Dataskyddsombud

13.3.1 Definition av dataskyddsombud

Regeringens förslag: Dataskyddsombud ska i lagen definieras som den

fysiska person som utses av den personuppgiftsansvarige för att självständigt kontrollera att personuppgifter behandlas författnings- enligt och på ett korrekt sätt enligt vad som närmare anges i lagen.

Remissinstanserna: Datainspektionen anser att definitionen av data- Prop. 2018/19:163

skyddsombud bör inkludera juridiska personer. Övriga remissinstanser yttrar sig inte särskilt i denna del.

Skälen för regeringens förslag: I 3 § personuppgiftslagen definieras

personuppgiftsombud, som motsvarar det som i dataskyddsdirektivet kal- las dataskyddsombud. Där anges att ett personuppgiftsombud är den fysi- ska person som, efter förordnande av den personuppgiftsansvarige, själv- ständigt ska se till att personuppgifter behandlas på ett korrekt och lagligt sätt.

Personuppgiftsombud är visserligen ett inarbetat begrepp, men data- skyddsombud är den term som används både i brottsdatalagen och i data- skyddsförordningen. Den termen bör därför användas även i den nya lagen.

Dataskyddsombud bör definieras i lagen. Eftersom dataskyddsombudet föreslås vara en anställd hos Säkerhetspolisen (avsnitt 13.3.2) kan definitionen inte, till skillnad från vad Datainspektionen anfört, inkludera juridiska personer. Det bör i stället framgå av definitionen att dataskydds- ombudet ska vara en fysisk person. I övrigt bör definitionen överens- stämma med motsvarande definition i brottsdatalagen. Dataskyddsombud är således den fysiska person som utses av den personuppgiftsansvarige för att självständigt kontrollera att personuppgifter behandlas författ- ningsenligt och på ett korrekt sätt enligt vad som närmare anges i lagen.

13.3.2 Krav att utse dataskyddsombud

Regeringens förslag: Säkerhetspolisen ska inom myndigheten utse ett

eller flera dataskyddsombud och anmäla till tillsynsmyndigheten när dataskyddsombud utses och entledigas.

Utredningens förslag överensstämmer med regeringens.

Remissinstanserna: Datainspektionen välkomnar förslaget att Säker-

hetspolisen ska vara skyldig att utse dataskyddsombud. Övriga remissinstanser yttrar sig inte särskilt i denna del.

Skälen för regeringens förslag: Enligt 3 kap. 13 § brottsdatalagen ska

den personuppgiftsansvarige utse ett eller flera dataskyddsombud och anmäla till tillsynsmyndigheten när dataskyddsombud utses och entledi- gas. Säkerhetspolisen har i dag enligt 6 kap. 5 § andra stycket polisdatalagen en skyldighet att utse personuppgiftsombud och bör liksom övriga brottsbekämpande myndigheter även fortsättningsvis vara skyldig att utse ett eller flera dataskyddsombud. En bestämmelse om skyldighet att utse dataskyddsombud bör därför tas in i den nya lagen.

Dataskyddsombud bör vara en anställd hos Säkerhetspolisen. Kraven på dataskyddsombudets kvalifikationer kan anges i förordning.

Säkerhetspolisen bör anmäla till tillsynsmyndigheten vem som har ut- setts till dataskyddsombud och när ombudet entledigas. Det är viktigt att tillsynsmyndigheten får information om det, eftersom ombuden bl.a. ska ha till uppgift att samarbeta med tillsynsmyndigheten och fungera som kontaktpunkt för den i vissa fall (avsnitt 13.3.3).

Prop. 2018/19:163

_{13.3.3 Dataskyddsombudens arbetsuppgifter}

Regeringens förslag: Dataskyddsombud ska ha vissa i lagen angivna

arbetsuppgifter.

Utredningens förslag överensstämmer i huvudsak med regeringens.

Enligt utredningens förslag ska dataskyddsombud vara skyldiga att anmäla till tillsynsmyndigheten om Säkerhetspolisen bryter mot bestämmelser för behandling av personuppgifter och rättelse inte vidtas.

Remissinstanserna yttrar sig inte särskilt i denna del. Skälen för regeringens förslag

Nuvarande reglering

Enligt 38–40 §§ personuppgiftslagen ska personuppgiftsombud självstän- digt se till att den personuppgiftsansvarige behandlar personuppgifter på ett lagligt och korrekt sätt och i enlighet med god sed och påpeka eventu- ella brister. Har personuppgiftsombudet anledning att misstänka att den personuppgiftsansvarige bryter mot de bestämmelser som gäller för be- handlingen av personuppgifter, och vidtas inte rättelse efter påpekande, ska ombudet anmäla det till tillsynsmyndigheten. Personuppgiftsombud ska även i övrigt samråda med tillsynsmyndigheten. Personuppgifts- ombuden ska också föra förteckning över de behandlingar som den per- sonuppgiftsansvarige utför och som skulle ha omfattats av anmälnings- skyldighet om inte ombudet hade funnits. Personuppgiftsombud ska dessutom hjälpa registrerade att få rättelse när det finns anledning att misstänka att behandlade personuppgifter är felaktiga eller ofullständiga. Dessa bestämmelser gäller för Säkerhetspolisen genom hänvisningar i 2 kap. 2 § första stycket 9 och 6 kap. 4 § 1 polisdatalagen.

