Logga in

Logga in formulär

Ange ditt användarnamn. Ange ditt lösenord. Glömt ditt lösenord?

Dataskyddsombud ska vara oberoende

dataskydd-Dataskyddsombud-ska-vara-oberoende.jpg

I en mycket intressant dom har EU-domstolen klargjort hur starkt skyddet är av dataskyddsombuds oberoende. Domen är viktig då det i dag ofta uppstår konflikter kring dataskyddsombudets roll. Domen, som rör möjligheten att säga upp dataskyddsombud, visar att skyddet från olika former av repressalier på grund av det sätt ombudet utför arbetet är starkt – och det gäller både för interna och externa ombud. Eftersom en felaktig hantering av dataskyddsombud kan leda till sanktioner är det viktigt att ledningen sätter sig in i domen och vidtar rimliga organisatoriska åtgärder. JP Infonets expert Monika Wendleby analyserar domen.

Bakgrund

Dataskyddsombud regleras genom artiklarna 37–39 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning, GDPR). Det finns ett antal strikta ska-krav i artiklarna och överträdelser av dem kan leda till sanktionsavgifter enligt artikel 83.4 a GDPR.

I en dom den 22 juni 2022 i mål C-534/20 mellan Leistritz AG (fortsättningsvis bolaget) och LH har EU-domstolen prövat giltigheten och tolkningen av artikel 38.3 andra meningen GDPR. I den stadgas att ett dataskyddsombud inte får ”avsättas eller bli föremål för sanktioner av den personuppgiftsansvarige eller personuppgiftsbiträdet för att ha utfört sina uppgifter”. Även skäl 97 GDPR, som stadgar att ”dataskyddsombud bör, oavsett om de är anställda av den personuppgiftsansvarige eller ej, kunna fullgöra sitt uppdrag och utföra sina uppgifter på ett oberoende sätt”, är relevant i prövningen. Jag brukar kalla denna reglering för ett repressalieförbud.

EU-domstolens prövning sker i förhållande till den tyska lagstiftningen. I 6 § Bundesdatenschutzgesetz (federala dataskyddslagen) stadgas bland annat att en ”uppsägning av anställningsförhållandet är ogiltig såvida det inte finns omständigheter som berättigar … till uppsägning av synnerliga skäl, utan att iaktta någon uppsägningstid”. Det finns även en reglering om att en uppsägning av anställningsförhållandet inom ett år efter avslutat förordnande som dataskyddsombud är ogiltig ”såvida [organisationen] inte är berättigad till uppsägning av synnerliga skäl, utan att iaktta någon uppsägningstid”. Enligt 623 § i den tyska civillagen får avtalsparter säga upp anställningsförhållanden ”av synnerliga skäl utan iakttagande av uppsägningstid om det föreligger sakförhållanden som med beaktande av samtliga omständigheter i det enskilda fallet och en avvägning mellan båda avtalsparternas intressen gör att det inte rimligen kan krävas att den uppsägande parten fortsätter anställningsförhållandet till dess att uppsägningstiden eller den avtalade perioden för anställningsförhållandet har löpt ut”.

De frågor som EU-domstolen tar ställning till är om den tyska regleringen, som anses strängare än artikel 38.3 GDPR, är tillåten enligt unionsrätten. En aspekt i detta är att den tyska regleringen utgör en arbetsrättslig lagstiftning, vilket gör att den skulle kunna ingå i ett område där EU saknar lagstiftningsbefogenhet. I sitt avgörande diskuterar domstolen denna fråga ingående men domstolen gör även flera intressanta allmängiltiga tolkningar av förordningstexten.

Omständigheterna

Bolaget var skyldigt att utse ett dataskyddsombud och valde att förordna LH, som hade påbörjat en anställning som chefsjurist på bolaget den 15 januari 2018, att från februari 2018 även vara dataskyddsombud. Den 13 juli samma år sas LH upp med verkan från den 15 augusti samma år. Skälen angavs vara att bolaget skulle omstruktureras och att detta innebar att juridisk rådgivning och personuppgiftsskyddsfrågor inte skulle utföras ”in-house” utan läggas ut externt. Uppsägningen hade utifrån den kortfattade beskrivningen i domen inget att göra med brister i utförandet av arbetsuppgifterna utan härleddes från att bolaget ändrat sin strategi från anställning till att anlita externa konsulter.

