Europeiska dataskyddsstyrelsens (EDPB) vidtog en samordnad insats för att undersöka dataskyddsombudets (förkortat ”DSO”) roll och ställning i olika organisationer under 2023. För att undvika att bryta mot kravet att utse ett dataskyddsombud kommer vi i detta blogginlägg gå igenom när en organisation behöver tillsätta ett sådant.
När behöver en organisation utse ett dataskyddsombud?
Det är en rättslig skyldighet för en organisation att utse ett dataskyddsombud i tre fall:
-
En myndighet eller ett offentligt organ som behandlar personuppgifter
Vad som anses vara myndigheter och offentliga organ avgörs på medlemsstatsnivå i respektive medlemsland i EU. I Sverige avser det myndigheter och folkvalda församlingar. Även om det inte följer av ett rättsligt krav, kan det enligt god praxis i vissa fall vara lämpligt att privata aktörer som utför myndighetsutövning också utser ett dataskyddsombud. Det beror bland annat på att individer vars personuppgifter behandlas i sådana sammanhang ofta har små möjligheter att välja om och hur deras personuppgifter behandlas, varför det stärkta skydd som DSO erbjuder kan vara lämpligt.
Det är även vanligt (och klokt) att organisationer som inte är skyldiga att utse dataskyddsombud och inte vill göra detta på frivillig basis, ändå ger personal eller externa konsulter i uppdrag att utföra särskilda arbetsuppgifter för att följa GDPR. Då är det lämpligt att organisationen, i sin kommunikation både internt och externt tydliggör att det inte rör sig om ett dataskyddsombud, för att undvika förvirring avseende personens ställning och uppgifter inom företaget. Ett dataskyddsombud är bunden av sekretess och därför är det viktigt att individerna vet om de kommunicerar med ett dataskyddsombud eller anställd som har GDPR-ansvar internt.
Undantag från myndighetskravet gäller för domstolars dömande verksamhet.
-
Kärnverksamhet omfattar personuppgiftsbehandling som kräver regelbunden och systematisk övervakning av registrerade i stor omfattning.
Begreppet ”kärnverksamhet” motsvarar den nödvändiga centrala verksamhet en organisation utför för att uppfylla sina affärsmässiga eller verksamhetsanknutna mål. Många organisationer behandlar personuppgifter i samband med löneutbetalningar eller för IT-stöd som en nödvändig del av verksamhetens funktion. Det betyder emellertid inte att dessa behandlingar omfattar verksamhetens kärnverksamhet.
”Regelbunden och systematisk övervakning” omfattar både nätbaserad övervakning, som exempelvis profilering och riktad annonsering, men också insamling av hälsouppgifter genom exempelvis appar eller smarta produkter samt kameraövervakning.1 Sådan övervakning måste också ske med viss upprepning för att möta regelbundenhetskravet.
-
Organisationens kärnverksamhet omfattar personuppgiftsbehandling av känsliga personuppgifter eller uppgifter om brott i stor utsträckning.
Åter igen ”kärnverksamheten” som avgör. Ett sjukhus exempelvis, har som huvudsakligt mål att tillhandahålla hälsovård, vilket är omöjligt utan behandling av hälsouppgifter (känsliga personuppgifter). Ett sjukhus kärnverksamhet innebär därigenom behandling av särskilt känsliga personuppgifter i stor utsträckning, varför de måste tillsätta ett DSO.2
”Känsliga personuppgifter” är vissa typer av särskilt skyddsvärda personuppgifter som GDPR specificerar. Vi har skrivit ett blogginlägg som mer detaljerat beskriver dessa uppgifter, ni hittar det här. Uppgifter om brott är sådana uppgifter som i regel är hänförliga till domstols- och polisverksamhet.
Vad ”behandling i stor omfattning” innefattar framgår inte av förordningen. Enligt vägledning framgår det att bedömningen baseras på antalet personer vars personuppgifter behandlas, hur mycket personuppgifter behandlingarna avser samt behandlingens varaktighet och geografiska räckvidd. Det är alltså en bedömningsfråga från fall till fall. Ett sjukhus behandlingsomfattning anses i regel utgöra behandling i stor omfattning, men en enskild läkares behandling av en patients personuppgifter gör det inte.
Utse dataskyddsonbud på frivillig basis
Det finns ingenting som hindrar en organisation som inte är juridiskt skyldig att tillsätta ett DSO att göra det på frivillig basis. Tillsättandet kan vara en betydande åtgärd för att stärka dataskyddsarbetet inom organisationen.
Är ni i behov av ett externt dataskyddsombud eller vill utreda om ni har sådant krav rekommenderar vi att ni kontaktar oss! Vi har erfarenhet av rollen som externt dataskyddsombud för en mängd olika organisationer inom både privat och offentlig verksamhet! Boka ett kostnadsfritt möte med oss här!