Ombudens arbetsuppgifter bör vara desamma som enligt brottsdatalagen

Dataskyddsombudens roll påminner i stora delar om personuppgiftsom- budens. Dataskyddsombuden har dock genom brottsdatalagen fått delvis nya arbetsuppgifter och en något förändrad roll. Flertalet av de arbets- uppgifter som ska anförtros dataskyddsombud har t.ex. karaktären av intern rådgivning, vilket inte är fallet i dag. Dataskyddsombuden har också fått ett tydligare uppdrag att bistå tillsynsmyndigheten. Eftersom dataskyddsombudens arbetsuppgifter bör vara enhetliga bör bestämmelser motsvarande 3 kap. 14 § brottsdatalagen tas in i den nya lagen. Säker- hetspolisens dataskyddsombud kommer därmed att få en något förändrad roll och några fler arbetsuppgifter.

I den nya lagen bör det således föreskrivas att dataskyddsombud själv- ständigt ska kontrollera att Säkerhetspolisen behandlar personuppgifter författningsenligt och på ett korrekt sätt och i övrigt fullgör de skyldigheter som åligger myndigheten som personuppgiftsansvarig. Självständighets- kravet innebär att Säkerhetspolisen inte bör utse ett ombud som har en alltför underordnad ställning i organisationen. För att ombudet ska vara oberoende måste han eller hon också ha tillräckliga kvalifikationer och kunskaper för att kunna utföra sina arbetsuppgifter på ett självständigt sätt.

Dataskyddsombud bör vidare informera och ge råd till Säkerhetspolisen och de som behandlar personuppgifter under myndighetens ledning om

deras skyldigheter enligt lagen och andra författningar som rör personupp- Prop. 2018/19:163 giftsbehandling. Det handlar främst om att göra Säkerhetspolisen och

medarbetarna medvetna om vad de i olika situationer är skyldiga att göra, t.ex. att informera registrerade, att ha säkerhetsrutiner och att dokumentera personuppgiftsbehandlingen. Om Säkerhetspolisen begär det ska ombudet ge råd vid en konsekvensbedömning och kontrollera att bedömningen genomförs på rätt sätt.

Dataskyddsombudens roll påminner i dessa delar om internrevisorers. För att ombuden ska kunna utöva intern kontroll bör de inte ges arbets- uppgifter som kan komma i konflikt med kontrolluppgiften. Det kan t.ex. vara olämpligt att låta dataskyddsombud utbilda personalen eller ansvara för att den får annan information, eftersom det är åtgärder som omfattas av den interna granskningen. Det är viktigt att dataskyddsombudet trots sin dubbla roll kan utöva kontrollen på ett oberoende sätt.

Enligt personuppgiftslagen ska ett personuppgiftsombud anmäla till tillsynsmyndigheten om han eller hon misstänker att den personuppgifts- ansvarige bryter mot gällande bestämmelser och inte vidtar rättelse. Som utredningen påpekar är det viktigt att dataskyddsombud uppmärksammar tillsynsmyndigheten på eventuella problem och brister, särskilt om den personuppgiftsansvarige inte rättar sig efter ombudets påpekanden. Med hänsyn till att motsvarande anmälningsskyldighet inte gäller på data- skyddsförordningens område var det enligt regeringen inte motiverat att införa en sådan skyldighet i brottsdatalagen (prop. 2017/18:232 s. 210). Någon sådan anmälningsskyldighet bör därför inte heller införas i den nya lagen.

Dataskyddsombud bör även samarbeta med och fungera som kontakt- punkt för tillsynsmyndigheten i frågor som rör behandling av personupp- gifter. Det gäller särskilt vid sådant förhandssamråd som avses i av- snitt 13.2.5. Samarbetet innebär också att ombudet, när det är lämpligt, ska samråda med tillsynsmyndigheten även i andra frågor som rör person- uppgiftsbehandling.

Dataskyddsombud bör också ha samma roll i förhållande till enskilda som personuppgiftsombud har i dag. De bör därför vara kontaktpunkt för enskilda i frågor som rör behandling av personuppgifter.

Dataskyddsombudens verksamhet ska underlättas

För att dataskyddsombuden ska kunna utföra sina arbetsuppgifter krävs det att Säkerhetspolisen gör det möjligt och tillhandahåller de resurser som ombuden behöver, genom att t.ex. göra ombudet delaktig i frågor och beslut som rör behandling av personuppgifter. Ombuden bör också få tillgång till all dokumentation gällande personuppgiftsbehandlingen och, i den utsträckning det behövs, tillgång till de personuppgifter som behandlas. Säkerhetspolisen bör även se till att ombudet ges utrymme för vidareutbildning och annan kunskapsinhämtning. Bestämmelser om detta kan tas in i förordning.