LH ifrågasatte giltigheten av uppsägningen och väckte talan. Underinstanserna fann att uppsägningen var ogiltig, då LH, i egenskap av dataskyddsombud, enligt tysk rätt endast kunde sägas upp om det förelåg synnerliga skäl. Bundesarbeitsgericht (Federala arbetsdomstolen) hänsköt frågan till EU-domstolen, efter att ha konstaterat att tysk doktrin hade olika uppfattningar rörande rättsläget.

Innebörden av skyddet för dataskyddsombud

För att kunna pröva frågan går EU-domstolen i domen först igenom några tolkningsprinciper. Dessa är förstås intressanta även i andra GDPR-rättsliga frågor:

”Såsom framgår av fast rättspraxis ska vid tolkningen av en unionsbestämmelse inte endast lydelsen beaktas i enlighet med dess sedvanliga betydelse i normalt språkbruk, utan också sammanhanget och de mål som eftersträvas med de föreskrifter som bestämmelsen ingår i …”

Domstolen konstaterar därefter att väsentliga rekvisit i artikel 38.3 andra meningen GDPR, nämligen ”avsättas”, ”bli föremål för sanktioner” och ”för att ha utfört sina uppgifter”, inte definieras i förordningen. Begreppen ska därför tolkas enligt sedvanligt språkbruk vilket innebär att ”… dataskyddsombudet ska vara skyddad mot varje beslut som innebär att vederbörande avsätts, lider en nackdel eller blir föremål för en sanktion”. Det finns alltså enligt domstolen ett starkt skydd mot alla typer av repressalier, till och med att bara ”lida en nackdel” vilket sätter ljus på att sämre löneutveckling eller andra villkor inte är godtagbara.

Domstolen konstaterar även att en ”uppsägning av ett dataskyddsombud som vidtas av dennes arbetsgivare och som innebär att det befintliga anställningsförhållandet mellan ombudet och arbetsgivaren upphör, vilket följaktligen också innebär att uppdraget som dataskyddsombud vid det aktuella företaget upphör, kan utgöra ett sådant beslut”.

GDPR gör det alltså mer komplext att säga upp dataskyddsombud. Här konstaterar domstolen att den aktuella passusen i artikel 38.3 GDPR ”… fastställer en gräns som innebär att det är förbjudet att säga upp ett dataskyddsombud av ett skäl som är hänförligt till utförandet av ombudets uppgifter, vilka enligt artikel 39.1 b i GDPR bland annat består i att övervaka efterlevnaden av unionsbestämmelser eller nationella bestämmelser om dataskydd samt av den personuppgiftsansvariges eller personuppgiftsbiträdets interna regler för skydd av personuppgifter”. Detta hänger ihop med att dataskyddsombudet ska kunna utföra sitt uppdrag oberoende.

Skrivningarna är intressanta eftersom de visar att det finns ett långtgående skydd för dataskyddsombud redan enligt GDPR:s lydelse. Domstolen slår fast att man inte kan göra sig av med ett ombud om uppsägningsskälen kan kopplas till hur hen har utfört uppdraget. Det som sägs om uppsägning lär också kunna tillämpas på omplaceringar mot ombudets vilja och liknande (jag återkommer till detta i ett separat avsnitt). När jag pratar med dataskyddsombud upplever de inte sällan uppdraget som tungt eftersom de jobbar i motvind och inte anses tillräckligt samarbetsvilliga. Att den oberoende ställningen ska skyddas är därför sannolikt viktigt för många.

Vikten av oberoende

Domen understryker hur viktigt det är med oberoende i dataskyddsombudsrollen. Under åren har jag genomfört många utbildningar för dataskyddsombud. En av de svåraste frågorna rör just dataskyddsombudets oberoende, både vad det innebär och hur det faktiskt ska hanteras. För mig som tidigare varit både rådman och kammarrättsråd är begreppet inte så svårt, eftersom det ligger i domarens DNA att döma utan att påverkas. Domare har traditionellt också en mycket stark anställningstrygghet som tydligt bidrar till att garantera oberoendet.

