Skyldigheten att utse personuppgiftsombud
Kommissionens vs. LIBE-utskottets förslag
I vårt inlägg i tisdags om personuppgiftsbiträdets förändrade roll nämnde vi bland annat att skyldigheten att utse personuppgiftsombud under vissa förutsättningar även ska gälla för ett personuppgiftsbiträde. I beskrivningen utgick vi från Kommissionens förslag, som innebär att skyldigheten att utse ett personuppgiftsombud även ska gälla för ett personuppgiftsbiträde som (i) är en myndighet eller liknande, (ii) är ett företag med mer än 250 anställda eller (iii) har som kärnverksamhet att behandla personuppgifter som på grund av sin karaktär, omfattning och/eller ändamål kräver regelbunden och systematisk övervakning av den registrerade.
LIBE-utskottets kompromissförslag från den 22 oktober 2013 (”kompromissförslaget”) innehåller en delvis annan grund för den generella skyldigheten att utse personuppgiftsombud än den som läggs fram i Kommissionens förslag. Därför vill vi i detta inlägg i korthet ta upp några skillnader mellan de båda förslagen när det gäller skyldigheten att utse personuppgiftsombud. Enligt kompromissförslaget föreslås att skyldigheten att utse personuppgiftombud ska gälla för en juridisk person som behandlar personuppgifter för fler än 5 000 registrerade under en period om minst tolv månader i följd. Detta till skillnad mot Kommissionens förslag där ett företags skyldighet att utse personuppgiftombud kan grundas på om antalet anställda är fler än 250 personer. Därtill ska, enligt kompromissförslaget, ett personuppgiftsombud utses för en personuppgiftsansvarig eller ett personuppgiftsbiträde vars kärnverksamhet innebär personuppgiftsbehandling avseende vissa särskilda kategorier av känsliga uppgifter, lokaliseringsuppgifter, uppgifter om barn eller om storskaliga system (large scale filing systems) för behandling av anställdas personuppgifter hanteras av verksamheten. En ytterligare skillnad mellan de båda förslagen är att personuppgiftsombudet enligt Kommissionens förslag ska utses för en period om två år, medan ombudet enligt kompromissförslaget föreslås utses för en period om fyra år om ombudet är en anställd och två år om ombudet är en extern konsult.
Det är i dagsläget oklart hur skyldigheten att utse personuppgiftsombud kommer att se ut i den kommande dataskyddsförordningen. Det framstår enligt vår uppfattning som mer ändamålsenligt att skyldigheten baseras på antalet registrerade personer än på antalet anställda. Integritetsriskerna är ju i de flesta fall större vid mer omfattande personuppgiftsbehandling. Även i kompromissförslaget finns dock vissa gränsdragningsproblem. Det är oklart vad som ska avses med ett ”storskaligt system för behandling av anställdas personuppgifter”. Det är möjligt att kompromissförslaget i den delen får till följd att större arbetsgivare, som kanske inte omfattas av övriga rekvisit som ger dem en skyldighet att utse ett personuppgiftsombud, ändå blir skyldiga att utse personuppgiftsombud. Om kompromissförslaget ska tolkas på det sättet innebär det en utökning av skyldigheten att anlita personuppgiftsombud i förhållande till Kommissionens förslag. Detta eftersom skyldigheten att anlita personuppgiftsombud i kompromissförslaget då skulle omfatta såväl företag som har många anställda, som företag som behandlar personuppgifter om ett stort antal registrerade individer. Det finns god anledning att återkomma i den här frågan.