Dataskyddsombud

Den som behandlar personuppgifter måste i vissa fall utse ett dataskyddsombud. Ombudets roll är att kontrollera att dataskyddsförordningen (GDPR) följs inom organisationen genom att till exempel utföra kontroller och informationsinsatser.

Dataskyddsombudets uppgifter

Den övergripande och viktigaste uppgiften för dataskyddsombudet är att övervaka att organisationen följer dataskyddsförordningen. Det innebär bland annat att

  • samla in information om hur organisationen behandlar personuppgifter
  • kontrollera att organisationen följer bestämmelser och interna styrdokument
  • informera och ge råd inom organisationen

Dataskyddsombudet ska också

  • vara kontaktperson för IMY (tidigare Datainspektionen)
  • vara kontaktperson för de registrerade och personalen inom organisationen
  • ge råd och vägledning kring risk- och konsekvensanalyser

Dataskyddsombudet är inte ansvarigt och får inte bestraffas

Dataskyddsombudet har inget eget ansvar för att organisationen följer dataskyddsförordningen. Det ansvaret ligger alltid hos den personuppgiftsansvariga eller hos personuppgiftsbiträdet. Personuppgiftsansvarig får heller inte bestraffa dataskyddsombudet för att ha utfört sina arbetsuppgifter.

Dataskyddsombudet ska bland annat

  • ha kunskaper om dataskyddsförordningen
  • känna organisationens kärnverksamhet, hur organisationen behandlar personuppgifter och veta hur organisationens informationsteknik och it-säkerhet fungerar
  • ha förmåga att sprida information och etablera en dataskyddskultur inom organisationen. Därför är också dataskyddsombudets personliga egenskaper viktiga

Ju mer komplex personuppgiftsbehandlingen är och ju större mängd känsliga uppgifter som behandlas, desto mer sakkunskap behöver dataskyddsombudet.

En oberoende ställning

Dataskyddsombudet ska kunna arbeta självständigt och oberoende, utan att bli påverkad av andra inom organisationen. Det är därför viktigt att dataskyddsombudet inte har andra arbetsuppgifter som kan krocka med rollen som dataskyddsombud.

Det är till exempel inte lämpligt att dataskyddsombudet sitter i organisationens ledning eller är med och fattar strategiska beslut om kärnverksamheten som omfattar personuppgiftsbehandling.

Rätt resurser för uppdraget

Dataskyddsombudet ska ha resurser för att kunna utföra sina uppgifter inom organisationen.

Till exempel måste dataskyddsombudet ha tillräckligt med tid för uppgifterna och få tillgång till den information som behövs. Dataskyddsombudet har också rätt till vidareutbildning.

Måste inte vara en anställd person

Dataskyddsombudet kan vara

  • en anställd eller en konsult
  • en fysisk person eller en organisation eller grupp, men det måste alltid finnas en kontaktperson
  • dataskyddsombud för en eller flera myndigheter eller företag

Läs mer om dataskyddsombud på IMYs (tidigare Datainspektionens) webbplats

Har du ännu inte tillsatt ett dataskyddsombud? Ta det lugnt! Datakollen har en lösning 🙂

Anlita ett Dataskyddsombud via Datakollen!