Dataskyddsombud

GDPR reglerar hur personuppgifter får behandlas inom EU

EU:s allmänna dataskyddsförordning (GDPR) infördes år 2018. Den reglerar hur personuppgifter får behandlas inom EU. Organisationer som behandlar personuppgifter måste i vissa fall utse ett dataskyddsombud. Ombudets uppgift är att kontrollera att dataskyddsförordningen (GDPR) följs inom organisationen.

Vilka måste ha dataskyddsombud?

Om en organisations personuppgiftsbehandling sker på något av följande sätt måste ett dataskyddsombud tillsättas:

  •  Personuppgiftsbehandlingen sköts av en myndighet eller en folkvald församling.

  • Kärnverksamhetens personuppgiftsbehandling kräver regelbunden och systematisk övervakning i stor omfattning.

  • Kärnverksamheten består av personuppgiftsbehandling avseende känsliga personuppgifter eller uppgifter om brott i stor omfattning.

Även privata organisationer kan bedriva offentlig verksamhet och myndighetsutövning, till exempel inom kollektivtrafik, vatten- och energiförsörjning, infrastruktur, radio och tv, allmännyttiga bostäder eller organisation för reglerade yrken. För de registrerade är det ungefär samma sak om deras personuppgifter behandlas av en myndighet eller ett offentligt organ. Ett dataskyddsombud kan då ge de registrerade skydd och trygghet. Integritetsskyddsmyndigheten (IMY), som tidigare hette Datainspektionen, rekommenderar därför att privata organisationer som bedriver offentlig verksamhet och myndighetsutövning utnämner ett dataskyddsombud.

Vad gör ett dataskyddsombud?

Den övergripande och viktigaste uppgiften för ett dataskyddsombud är att övervaka att organisationen följer dataskyddsförordningen. Uppgifterna i detalj kan variera mellan olika verksamhetsområden. Sammanfattningsvis består de obligatoriska uppgifterna av att:

  • Samla information om hur organisationen behandlar personuppgifter och övervaka efterlevnaden av GDPR och annan dataskyddslagstiftning.

  • Kontrollera att organisationen följer bestämmelser och interna styrdokument.

  • Informera och ge råd inom organisationen, särskilt ge råd vid konsekvensbedömningar.

  • Vara kontaktperson till IMY (integritetsskyddsmyndigheten), samarbeta med IMY när det gäller personuppgiftsbehandling och inspektioner.

  • Vara kontaktperson till de registrerade personerna och organisationens personal.

Vem kan bli dataskyddsombud?

Ett dataskyddsombud ska vara kvalificerad för uppdraget genom att ha god kännedom om lagstiftning och praxis avseende dataskydd. Ombudet ska känna väl till organisationens kärnverksamhet, hur organisationen behandlar personuppgifter och veta hur organisationens informationsteknik och IT-säkerhet fungerar.

Ett dataskyddsombud ska också sprida information om dataskydd och skapa en dataskyddskultur inom organisationen. Dataskyddsombudet ska rapportera om sin verksamhet till organisationens ledning. 

Dataskyddsombudets personliga egenskaper är viktiga. Ju mer komplex personuppgiftsbehandlingen är i en organisation och ju större mängd känsliga uppgifter som behandlas, desto mer sakkunskap behöver dataskyddsombudet.

Dataskyddsombudet kan vara en anställd inom organisationen eller en inhyrd konsult. Det kan också vara en organisation eller en grupp och där måste det alltid finnas en kontaktperson. Ett dataskyddsombud kan vara ombud för en eller flera organisationer.

Oberoende ställning

Dataskyddsombudet ska kunna arbeta självständigt och oberoende, utan att bli påverkad av andra inom organisationen. Det är därför viktigt att dataskyddsombudet inte har andra arbetsuppgifter som kan krocka med rollen som dataskyddsombud. Det betyder att en person som har en hög befattning inom en organisation, eller en person som är med och fattar strategiska beslut kring personuppgiftsbehandling i organisationen, inte kan vara dataskyddsombud.

Ansvar

Utöver vad som ovan skrivits om dataskyddsombudets uppgifter och ansvar så har denne inget personligt ansvar för att organisationen följer dataskyddsförordningen. Det ansvaret ligger alltid hos organisationen själv.

Personuppgiftsansvarig och personuppgiftsbiträde

Personuppgiftsansvarig är den som bestämmer för vilka ändamål uppgifterna ska behandlas och hur behandlingen ska gå till. Personuppgiftsbiträde är den som behandlar personuppgifter för den personuppgiftsansvariges räkning. En personuppgiftsansvarig eller ett personuppgiftsbiträde kan vara en fysisk eller juridisk person, offentlig myndighet, institution eller någon annan organisation.

Mer information och svar på frågor om dataskyddsombud kan man få hos Integritetsmyndigheten (IMY)

www.imy.se 

Behöver du en DPO? Läs mer om våra tjänster!