En nyhet i dataskyddsförordningen, är att vissa organisationer behöver tillsätta ett så kallat dataskyddsombud. Ombudets uppgift är att övervaka så att företaget följer dataskyddsförordningen och annan dataskyddslagstiftning, ge information och råd samt fungera som en kontaktlänk till tillsynsmyndigheten och de registrerade.
Vilka organisationer måste utse ett dataskyddsombud?
Om personuppgiftsbehandling sker på något av följande sätt ska ett dataskyddsombud tillsättas:
- Behandlingen sköts av en myndighet eller ett offentligt organ.
- Kärnverksamhetens1 behandling kräver regelbunden och systematisk övervakning i stor omfattning2 .
- Kärnverksamheten består av behandling i stor omfattning av känslig information3 .
Exempel på en verksamhet som faller inom situation 3: Ett sjukhus behandling av patienters personuppgifter är nödvändig för att kunna ta hand om patienterna på ett säkert sätt. Sjukhus måste alltid tillsätta ett dataskyddsombud på grund av att behandling sker i stor omfattning, det är känslig information som behandlas och det ingår i sjukhusets kärnverksamhet. 
Detta till skillnad från en enskild läkare, vars behandling av personuppgifter inte uppfyller kravet på ”stor omfattning”. Det finns en stor gråzon när behandling sker i stor omfattning, exempelvis verksamheter som består av fler än en enskild läkare men inte är ett fullskaligt sjukhus. Att ett företag sparar information om anställdas allergier, för att bjuda på en måltid anses däremot inte vara en del av kärnverksamheten. Det krävs alltså inte ett dataskyddsombud endast på grund av denna behandling av personuppgifter.
Kan man ha ett gemensamt dataskyddsombud för flera företag?
Ja! Det är möjligt inom koncerner och även för fristående företag. Det som krävs är att dataskyddsombudet ska vara lätt att nå på varje ort som företagen är etablerade på. Dessutom viktigt att dataskyddsombudet är oberoende och arbetar självständigt. Myndigheter och andra offentliga organ kan också ha ett gemensamt dataskyddsombud, beroende på organisationsstrukturen, storleken, resurserna samt kommunikationsmöjligheterna.
Vad krävs för att utses till dataskyddsombud?
Ombudet ska vara kvalificerad för uppdraget samt känna till lagstiftning och praxis avseende dataskydd. Det får inte föreligga motstående intressen. Med detta menas exempelvis att en person som har hög befattning inom ett företaget inte samtidigt kan vara ett dataskyddsombud.
Vad har dataskyddsombudet för uppgifter?
Dataskyddsombudets uppgifter kan variera mellan olika verksamhetsområden. Sammanfattningsvis består de obligatoriska uppgifterna av att:
- Informera och ge råd i frågor rörande personuppgiftsbehandling. Särskilt ge synpunkter vid konsekvensbedömningar.
- Övervaka efterlevnaden av förordningen och annan dataskyddslagstiftning.
- Samarbeta med Integritetsskyddsmyndigheten.
- Fungera som kontaktlänk mellan Integritetsskyddsmyndigheten, de personer som man behandlar personuppgifter om och internt i företaget.
Det viktiga är att personuppgiftsombudet utför sitt uppdrag självständigt och oberoende. Denne eller denna får alltså inte ta emot instruktioner eller liknande från andra i företaget, myndigheten eller organisationen.
Vad har dataskyddsombudet för ansvar?
Även om dataskyddsombudet ska övervaka att förordningen följs, bär dataskyddsombudet inget ansvar om företaget misslyckas med det. Det är alltid företaget (den personuppgiftsansvarige) som bär ansvaret för att lagarna följs. Vill ni läsa lagtexten? Bestämmelser om dataskyddsombud hittar ni i artikel 37-39 samt i skäl 97 i Dataskyddsförordningen (GDPR).
Har ni behov av ett dataskyddsombud?
Vi erbjuder tjänsten externt dataskyddsombud och berättar gärna mer om hur vi kan hjälpa er utreda om ni har krav på att utse ett dataskyddsombud och hur vi kan hjälpa er organisationer med detta. Klicka här för att läsa mer.
Fotnoter
- Kärnverksamhet betecknas det som är en oskiljbar del av företagets näringsverksamhet.
- Vad gäller behandling i stor omfattning, finns det inte någon bestämd gräns utan det är för närvarande en icke definierad term.
- Känslig information är de personuppgifter som bland annat gäller hälsa, religion och etnicitet.