För dem som inte arbetat som domare är dock begreppet svårt eftersom anställda är fostrade i en långtgående lojalitetsplikt med sin arbetsgivare. Har ledningen pekat ut en inriktning är det inte legitimt att ständigt ifrågasätta den. Det är en sanning inom arbetsrätten att arbetsgivaren leder och fördelar arbetet.

Dataskyddsombuds lojalitetsplikt är mot de registrerade

Oberoende innebär att dataskyddsombud får ett annat fokus än andra anställda i sitt arbete. För dataskyddsombud blir en annan lojalitetsplikt än den mot arbetsgivaren viktig, nämligen att ha fokus på den registrerade och jobba för ett ständigt förbättrat dataskydd. Av det skälet är domstolens skrivningar om oberoendet mycket intressanta, eftersom de så tydligt klargör just detta:

”Detta oberoende måste göra det möjligt för dataskyddsombud att utföra sina uppgifter i enlighet med ändamålet med GDPR, vilket, såsom framgår av skäl 10 i den förordningen, bland annat är att säkerställa en hög skyddsnivå för fysiska personer inom unionen och för att uppnå detta ändamål säkerställa en konsekvent och enhetlig tillämpning av bestämmelserna om skydd av fysiska personers grundläggande rättigheter och friheter vid behandling av personuppgifter i hela unionen.”

Funktionellt oberoende

EU-domstolen framhåller att artikel 38 GDPR i sin helhet reglerar dataskyddsombudets funktionella oberoende. De andra delarna i artikeln kompletterar repressalieförbudet i andra meningen på följande sätt:

  • I 38.3 första meningen GDPR klargörs att dataskyddsombud inte får ta emot instruktioner som gäller utförande av deras förordningsrelaterade uppgifter.
  • I 38.3 tredje meningen GDPR klargörs att dataskyddsombud ska kunna rapportera direkt till den högsta förvaltningsnivån (som jag tolkar som styrelsen).

Även artikel 38.5 GDPR reglerar enligt EU-domstolen en aspekt av det funktionella oberoendet. I den artikeln sägs att dataskyddsombudet, när det gäller hens genomförande av sina uppgifter, ska vara bundet av sekretess eller konfidentialitet.

Regleringen är ett minimikrav när anställningsvillkor ska regleras

Funktionellt oberoende utgör enligt EU-domstolen inte en arbetsrättslig reglering utan en reglering som ska stärka dataskyddet. Domstolen anger här följande:

”Artikel 38.3 andra meningen i GDPR skyddar således dataskyddsombudet från beslut som skulle kunna innebära att ombudets uppdrag upphör, som skulle innebära att ombudet lider en nackdel eller som skulle utgöra en sanktion – när ett sådant beslut har samband med utförandet av ombudets uppgifter. Den bestämmelsen ska således anses syfta till att i första hand värna dataskyddsombudets funktionella oberoende och således säkerställa effektiviteten hos bestämmelserna i GDPR. Bestämmelsen har däremot inte som målsättning att på ett övergripande sätt reglera anställningsförhållandet mellan en personuppgiftsansvarig eller ett personuppgiftsbiträde och individer som ingår i dennes personal, vilka endast kan påverkas accessoriskt i den utsträckning som är strängt nödvändig för att förverkliga dessa målsättningar.

---

Med undantag för det specifika skyddet för dataskyddsombud enligt artikel 38.3 andra meningen i GDPR, ingår … fastställandet av regler om skydd mot uppsägning av ett dataskyddsombud som är anställt av en personuppgiftsansvarig eller ett personuppgiftsbiträde varken i skyddet för fysiska personer med avseende på behandling av personuppgifter eller i det fria flödet av sådana uppgifter, utan i det socialpolitiska området.”

Domstolen pekar därefter på att EU-parlamentet och rådet får anta minimikrav inom det socialpolitiska området, vilket inte hindrar ”någon medlemsstat från att bibehålla eller införa mera långtgående skyddsåtgärder som är förenliga med fördragen”. Att en medlemsstat ställer striktare krav i sin lagstiftning äventyrar inte ”förverkligandet av målen med GDPR”. Det sagda innebär att Tyskland har rätt att införa mer långtgående regler.

