 11:36


finns många rättsfrågor som kommer att kräva rättspraxis. Jag tror att många styrelser och ledningar inte riktigt har bottnat i kraven i det avseendet och jag förstår dem. Det första och kanske viktigaste rådet jag kan ge till dig som ansvarar för eller jobbar praktiskt med dataskydd är att bottna i dataskyddsförordningens syfte på ett sådant sätt att du känner att du medverkar till att bygga något större. Visst är det viktigt att kunna sin juridik och det informationstekniska, men det räcker inte som ensam motivationsfaktor. Bottnar du själv i förordningen men tycker att det är svårt att nå ut så får du tips om hur du kan förmedla din kunskap – och kanske passion för ämnet – till andra. Dataskyddsförordningen är alltså mycket mer än juridik. Det handlar om värderingar och människosyn, men också om hur du kan skapa effektivitet och kvalitet i arbetet som innebär mervärden utöver inbyggt dataskydd.

Hur man kan läsa boken Den här boken innehåller tre delar. I den första delen beskriver jag regelverket med särskilt fokus på reglerna rörande dataskyddsombud. I den delen går jag på djupet i analyserna och lyfter frågor som jag vet kan vara komplexa i arbetet. Tanken är att de juridiska analyserna sedan kopplas samman med praktiska tips i de andra två delarna i boken. På det här sättet blir boken både en juridisk fackbok och en managementbok, vilket jag tror kan hjälpa. Det är inte enbart reglerna som är komplexa utan också att veta hur man ska nå framgång i själva arbetet. Jag tror att bokens andra och tredje delar innehåller värdefulla tips för alla medarbetare som på ett eller annat sätt arbetar med dataskyddsfrågor. Även om dataskyddsombudet har en central roll i boken är inte tanken att göra en bok som bara kan läsas av dataskyddsombud. Jag tror att dataskyddsarbetet har nytta 14

gdpr-dataskyddsomb.indd 14

Inledning

2019-12-12 11:36


av att man reflekterar och samarbetar kring både juridik och arbetsmetoder oavsett om man arbetar som dataskyddsombud, dataskyddsansvarig eller har en annan roll i arbetet. Boken innehåller både teoretiska och praktiska avsnitt. Den har många bilder och checklistor. I varje avsnitt finns rikligt med avsnittshänvisningar i marginalen så det är också lätt att hoppa fram och tillbaka i boken. Den har också ett sökordsregister och en förteckning med begrepp och förkortningar. Allt detta är till för att göra boken lättläst både för den som vill läsa den från pärm till pärm och för den som vill ha den som uppslagsbok. Första delen inleds med en kortare introduktion till dataskyddsförordningen i kapitel 1. Jag tror att många dataskyddsombud och dataskyddsansvariga redan bottnar i den här juridiken, men eftersom boken också ska vara nyttig för andra läsarkategorier, till exempel sådana som överväger att bli dataskyddsombud/dataskyddsansvariga eller är chefer för dataskyddsombud, tror jag introduktionen kan vara nyttig. Den har dock inte en ambition att vara heltäckande. En heltäckande analys av hela regelverket har jag tillsammans med Dag Wetterberg i stället gjort i boken Förstå och tillämpa i praktiken (det finns dock en del matnyttiga delar i kapitel 1 i den här boken som inte finns i den boken, så man kan ha nytta av att läsa båda). Tanken är att man lätt ska kunna kombinera de här två böckerna, men också att man beroende på kunskapsnivå ska kunna ha nytta av dem var för sig. Den som redan kan regelverket väl kan sannolikt utan större problem direkt gå till kapitlet om dataskyddsombud. Andra, till exempel chefer till dataskyddsombud eller den som funderar på att bli dataskyddsombud, rekommenderas börja i den korta genomgången för att sedan kunna förstå det fördjupade avsnittet om dataskyddsombud bättre. Huvudkapitlet, kapitel 2, handlar om dataskyddsombud och regelverket kring dem. Boken har ett fokus på dataskyddsförordningen, men då brottsdatalagen har ett liknande regelverk rörande dataskyddsombud har jag också i bokens första två kapitel Inledning

