Behöver din organisation ett dataskyddsombud? Nu finns det tydligare regler framme!

Behöver din organisation ett dataskyddsombud? Nu finns det tydligare regler framme!

Datainspektionen har publicerat tolkningar på sin hemsida kring hur man skall resonera kring om man behöver ett dataskyddsombud eller inte. I artikeln nedan finns datainspektionens text inklipps. Intressant att notera är att det är ett stort antal organisationer som kommer att behöva ett dataskyddsombud med denna tolkning. Kommentera gärna era åsikter kring denna tolkning.

Datainspektionens text i original finns på:

https://www.datainspektionen.se/dataskyddsreformen/dataskyddsforordningen/skyldigheter-for-de-som-behandlar-personuppgifter/dataskyddsombud/maste-vi-utse-ett-dataskyddsombud/

Måste vi utse ett dataskyddsombud?

Om ni svarar ja på någon av de här tre frågorna måste ni ha ett dataskyddsombud:

  1. Är ni en myndighet eller en folkvald församling, det vill säga ett offentligt organ?
  2. Har ni som kärnverksamhet att regelbundet, systematiskt och i stor omfattning övervaka enskilda personer?
  3. Har ni som kärnverksamhet att behandla känsliga personuppgifter eller uppgifter om brott i stor omfattning?

Offentligt organ

Offentliga organ i Sverige är myndigheter och folkvalda organ: riksdagen, kommunfullmäktige, landstingsfullmäktige och regionfullmäktige.

Vad är inte offentliga organ?

Privata företag, föreningar och organisationer är inte offentliga organ, och inte heller kommunala eller landstingsägda bolag. Ni kan ändå behöva ha ett dataskyddsombud, om ni svarar ja på fråga 2 eller 3.

Kärnverksamhet

“Kärnverksamhet” är den nödvändiga centrala verksamhet som en organisation utför för att uppfylla sina mål.

Exempel:

  • För en skobutik är kärnverksamheten att sälja skor.
  • För ett säkerhetsföretag kan kärnverksamheten vara att övervaka allmänna platser.
  • Ett sjukhus har som mål att ge sjukvård. För att kunna göra det måste sjukhuset behandla hälsouppgifter. Behandling av känsliga uppgifter är därför en kärnverksamhet för sjukhuset.

Regelbunden och systematisk övervakning

Regelbunden och systematisk övervakning är ständig eller återkommande övervakning som sker enligt ett system eller en plan.

Exempel:

  • alla former av spårning och profilering på internet
  • profilering för riskbedömningar
  • positionsspårning i mobilappar
  • lojalitetsprogram
  • övervakningskameror
  • uppkopplade apparater, till exempel smarta mätare (sakernas internet, internet of things, IoT)

Stor omfattning

Vad som är “stor omfattning” kan vara svårt att bedöma, men beror till exempel på hur många som är registrerade, hur mycket uppgifter och vilka typer av uppgifter som behandlas och hur länge uppgifterna behandlas.

Exempel på verksamheter som behandlar personuppgifter i stor omfattning:

  • sjukhus – patientuppgifter
  • kollektivtrafik – reseuppgifter om enskilda resenärer
  • försäkringsbolag eller banker – uppgifter om kunders egendomar och tillgångar

Exempel på verksamheter som inte behandlar personuppgifter i stor omfattning:

  • en enskild läkare behandlar patientuppgifter
  • en enskild advokat behandlar personuppgifter som rör fällande domar i brottmål och överträdelser.

Vilka behöver inte ha ett dataskyddsombud?

Det enkla svaret är att alla som svarar nej på frågorna ovan inte behöver ett dataskyddsombud.

Exempel: Det betyder alltså att icke-offentliga organ, som företag och föreningar, inte behöver dataskyddsombud om de till exempel

  • har få uppgifter om sina kunder, eller uppgifter som inte är känsliga
  • inte behandlar personuppgifter som en del av sin kärnverksamhet
  • endast har vissa uppgifter om sina anställda, till exempel för att kunna betala ut löner.

Dela på dataskyddsombud

Ett dataskyddsombud kan ha ansvar för flera olika myndigheter eller flera olika företag inom samma koncern.

En förutsättning är förstås att dataskyddsombudet har tillräckligt med tid och resurser för att utföra uppdraget, och att alla som behöver komma i kontakt med dataskyddsombudet lätt kan göra det.

Flera personer kan agera dataskyddsombud tillsammans

Det finns inget hinder mot att ha en grupp personer som utför dataskyddsombudets uppgifter så länge alla i gruppen uppfyller de krav som ställs. Gruppen ska också ha en utsedd ansvarig kontaktperson.

Personuppgiftsbiträdet kan behöva ett dataskyddsombud även om ansvarig inte behöver det

Alla organisationer måste göra en egen bedömning av om de behöver ett dataskyddsombud. Det kan förekomma att ett personuppgiftsbiträde behöver ett dataskyddsombud även om dess uppdragsgivare inte behöver dataskyddsombud.

Exempel: Ett litet företag har ett personuppgiftsbiträde som har många liknande kunder. Det innebär att personuppgiftsbiträdet behandlar stora mängder personuppgifter, från många olika kunder. Personuppgiftsbiträdet kan då behöva utnämna ett dataskyddsombud trots att det lilla företaget inte behöver det.

Datainspektionen rekommenderar

Även om ni inte måste ha ett dataskyddsombud kan det vara bra för er organisation att ha ett, exempelvis för att skapa ordning och reda i arbetet med personuppgifter. Det kan också skapa förtroende hos de registrerade, era kunder. Det kan i sin tur ge fördelar i konkurrensen med andra företag.

Vi rekommenderar att organisationer utser ett dataskyddsombud, även om de inte måste, om de

  • utför arbetsuppgifter av allmänt intresse
  • utför uppgifter som innefattar myndighetsutövning.

Mer information

Om dataskyddsombud i förordningen – med Datainspektionens kommentarer
Dataskyddsförordningen artikel 37: utnämning av dataskyddsombud
Dataskyddsförordningen artikel 38: dataskyddsombudets ställning
Dataskyddsförordningen artikel 39: dataskyddsombudets uppgifter
Dataskyddsförordningen skäl 97
Artikel 29-gruppens riktlinjer om dataskyddsombud

By | 2018-02-09T14:22:03+00:00 december 9th, 2017|Kategorier: Uncategorized|0 kommentarer

Om författaren:

Fredrik Jonasson är delägare i IT-säkerhetsbolaget och föreläser och utbildar kring GDPR.

Lämna en kommentar