En annan aspekt av domstolens slutsatser är att vi numera vet att artiklarna som reglerar dataskyddsombud i förordningen är en sorts minimiharmonisering, vilket gör att man inte kan ha sämre villkor i lagar eller kollektivavtal än de som finns i förordningen.

Gäller både anställda och uppdragstagare

EU-domstolen konstaterar i domen att skyddet för dataskyddsombud inte enbart gäller anställda sådana utan även dem som innehar externa uppdrag:

”Domstolen konstaterar att artikel 38.3 andra meningen i GDPR är tillämplig utan åtskillnad på både dataskyddsombud som ingår i den personuppgiftsansvariges eller personuppgiftsbiträdets personal och dataskyddsombud som utför uppgifterna på grundval av ett tjänsteavtal i enlighet med artikel 37.6 i GDPR.

Av detta följer att artikel 38.3 andra meningen i GDPR kan tillämpas på förhållandet mellan ett dataskyddsombud och en personuppgiftsansvarig eller ett personuppgiftsbiträde, oberoende av vilket slags anställningsförhållande som råder mellan ombudet och den ansvarige eller biträdet.”

Ställningstagandet visar att avtalsskrivande är viktigt både när det gäller anställda dataskyddsombud och dem som tar ett uppdrag som konsult. Jag har själv flera gånger tagit uppdrag som dataskyddsombud och då utgått från att skyddsreglerna för dataskyddsombud även gäller i uppdragsförhållandet. Detta har medfört att jag lagt extra vikt vid att reglera avtalstid och kriterier för uppsägning. Jag har i de avtal jag ingått sett till att den personuppgiftsansvarige noga beaktar GDPR:s reglering så att den inte bryter mot GDPR när uppsägningen görs, det vill säga att man inte baserar uppsägningen på ett missnöje med hur uppdraget har utförts.

Vad domen lämnar obesvarat

EU-domstolen har ingen anledning att uttala sig om huruvida man, liksom bolaget, som ett led av en omorganisering där dataskyddsfrågor upphandlas externt kan säga upp dataskyddsombud. Då den tyska lagstiftningens skydd även omfattar denna situation räcker det för domstolen med att konstatera att den är giltig.

Jag tolkar domen på så sätt att det kan finnas skäl till uppsägning som inte faller under repressalieförbudet i artikel 38 GDPR (jämför skrivningen ”kan utgöra ett sådant beslut” i domen). Kan man visa att beslutet inte kan kopplas till dataskyddsombudets utförande av sina uppgifter lär repressalieförbudet inte ställa hinder i vägen. Eftersom dataskyddsombud ofta anses vara besvärliga i sin roll, då de fortsätter påpeka avvikelser trots att beslut har fattats vilket inte sällan leder till konflikter, tror jag att det kan finnas situationer när strategiska beslut av den sort bolaget gjorde kan komma i konflikt med förbudet.

I min bok ”Dataskyddsförordningen GDPR : För dataskyddsombud och andra ansvariga (Sanoma utbildning 2020, andra tryckningen. s. 186 f., fortsättningsvis ”För dataskyddsombud och andra ansvariga”) analyserar jag några andra situationer som kan uppstå:

”Ett exempel är ett dataskyddsombud anställt med en provanställning. Utgångspunkten för provanställning är att arbetsgivaren innan denne anställer har gjort en bedömning att man har behov av en tillsvidareanställning. Syftet med provanställningen är alltså att arbetsgivaren ska få möjlighet att pröva en person i befattningen innan den går över i en fast anställning. En provanställning är normalt en osäker anställningsform, eftersom arbetsgivaren när som helst kan avbryta anställningen utan att ange något skäl för uppsägningen.

Detta lär inte hålla om det rör ett dataskyddsombud där även dataskyddsförordningens regler ska gälla. En rimlig tolkning enligt dataskyddsförordningen är att den anställde behöver få en motivering och att denna motivering inte rör något som har koppling till repressalieförbudet. 

