Behöver vi utse ett dataskyddsombud?

Vilka typer av organisationer behöver utse dataskyddsombud? Vilket ansvar ingår i rollen?

Alla myndigheter och offentliga verksamheter ska utse ett dataskyddsombud (DPO). I övriga fall så måste en bedömning göras. Nyckelord för denna bedömning är ”regelbunden och systematisk övervakning”, ”stor omfattning” och ”känsliga personuppgifter”. Passar dessa nyckelord in på din organisation så bör ni förmodligen utse ett dataskyddsombud.

  • personuppgiftsbehandlingen utförs av en myndighet eller ett offentligt organ (dock ej domstolar i deras dömande verksamhet)
  • den personuppgiftsansvariges eller personuppgiftsbiträdets kärnverksamhet består av personuppgiftsbehandling som kräver regelbunden och systematisk övervakning av de registrerade i stor omfattning eller
  • den personuppgiftsansvariges eller personuppgiftsbiträdets kärnverksamhet består av behandling i stor omfattning av så kallade känsliga personuppgifter eller brottsuppgifter.

Vilket ansvar har dataskyddsombudet?

Dataskyddsombudet ska:

  • Ha direkt tillgång till högsta ledningen
  • Säkerställa att de registrerade har tydlig tillgång till dataskyddsombudet
  • Vara bunden av sekretess
  • Säkerställa att ingen intressekonflikt finns som härrör från ytterligare uppgifter eller uppdrag, vilket gör det olämpligt att tilldela rollen till t.ex. IT-ansvarig

Uppgifterna som dataskyddsombudet ansvarar för beskrivs i artikel 39 på följande sätt:

  • To inform and advise.
  • To monitor compliance.
  • To provide advice with regard to data protection impact assessments.
  • To cooperate and liaise with the supervisory authority.
  • To be a point of contact for data subjects.

The DPO must have due regard to risk associated with processing operations.

Dataskyddsombud är med andra ord en bred roll med stort fokus på att hjälpa organisationen agera i enlighet med GDPR. Bl.a. genom rådgivning, utbildning, kravställning och som kontaktperson.

Större och mer komplexa organisationer kan komma att behöva sätta upp grupperingar med flera personer för att kunna hantera arbetsbördan. Mindre eller medelstora organisationer kan komma att behöva tillsätta ett dataskyddsombud med en arbetsbörda som inte är så hög att en heltidstjänst behövs. Detta samt kravet på att dataskyddsombudet inte ska hamna i en ”intressekonflikt som härrör från ytterligare uppgifter eller uppdrag” gör att det kan vara lämpligt att köpa tjänsten från en extern part.