Dataskyddsombud (DPO)

Sedan GDPR eller dataskyddsförordningen som den heter på svenska, började gälla 2018 har många organisationer en skyldighet att utse dataskyddsombud.

Vem måste tillsätta ett dataskyddsombud?

Om personuppgiftsbehandling sker på något av följande sätt ska ett dataskyddsombud tillsättas:

  • Behandlingen sköts av en myndighet eller ett offentligt organ.
  • Kärnverksamhetens[1] behandling kräver regelbunden och systematisk övervakning i stor omfattning[2].
  • Kärnverksamheten består av behandling i stor omfattning av känslig information[3].

Exempel på en verksamhet som faller inom situation 3: Ett sjukhus behandling av patienters personuppgifter är nödvändig för att kunna ta hand om patienterna på ett säkert sätt. Sjukhus måste alltid tillsätta ett dataskyddsombud på grund av att behandling sker i stor omfattning, det är känslig information som behandlas och det ingår i sjukhusets kärnverksamhet.

Detta till skillnad från en enskild läkare, vars behandling av personuppgifter inte uppfyller kravet på ”stor omfattning”. Det finns en stor gråzon när behandling sker i stor omfattning, exempelvis verksamheter som består av fler än en enskild läkare men inte är ett fullskaligt sjukhus.

Att ett företag sparar information om anställdas allergier, för att bjuda på en måltid anses däremot inte vara en del av kärnverksamheten. Det krävs alltså inte ett dataskyddsombud endast på grund av denna behandling av personuppgifter.

Kan man ha ett gemensamt dataskyddsombud för flera företag?

Ja! Det är möjligt inom koncerner och även för fristående företag. Det som krävs är att dataskyddsombudet ska vara lätt att nå på varje ort som företagen är etablerade på. Dessutom viktigt att dataskyddsombudet är oberoende och arbetar självständigt.

Myndigheter och andra offentliga organ kan också ha ett gemensamt dataskyddsombud, beroende på organisationsstrukturen, storleken, resurserna samt kommunikationsmöjligheterna.

Vad krävs för att utses till dataskyddsombud?

Ombudet ska vara kvalificerad för uppdraget samt känna till lagstiftning och praxis avseende dataskydd. Det får inte föreligga motstående intressen. Med detta menas exempelvis att en person som har hög befattning inom ett företaget inte samtidigt kan vara ett dataskyddsombud.

Dataskyddsombud

Datskyddsombudet arbete med dataskyddsförordningen

Vad har dataskyddsombudet för uppgifter?

Dataskyddsombudets uppgifter kan variera mellan olika verksamhetsområden. Sammanfattningsvis består de obligatoriska uppgifterna av att:

  • Informera och ge råd i frågor rörande personuppgiftsbehandling. Särskilt ge synpunkter vid konsekvensbedömningar.
  • Övervaka efterlevnaden av förordningen och annan dataskyddslagstiftning.
  • Samarbeta med Datainspektionen.
  • Fungera som kontaktlänk mellan Datainspektionen, de personer som man behandlar personuppgifter om och internt i företaget.

Det viktiga är att personuppgiftsombudet utför sitt uppdrag självständigt och oberoende. Denne eller denna får alltså inte ta emot instruktioner eller liknande från andra i företaget, myndigheten eller organisationen.

Vad har dataskyddsombudet för ansvar?

Även om dataskyddsombudet ska övervaka att förordningen följs, bär dataskyddsombudet inget ansvar om företaget misslyckas med det. Det är alltid företaget (den personuppgiftsansvarige) som bär ansvaret för att lagarna följs.

Vill ni läsa lagtexten? Bestämmelser om dataskyddsombud hittar ni i artikel 37-39 samt i skäl 97 i Dataskyddsförordningen (GDPR).

Det är viktigt att komma ihåg att dataskyddsombudet:• Ska rapportera till den högsta förvaltningsnivån i organisationen, normalt sett är det styrelsen

• Ska utföra sitt arbete oberoende och självständigt, och ska inte utsättas för sanktioner för att ha utfört sitt uppdrag.

• Kan ha andra uppdrag, under förutsättning att det inte bildas en intressekonflikt, dock skall det inte vara en person i ledande ställning

Vill du läsa mer kan du gå in på datainspektionens sida för dataskyddsombud

Behöver du ett externt dataskyddsombud

Kontakta IT-Säkerhetsbolaget som levererar tjänsten för externt dataskyddsombud