Ett annat intressant exempel är uppsägning på grund av arbetsbrist i en organisation som har ett dataskyddsombud. Det lär vara svårt att hävda arbetsbrist om organisationen är skyldig att utse ett dataskyddsombud och hen är det enda ombudet. Även en organisation som frivilligt har utsett ett ombud är skyldig att fortsätta att ha ett och kan i denna situation sannolikt inte ”bli av” med sitt ombud på detta sätt. Att börja diskutera uppsägning på grund av arbetsbrist när organisationen har ett dataskyddsombud kan därför sannolikt ses som en repressalie. Läget kan vara annorlunda om organisationen har en grupp dataskyddsombud, men även här kan det finnas risker för organisationen kopplade till repressalieförbudet, så det är bra att dokumentera alla skäl och åtgärder noga.”

EU-domstolens dom går inte in på dessa frågor, men enligt min mening stärker de allmänna uttalanden som görs i domen mitt resonemang. Trots allt har EU-domstolen pekat på att artikel 38.3 GDPR är en miniminivå som ska följas och använt ordet ”nackdelar” för att precisera repressalieförbudet. Det ska bli intressant att följa fortsättningen när mer rättspraxis börjar komma.

Vad behöver organisationer göra?

Jag tror att många organisationer inte har bottnat i dataskyddsombudsrollen ordentligt. De uttalanden som Artikel 29-gruppen gjort i Riktlinjer om dataskyddsombud, antagna den 13 december 2016, senast granskade och antagna den 5 april 2017 – och som ligger väl i linje med EU-domstolens ställningstagande – har inte fått ordentligt genomslag. Jag tror det är viktigt att organisationer nu sätter sig in i regelverket och skapar organisatoriska skydd för dataskyddsombud. Det kan handla om flera saker, till exempel:

  • Organisering: Den som befinner sig långt ner i organisationshierarkin har svårare att vara oberoende. Här tycker jag att Integritetsskyddsmyndighetens organisationsskiss (https://www.imy.se/om-oss/organisation/) är värd att reflektera kring och jämföra med den egna organiseringen.
  • Personalansvar för dataskyddsombud: För den som har en arbetsgivarroll kan det vara viktigt att hitta objektiva sätt att genomföra löne- och utvecklingssamtal. I min bok För dataskyddsombud och andra ansvariga (s. 406 f.) beskriver jag olika verktyg man kan använda för att minska risken för att ta upp frågor som riskerar oberoendet.
  • Övergripande strategi för dataskydd: En beskrivning av dataskyddsarbetet och rollerna inom det är viktigt att ta fram. När jag jobbat ute i organisationer har jag sett värdet av sådana dokument. Ramarna för dataskyddsombudets uppdrag, till exempel det riskbaserade kontrollarbetet, behöver också vara tydligt. I boken För dataskyddsombud och andra ansvariga(s. 394 f.) beskrivs den struktur jag utgår från när jag hjälper till att ta fram styrdokument av denna typ.
  • Återkommande föredragningar för styrelse eller ledning: Som framgår ovan kopplar EU-domstolen detta till ombudets organisatoriska oberoende. Jag vet att många ombud aldrig får träffa ledningen, alternativt endast får lämna skriftliga rapporter.
  • Sekretess- och konfidentialitet: Det är viktigt att säkerställa att ombudet kan upprätthålla sin sekretess som också kan gälla mot organisationen. Här kan det handla om att säkerställa att ingen kommer åt ombudets sekretessbelagda material oavsett om det förvaras digitalt eller i pappersformat.

Ibland får jag höra att dataskyddsombud bör behandlas och hanteras på samma sätt som internrevisorer. Det finns dock en väsentlig skillnad, nämligen vilket fokus funktionerna har. Medan internrevisorn har fokus på bland annat kontroll av måluppfyllelse ska dataskyddsombudet ha fokus på de registrerade och på kraven i dataskyddsförordningen, vilket EU-domstolen också understryker i domen. En svår fråga för de flesta organisationer jag stött på är hur målkonflikter ska hanteras.

Hantering av målkonflikter

Jag tror att många dataskyddsombud kommer att känna sig styrkta av EU-domstolens dom. Den visar att de faktiskt har ett starkt skydd och att deras oberoende i granskningen är viktig. En viktig lärdom från domen är att styrelsen och ledningen ska bottna i EU-domstolens ställningstagande och skapa organisatoriska åtgärder som skyddar ombudet. Förutom punkterna jag listade i förra avsnittet tror jag även det är viktigt att lyfta fram organisationspsykologin vid målkonflikter.

