Dataskyddsombud

Företag, organisationer och myndigheter som hanterar personuppgifter är i vissa fall skyldiga att utse ett dataskyddsombud. Det är en person som ser till så att föreskrifterna i den svenska dataskyddslagen och EU:s dataskyddsförordning följs. Förutsättningarna för detta har ändrats i och med den nya dataskyddslagen och EU:s dataskyddsförordning. Ett dataskyddsombud ska helt enkelt vara expert på dataskydd och de lagar som skapar förutsättningar för dataskydd i Sverige och Europa.

Vilket ansvar har ett dataskyddsombud?

Det är viktigt att känna till att dataskyddsombudet inte ansvarar för att dataskyddsförordningen följs. Det är organisationen där dataskyddsombudet arbetar som har det ansvaret. Med andra ord kan inte dataskyddsombudet bli direkt ansvarig för personuppgiftsincidenter.

Vilka konkreta uppgifter har ett dataskyddsombud?

De viktigaste uppgifterna för ett dataskyddsombud är att informera övriga medarbetare om det innehåll i dataskyddsförordningen (GDPR) och dataskyddslagen som berör arbetsplatsen, så att de kan efterföljas. Ett dataskyddsombud kan, och bör, även genomföra kontroller som syftar till att säkerställa att företaget, myndigheten eller organisationen verkligen håller sig till alla lagar och förordningar om dataskydd i sin verksamhet. I en lite vidare mening kan man säga att dataskyddsombudet ansvarar för att utveckla en bra dataskyddskultur.

Dataskyddsombudet bör ha en rådgivande funktion och hjälpa till med konsekvensbedömningar när beslut tas som rör hantering av personuppgifter. Ett dataskyddsombud ska även vara Datainspektionens kontaktperson och samarbeta med Datainspektionen om kontroller behöver genomföras på arbetsplatsen.

Telefon framför juridiska symboler
Juridik och teknik är två ämnen som kommer allt närmare varandra

Vilka kvalifikationer behöver ett dataskyddsombud ha?

För att kunna fullfölja sina uppgifter är det naturligtvis av stor vikt att ett dataskyddsombud är väl insatt i såväl sin arbetsgivares verksamhet och datahantering samt i hur dataskyddslagen och dataskyddsförordningen är utformad. Personen måste också ha koll på hur organisationen använder informationsteknik och vilka strategier för IT-säkerhet som tillämpas. När ett dataskyddsombud har utsetts ska det anmälas till Datainspektionen. Ni ska även informera alla medarbetare så att de har tillgång till namn, kontaktuppgifter samt dataskyddsombudets arbetsuppgifter i rollen.

Hur stor sakkunskap som krävs och hur stort uppdrag det är att verka som dataskyddsombud beror helt på hur avancerad personuppgiftsbehandlingen är och hur stor mängd data som hanteras på arbetsplatsen. Ett dataskyddsombud ska kunna arbeta oberoende gentemot sin organisation och får inte ha arbetsuppgifter som kan innebära att det uppstår en intressekonflikt mellan de olika rollerna. Ett dataskyddsombud ska till exempel inte vara delaktig i beslutsfattanden som handlar om personuppgiftshantering. Men däremot bidra med underlag för sådana beslut.

Förutom rätt kunskap är det viktigt att dataskyddsombudet får de resurser som krävs för att fullfölja sitt uppdrag. Det handlar mycket om att tid ska kunna avsättas till uppgifterna och om att det ska finnas möjlighet till vidareutbildning. Dataskyddslagen kan komma att förändras och som dataskyddsombud är det naturligtvis helt avgörande att vara uppdaterad och ha tillgång till den senaste informationen. Inte minst för att presentera rätt villkor i cookietexter. Slutligen är det viktigt att dataskyddsombudet har tillgång till rätt information om organisationens datahantering och alltid kan få svar på frågor om hur personuppgifter hanteras.

Vem kan bli dataskyddsombud?

Det vanliga är att det är en anställd på ett företag, en myndighet eller en organisation alternativt en konsult som får rollen som dataskyddsombud. Så länge rollfördelningen är tydlig kan även en grupp personer dela på uppgiften.

När måste ett dataskyddsombud utses?

Alla offentliga organ, alltså folkvalda församlingar och myndigheter ska ha ett dataskyddsombud. Företag eller organisationer som har som sin kärnverksamhet att övervaka privatpersoner eller att hantera känslig information om privatpersoner ska också ha ett dataskyddsombud. För andra är det frivilligt att ha ett ombud. Observera att det kan vara mycket fördelaktigt att ha ett dataskyddsombud även när det inte är helt nödvändigt. Att oavsiktligt bryta mot dataskyddslagen eller dataskyddsförordningen kan innebära stora kostnader. Ett företag som inte är bra på dataskydd riskerar också att förlora kunder. Med ett dataskyddsombud minskar risken för att fel begås.

Dataskyddsombud är inte samma sak som personuppgiftsombud

Ett dataskyddsombud har uppgifter som på flera punkter skiljer sig från personuppgiftsombud. Funktionen dataskyddsombud ersätter den som personuppgiftsombud tidigare hade. Ett personuppgiftsombud blir inte automatiskt ett dataskyddsombud.