gdpr-dataskyddsomb.indd 15

15

2019-12-12 11:36


gjort beskrivningar och jämförelser mellan de olika regelverken. Tanken är att boken på så sätt ska vara lika nyttig för dem som arbetar utifrån brottsdatalagens regelverk. I första delen finns också ett kort kapitel 3 om andra kategorier som arbetar med dataskydd. Syftet med det kapitlet är att illustrera vilka funktioner som finns och hur de kan ta sig an arbetsuppgifterna. Den andra delen av boken ger praktiska tips om dataskyddsarbetet som kan vara nyttiga för såväl dataskyddsombud som andra som arbetar med förordningen, främst de dataskyddsansvariga. Jag ger till exempel i kapitel 4 flera exempel på hur man kan jobba riskbaserat och hur man kan strukturera sitt kontrollarbete. I kapitel 5 beskriver jag olika sätt att lära sig om och förstå verksamheten: allt från metoder som processkartläggning till beskrivning av styrdokument, projektarbete och utbildning av personal. Allt detta innebär att man kan lära sig mer och bli mer effektiv i både det stödjande och det kontrollerande arbetet. Kapitlen kan ses som pusselbitar som alla är viktiga för att få en helhetsbild. Ett avslutande kapitel 6 i den andra delen används för att ge tips kring den viktiga incidenthanteringen. Den är viktig eftersom den också ger möjlighet till lärande. Dessutom är viljan att förändra ofta större i kriser. Uttrycket ”Don’t Waste a Good Crisis” är väldigt sant! Många som arbetar med dataskydd tycker det är svårt att nå fram och åstadkomma hållbar förändring. Den tredje delen handlar därför om just detta. Utifrån en förståelse från verksamheten behöver de som arbetar med dataskydd nå fram till både styrelse/ledning och medarbetare. Det svåra begreppet kultur, något som dataskyddsförordningen hoppas ska åstadkommas i verksamheter, gås också igenom. Både hur man de facto styr en organisation och dess förmåga till lärande har betydelse. I tredje delen redovisas därför en del tankar om hur dataskyddsombudets/den dataskyddsansvariges 16

gdpr-dataskyddsomb.indd 16

Inledning

2019-12-12 11:36


egen utveckling ska kunna stärkas. Tanken med del 3 är att den ska väcka nyfikenhet och lust att fördjupa sig i ämnen som på olika sätt har betydelse för dataskyddskulturen och förmågan att nå fram och påverka på riktigt. I del 3 lyfts även vissa praktiska likheter och skillnader i rollerna dataskyddsombud och dataskyddsansvarig. En aspekt är hur det kan påverka utvecklingssamtalet. Det är inte lätt att arbeta med sådana för dataskyddsombud, då en kärnfråga är att dataskyddsombud ska ha integritet och inte behöva påverkas. Jag har mött både dataskyddsombud och chefer till sådana som reflekterat över hur det påverkar innehåll i utvecklingssamtal, vilket är ett exempel på en fråga som berörs i del 3.

Vilka boken riktar sig till Dataskyddsombud Boken riktar sig till dataskyddsombud som är utsedda enligt dataskyddsförordningen eller brottsdatalagen. Regelverken är relativt lika och de praktiska frågor som ska lösas är desamma. Dataskyddsombudet är en central person i dataskyddet. Rollen som dataskyddsombud är komplex och ibland ganska motsägelsefull: hur jobbar man till exempel på ett bra sätt med kontroll och kulturskapande? Hur hanterar man att ibland ha sekretess mot organisationen men inte mot Datainspektionen? Hur får man tillräckligt med information utan att bli för insyltad i bestämmandet av mål och medel? Vad innebär det att ha integritet och hur skyddas dataskyddsombudet från repressalier? För att kunna hantera rollen krävs både en djup förståelse av rollen (den juridiska konstruktionen) och praktiska tips för att kunna hantera den. En viktig del är hur man når fram till medarbetare och ledning/styrelse. Den här boken har fokus på alla dessa frågor. Inledning

