Dataskyddsombudets roll

En praktisk kurs för dig som i dag arbetar eller kommer att arbeta som dataskyddsombud (DSO/DPO) enligt dataskyddsförordningen/GDPR men även för andra som arbetar praktiskt med dataskyddsfrågor.

Utbildningen fokuserar på DSO:s kvalifikationer, roll i organisationen och dess arbetsuppgifter enligt GDPR. Du kommer få en hel del praktiska tips and tricks.  Juridiken, teorin, är givetvis en viktig komponent, men vi kommer denna dag att fokusera på praktiska aspekter kring hur arbetet som DSO kan läggas upp. För samtliga delar av kursen, förutom det korta inledande teoretiska avsnitten, kommer frågan behandlas hur DSO skall involveras i de olika skyldigheterna för den organisationen som behandlar personuppgifter. Dock kommer även andra personer som arbetar praktiskt med dataskyddsfrågor, utan att vara formellt DSO, ha nytta av kursen då delar av alla praktiska frågor som tas upp ibland måste lösas av andra än DSO.

Denna kurs är relevant för personer från såväl den offentliga sektorn som från företag och andra organisationer.

Ur kursen:

Kort teoretisk introduktion till GDPR

• De teoretiska grunderna i GDPR på 40 minuter

DSO:s roll och ställning i organisationen

• Vem kan vara DSO, formella kvalifikationer, kunskapskrav på DSO, men även krav på vilken ställning du måste ha i organisationen för att få vara DSO, t.ex. att beslutsfattare normalt sett inte får vara DSO
• Ska DSO separeras från operativ verksamhet?
• Internt eller externt DSO
• Sekretessregler och tystnadsplikten för DSO.
• Regler om att DSO inte skall kunna avsättas eller bli föremål för sanktioner från den organisation som har utsett DSO.

Hur lägger du upp arbetet som DSO?

• Hur många timmar i veckan, månaden, behöver du lägga ner på rollen som DSO?
• Vilka interna och externa resurser, kompetenser, behöver du ha tillgång till för att kunna fullgöra dina arbetsuppgifter som DSO?

Praktiska frågor, transparens mm, tips and tricks

• Administrera personuppgiftsbehandlingen, mappning av personuppgifter/ förteckningsskyldigheten.
• Olika typer av policydokument såsom gallringspolicy mm.
• Vilka system, IT-verktyg, finns det för att administrera era skyldigheter enligt GDPR och hur fungerar dessa?
• Hur bör informationstexterna enligt GDPR utformas och hur kommuniceras detta rent praktiskt med de registrerade?
• Hur ska ni hantera begäran om registerutdrag rent praktiskt?

Inventering, gapanalys

• Inventering av personuppgiftsbehandlingen.
• Så genomför du gapanalys av organisationens personuppgiftsbehandling.
• Var finns personuppgifter i din organisation?
• Vilka personer i organisationen arbetar med personuppgiftsbehandling?
• Vilka frågor behöver du ha svar på från dessa personer?
• Vilka frågor är viktiga när en gapanalys ska utvärderas, när rapport skall skrivas?

DSO visavi Integritetsskyddsmyndigheten

• Hur ska DSO agera i sina kontakter med Integritetsskyddsmyndigheten i samband med t.ex. inspektion från den myndigheten?

Informationssäkerhet

• Hur skall DSO involveras i informationssäkerhetsarbetet?
• Grundläggande begrepp inom informationssäkerhet, konfidentialitet, riktighet och tillgänglighet.
• Skillnaden på fysisk, teknisk, administrativ och organisatorisk säkerhet.
• Riskklassning av information.
• Informationssäkerhetspolicy.
• Öppna nät.
• Autentisering.
• Behörighetsstyrning.
• Kontroll av åtkomst, loggar, stickprovskontroller.
• Rutiner för säkerhetskopiering.
• Direktåtkomst.
• Kryptering.
• Notifiering av personuppgiftsincidenter till Integritetsskyddsmyndigheten och till de registrerade. Hur införs en process för detta, vilken DSO kan ansvara för, kvalitetssäkra?

Konsekvensbedömning avseende dataskydd

• För vilka typer av personuppgiftsbehandlingar är det krav på en konsekvensbedömning?
• Hur genomför man en konsekvensbedömning rent praktiskt?
• Risker för de registrerade och för organisationen, risk som angreppssätt för arbetet som DSO.
• Regeln i GDPR att DSO skall involveras i konsekvensbedömningen.

Relationen med leverantörer som behandlar personuppgifter för kundens räkning

• Personuppgiftsansvaret – hur bedömer man vem som är personuppgiftsansvarig och vem som är biträde, frågan om gemensamt personuppgiftsansvar?
• Biträdesavtal, genomgång av praktisk checklista för vad ett biträdesavtal skall innehålla enligt artikel 28 GDPR
• Granskning av leverantörer.
• Krav på leverantören att hjälpa kunden med dess hantering av informationssäkerheten, inkluderande notifieringsskyldigheten till Integritetsskyddsmyndigheten.
• Hur säkrar ni att leverantörer har behandlingsystem som inte motverkar era möjligheter att följa GDPR, inbyggt dataskydd? Frågan om hur DSO involveras i upphandlingen av t.ex. IT-system.
• Särskilda problem när data, personuppgifter, behandlas utanför EU/EES, t.ex. i samband med nyttjande av molntjänster.
• Särskilda legala problem att nyttja molntjänster för myndigheter och andra privata aktörer som har tystnadsplikter att beakta.

Sagt om kursen och föreläsaren vid tidigare kurstillfällen:

Uppmärksam, kunnig, kändes som om han är väl förankrad i det praktiska arbetet.

Vi var inne på olika områden och gläntade på dörren så som man hinner under en dag. Bra att Kalle frilansade lite och inte följde programmet slaviskt utan tog de frågorna som kom upp.

Det var trevligt att kunna diskutera med föreläsaren.

Lämpar sig för de som är helt nya i rollen.

Bra att köra light/grundläggande inledning eftersom målgruppen spretade.

När jag läste vad kursen skulle ta upp blev jag mycket intresserad då det var både teori och praktik.

Kunnig och utvecklade resonemangen mycket bra. Grundkurs som blev/bjöd på plus.

Toppenmaterial: praktiskt och väl övervägt innehåll

Bra med mallar och checklistor med!