GDPR - arbetsgivarens faktiska ansvar

Arbetsgivaren har ju det juridiska ansvaret att säkerställa GDPR, men vi har ett case där mindre seriös arbetsgivare trodde att det räckte att utnämna en anställd till dataskyddsombud och attt dataskyddsombudet skulle ordna precis allting.

Det är ju inte precis så det är tänkt utan arbetsgivaren bör ju ha grundläggande förståelse av GDPR och hur fördelningen ska vara inom organisationen. Det finns ju oerhört mycket material om GDPR och implementering, men finns det något material som uttryckligen specar att det är saker som är arbetsgivarens ansvar och skyldighet att tillhandahålla, och inte bara något att bestämma sig att det räckt att ha utsett Dataskyddsombud?

I den bästa av världar skall arbetsgivare ta sig tiden att ta reda på sina skyldigheter, men ifall vi talar om en notoriskt lat arbetsgivare som inte vill läsa igenom material som kan läggas på andra, finns det någon bra sammanfattning av minimum inom GDPR som förväntas/göras kännas till av arbetsgivaren?

Hur ska en arbetsgivare kunna läsa igenom något utan att utse någon att läsa igenom det?

Till att börja med så blir det svårt att bara utse ett dataskyddsombud rakt av utan någon kunskap alls bar, utan enligt artikel 37-39 så behöver dataskyddsombudet uppfylla vissa krav och få vissa förutsättningar.

Sedan kan man naturligtvis utse någon att läsa igenom saker och sammanfatta, men det är ju ett steg som föranleder utnämningen av ett dataskyddsombud.
Att skicka valfri personal på utbildning som sedan sammanfattar kraven som sedan kan bli dataskyddsombud är en sak, men att endast utse någon till en roll utan att veta vad rollen innebär eller om personer kvalificerar sig till det känns inte så rätt?

Eller anses det helt OK att arbetsgivares enda aktiva åtgärd skall vara att utse Dataskyddsombud trots inga kunskaper om vad det innebär eller tillhandahålla någon utbildning av den anställde för rollen?

Arbetsgivaren är ju vanligtvis en juridisk person så arbetsgivaren kan ju inte läsa mågot utan någon måste delegeras ansvaret.

Det stämmer, i ett mindre företag så sammanfaller det dock ofta med fysiska personer.
ifall vi talar om företag med dryga dussinet anställda och ledningsgrupp på fyra personer, då borde ju delegeringen också uppfylla en viss form kan tänkas.

Att enbart plocka en anställd på golvet och säga "nu är du Dataskyddsombudmed koll på GDPR" torde inte riktigt uppfylla den formen, utan arbetsgivaren bör åtminstone ha koll artiklar 37-39 m.m.

Frågeställningen utgår lite ifrån den minimum-kunskap som arbetsgivare förväntas ha om GDPR, för det kräver ju iaf en viss förståelse om GDPR för att veta vad man faktiskt delegerar.

Det fritar åtminstone inte organisationen från ansvar. Dataskyddsombudet är ju inte ansvarig för att GDPR följs utan det är det personuppgiftsansvarige, dvs i regel den juridiska personen.

Men så här är det ju alltid. Om du har med en oseriös AG att göra kommer allt ansvar förutom arbetsledandet att sättas på andra anställda. Allt arbetsmiljöansvar läggs på skyddsombudet, allt ansvar för yrkestrafiken läggs på den speciellt utsedda trafikansvariga, vilket också är den som personligen blir av med sitt körkort om något händer. Personuppgiftsfrågor läggs på personuppgiftsansvariga/personuppgiftsombud/dataskyddsobud. Personalansvar läggs på HR osv.

Ett företag har massor med lagstiftning och regler som man måste följa, aktiebolagslagen, skattelagstiftning, import/exportregler, miljölagstiftning, diskrimineringslagstiftning, konkurrenslagstiftning, arbetsmiljölagstiftning och en väldans massa andra lagar och regler. Det är inget magiskt med GDPR. På samma sätt som att man låter ekonomiavdelningen (en eller flera personer) att sköta allt som har med bokföringslagen och skattelagstiftning med mera så överlåter man åt IT/HR (eller någon annan) att övervaka lagstiftningen gällande GDPR.

Man kan inte förvänta sig att VD för ett företag är insatt i alla lagar och regler utan det är delegerat till respektive avdelningschef eller lägre ner i organisationen att följa vad som händer inom respektive område. Enskilda medarbetare förväntas informera sina chefer vad som händer inom området så att inte företaget missar sina skyldigheter enligt lagstiftningen

Frågeställningen utgår ju inte ifrån att vara insatt i alla regler, men GDPR kom ju med stort buller och bång och frågan är vilken _minimum_ förståelse ledningen bör ha om GDPR.

Förväntningen ligger ju inte att hålla sig uppdaterad men att åtminstone veta grunderna för att börja implementera det i organisationen, som att t.ex. veta att ledningen är personuppgiftsansvarig då de bestämmer syftet med behandlingen, på vilka kriterier de ska utse ett dataskyddsombud och vilka resurser som denne skall ges att göra sitt jobb.

Det är ju väldigt grundläggande saker innan man kan delegera det inom organisationen, att utan kunskap ta random person från golvet och utnämna denna till Dataskyddsombud då såna ska syssla med GDPR och sedan förvänta sig att den personen fixar allt känns tveksamt.

Företaget har ju som sagt ett juridiskt ansvar för GDPR, men också moraliskt att göra mer än så.
Hur kan ett företag utse ett Dataskyddsombud till att börja med, om de inte är medvetna om de kriterier som finns i artikel 37-39?

Ska man återanknyta till trådstartens fråga är artikel 37-39 exempel på sådant som ledningen ska känna till, och mer exempel på sådant uppskattas.