gdpr-dataskyddsomb.indd 17

17

2019-12-12 11:36


Dataskyddsansvariga Dataskyddsansvariga medarbetares arbete ser lite olika ut utifrån om organisationen har ett dataskyddsombud eller inte. I det förstnämnda fallet ska hen interagera med dataskyddsombudet. Här är det viktigt att förstå vad linjeorganisationen ska göra och vad som är ombudets roll. I det andra fallet har kanske den dataskyddsansvariga i flera avseenden en roll som liknar dataskyddsombudets, men utan att vara lika reglerat (det sistnämnda innebär också att rollen inte är lika skyddad som dataskyddsombudets). Det är förstås klokt om även dataskyddsansvariga arbetar riskbaserat. Även dataskyddsansvariga behöver hitta sätt att nå fram till ledning/ styrelse och medarbetare. Eftersom ansvaret inte är så tydligt reglerat kan det också vara bra att fastställa rollen (det är en bra organisatorisk åtgärd i det inbyggda dataskyddet). Den här boken hjälper till med tips och råd för båda de här fallen.

Ledning och styrelse Ledning och styrelser behöver bottna i hur dataskyddsarbetet ska fungera. Finns ett dataskyddsombud behöver man hantera flera ska-krav i förordningen och hanteras dessa felaktigt kan det leda till sanktioner. I det här fallet behöver man också tydliggöra gränserna mot andra delar i verksamheten. Jag vet också att många organisationer ännu inte bottnat i om de behöver ha ett dataskyddsombud. För vissa organisationer är det ett ska-krav som kan bli kostsamt att missa. Viktiga frågor att bottna i är vidare repressalieförbudet och dataskyddsombudets tystnadsplikt. Boken hjälper till i alla de här reflektionerna. Behöver man inte ett dataskyddsombud behöver man också noga tänka igenom hur dataskyddet är organiserat och tydliggöra rutiner. Hur ska vi arbeta med risker och hur ska ledningen 18

gdpr-dataskyddsomb.indd 18

Inledning

2019-12-12 11:36


hantera dataskyddet? I detta kan det också vara bra att ha en förståelse för hur andra interna funktioner, som internrevisionen och intern styrning och kontroll, förväntas arbeta med frågorna. Organisationen behöver också bottna i frågan om man frivilligt ska utse ett dataskyddsombud. Boken innehåller också en del som den som är chef för ett dataskyddsombud kan ha nytta av. Den ger hjälp med att förstå rollen och stöd i att hantera arbetsgivarrollen, till exempel utvecklingssamtal. Det är en grannlaga uppgift att hålla sådana med en person som behöver ha den typ av integritet som förordningen kräver.

Internrevision och intern styrning och kontroll Dataskyddsförordningen innehåller kraftfulla sanktioner. Redan av detta skäl är boken intressant för medarbetare som arbetar med internrevision och intern styrning och kontroll, eftersom dataskyddsfrågor rimligen behöver hanteras även i dessa funktioner. Har organisationen ett dataskyddsombud kan det också vara intressant att förstå vad den rollen innehåller. Dataskyddsombudets roll har både olikheter och likheter med de andra kontrollorganen. En intressant olikhet är att dataskyddsombudet förväntas göra en egen riskbedömning. De andra organen behöver förhålla sig till detta i sitt arbete.

Intervjuer som ökar förståelsen För att den här boken ska bli mer relevant och användbar har jag intervjuat ett antal dataskyddsombud. Det har varit spännande möten med dataskyddsombud som delat med sig av sina tankar i både mjuka frågor som kultur och hårda frågor som riskbaserat arbetssätt. Alla intervjuade har fått välja om de vill framträda Inledning