Att många dataskyddsombud upplever uppdragen som betungande beror på att GDPR ofta leder till komplexa målkonflikter. Organisationen noterar dataskyddsombudets inställning men vill ändå fortsätta på den inslagna vägen trots dataskyddsombudets tolkning, vilket leder till att dataskyddsombudet behöver rapportera avvikelser. Detta i sin tur leder ibland till att dataskyddsombudet anses vara besvärligt eller osmidigt.

I ett läge där en hel del är oklart och det saknas praxis från EU-domstolen kan ibland flera tolkningar vara rimliga. Till det kommer att både dataskyddsombudets och andra medarbetares kunskap och kompetens inom dataskydd påverkar vilka bedömningar de gör och korrektheten i dem. Det är inte givet att dataskyddsombudet alltid har rätt när hen rapporterar en avvikelse, men dataskyddsombudets organisatoriska oberoende innebär att hen har rätt att fortsätta göra en tolkning. På samma sätt är det viktigt att slå fast att det är den personuppgiftsansvarige som har ansvarsskyldighet och ska fatta beslut.

Det är enligt min mening viktigt att hitta bra sätt att hantera målkonflikter så att de inte görs personliga. Här gäller det att förstå de olika rollerna som styrelse och ledning respektive dataskyddsombud har. När jag skrev boken För dataskyddsombud och andra ansvariga (s. 182 f.) gjorde jag följande analys:

”Målkonflikter är något som uppstår ständigt i alla verksamheter. Det är inte unikt för dataskyddsregelverket och det är något som organisationens styrelse och ledning ytterst har att hantera fortlöpande. ---

Man kan … notera att sanktionssystemet i dataskyddsförordningen inte utformats med någon större förståelse för organisationers målkonflikter. I de vanliga målkonflikterna att man antingen inte förmår göra allt vad som krävs enligt regelverket eller att man vill ta en risk för att företaget ska tjäna mer pengar är det viktigt att veta att försvårande faktorer i bestämmandet av en sanktion kan vara ”ekonomisk vinst som görs eller förlust som undviks, direkt eller indirekt genom överträdelsen”. Denna aspekt kan vara viktig för dataskyddsombudet att lyfta fram i sina rapporter. ---

Om organisationen fattar beslut som dataskyddsombudet anser är oförenligt med dataskyddsförordningen eller tidigare givna råd bör enligt Artikel 29-gruppen dataskyddsombudet ges möjlighet ’att klargöra sin avvikande ståndpunkt genom ett yttrande riktat till högsta förvaltningsnivå och till dem som fattar besluten’.”

Genom att staka ut vägen i en övergripande strategi och ha respekt för de olika rollerna stärks dataskyddet. När dataskyddsombud får arbeta på ett oberoende sätt stärks både organisationen och dataskyddet, eftersom det finns en fristående funktion som oberoende sätter fingret på förbättringsmöjligheter. Rätt tillämpat är detta en bra resurs som skapar mervärde.

Av Monika Wendleby, jurist, managementkonsult, föreläsare och författare till GDPR-böcker.
Ursprungligen publicerad i JP ITnet.

Ny praxis och lagändringar kan ha tillkommit sedan texten skrevs. De senaste uppdateringarna och hur dessa påverkat rättsområdet hittar du alltid i relevant informationstjänst.

Publicerad 24 aug 2022

Monika Wendleby

Jurist, managementkonsult och författare av GDPR-böcker

Anmäl dig till vårt nyhetsbrev inom it-rätt:

Se vår integritetspolicy

Upptäck mer

Kurser

Tjänster

Nyheter

Kommissionen har antagit de första genomförandebestämmelserna om cybersäkerhet för kritiska entiteter och nätverk enligt direktivet om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen (NIS2-direktivet).

5 nov 2024

I denna analys går vår expert, Didrik Värmon, igenom vad regelverket innehåller och analyserar dess effekter för EU:s finanssektor.    

5 nov 2024