gdpr-dataskyddsomb.indd 19

19

2019-12-12 11:36


med namn eller pseudonym (finns det både för- och efternamn angivet har den intervjuade valt att framträda med namn). Jag berättar om deras tankar genom de citat som finns i avsnitten. Tillsammans representerar de intervjuade en stor bredd av dataskyddsombud. Flera av dem, som Åsa, Gunilla, Hanna, Elisabeth och Peter, arbetar i stora organisationer, medan två av dem arbetar i små (Karin och Fredrik). Både privat (Fredrik, Peter, Karin och Eva), ideell (Karin) och offentlig sektor (Hanna, Åsa och Elisabeth) finns representerade. Även dimensionen interna ombud (Gunilla, Peter, Hanna, Elisabeth, Åsa och Karin) och externa ombud (Fredrik, Åsa och Eva) finns med. Flera av ombuden är jurister men det finns också annan utbildningsbakgrund (Karin, Hanna och Fredrik). Elisabeth arbetar både som dataskyddsombud för brottsdatalagen och dataskyddsförordningen. Åsa har erfarenhet av att vara både internt och externt dataskyddsombud. Förutom att ge mer must åt texterna hoppas jag att läsarna genom att få ta del av deras tankar och erfarenheter får ett mervärde. Kanske känner man igen sin egen roll bättre och kan inspireras av hur andra gör. Det kan också vara skönt att se att allt inte är enkelt utan att det finns utmaningar för oss alla. Det som är slående i intervjuerna är att dataskyddsombuden ofta uppskattar sitt arbete och ser många glädjeämnen i det, vilket jag också tycker är viktigt att berätta om. Många dataskyddsombud berättar i intervjuerna om sina förhoppningar och tankar rörande stöd från Datainspektionen. Av det skälet – men också förstås för att Datainspektionen är en så central aktör – har jag intervjuat Pernilla Andersson, som har ett funktionsansvar för dataskyddsombud på Datainspektionen. Jag tror att även hennes svar kan leda till bra reflektioner. En upptäckt jag själv gjort är att detta område är väldigt nytt och utmanande för alla. Datainspektionen har här samma utgångspunkt som alla andra, men får också bära på en tung förväntan att kunna svara på alla krångliga regelverksfrågor och stötta 20

gdpr-dataskyddsomb.indd 20

Inledning

2019-12-12 11:36


i praktiken. Det är säkert inte alltid lätt. Kanske kan den här boken också hjälpa till att något öka förståelsen mellan myndigheten och utövare.

Inledning

gdpr-dataskyddsomb.indd 21

21

2019-12-12 11:36


ombud och data­skyddsansvariga, men också ansvariga chefer. Den är inte begränsad till dataskyddsförordningen, utan täcker även in brottsdatalagen. Hur arbetar man riskbaserat och utifrån en kontrollplan? Hur hanterar man behandlingsregister och andra skakrav? Hur får man överblick över styrdokument och pågående IT-­projekt? Författaren ger både teoretiskt och praktiskt stöd, samt kombinerar juridisk analys av komplexa frågeställningar med konkreta tips. Visuella verktyg och praktiska checklistor ger stöd till dataskyddsarbetet. En utmaning i arbetet med dataskydd kan vara att få med sig hela organisationen. Författaren har en bred ansats; allt från retoriska arbetsprocesser och processkartläggning, till vad som gynnar en utveckling mot en lärande organisation.

ISBN 978-91-523- 5822-1

9 789152 358221

Dataskyddsförordningen GDPR

till alla som arbetar med integritetsskydd: dataskydds-

För dataskyddsombud och andra ansvariga

under ett komplext regelverk. Den här boken vänder sig

Monika Wendleby

Dataskyddsarbetet är roligt men utmanande och lyder

­­­

dataskyddsförordningen

GDPR

För dataskyddsombud och andra ansvariga Monika Wendleby

Foto: Fredrika Wendleby

­­­

Monika Wendleby är kvalificerad jurist med bred erfarenhet, bland annat som kammarrättsråd/rådman i förvaltningsdomstol, utredningssekreterare/expert i statliga utredningar och internationell chef på Migrationsverket. Idag arbetar Monika Wendleby som managementkonsult och partner i Passacon AB. Hon är dataskyddsombud för flera organisationer i den ideella sektorn och hjälper kunder med dataskyddsfrågor (som jurist, mentor till dataskyddsombud och managementkonsult). Monika är en uppskattad föreläsare och workshopsledare, eftersom hon har en förmåga att förklara svåra frågor på ett enkelt sätt. Hon är även medförfattare till boken Dataskyddsförordningen GDPR : Förstå och tillämpa i praktiken, som har blivit en juridisk bestseller.

Profile for Smakprov Media AB

9789152358221  

9789152358221  

Profile for smakprov

Recommendations could not be loaded

Recommendations could not be loaded

Recommendations could not be loaded

Recommendations could not be loaded