GDPR Learning Hub

Menu
  • Kurser
  • Kunskap
  • Checklistor
  • Quiz
  • Mallar
  • Databas
  • Hemsidan är under konstruktion

Roles according to GDPR

Dataskyddsombud (DPO)

Vissa företag måste ha ett dataskyddsombud (DPO) enligt kraven i EU:s allmänna dataskyddsförordning (GDPR). Företag som inte behöver ha ett dataskyddsombud, kan välja att göra det som en integritetshöjande åtgärd.

Vissa företag måste ha ett dataskyddsombud

Om företaget utser ett dataskyddsombud frivilligt utan att det krävs enligt förordningen, gäller samma regler som om företaget var tvungna att ha det. Företag som utser ett dataskyddsombud, ska registrera ombudet hos den nationella tillsynsmyndigheten. Dataskyddsombudets främsta arbetsuppgifter består i att kontrollera att företaget följer GDPR inom sin verksamhet. Nedan kan du läsa mer om dataskyddsombud och deras arbetsuppgifter. 

Kunskap som dataskyddsombud behöver ha

Ett dataskyddsombud bör ha vissa kunskaper för att utföra sitt uppdrag, bland annat:

  • Kunskap om dataskydd och tillämplig dataskyddslagstiftning, inklusive GDPR. 
  • Kännedom om kärnverksamheten som företaget bedriver och hur de behandlar personuppgifter. Dessutom kunskap om vilka organisatoriska och tekniska åtgärder som företaget har vidtagit för att bland annat skydda personuppgifter och tillgodose de registrerades rättigheter. 
Companies have an obligation to demonstrate that they comply with the rules of the GDPR, according to the principle of accountability

Två andra EU-förordningar

  • AI-förordningen
  • Data-förordningen

Viktig roll

Observera att dataskyddsombudets personliga egenskaper också spelar en viktig roll. Exempelvis är det viktigt att dataskyddsombudet har förmågan att sprida och förmedla information inom ett företag. Dessutom behöver dataskyddsombudet kunna skapa en dataskyddskultur inom företaget. 

Om företaget utför behandlingar av personuppgifter som är komplicerade eller hanterar stora mängder känsliga personuppgifter, behöver dataskyddsombudet ha mer djupgående kunskaper inom dataskydd.

Arbetsuppgifter som dataskyddsombud har

Dataskyddsombudets arbetsuppgifter består i att stödja företaget i sitt arbete med dataskydd och behandling av personuppgifter. Bland annat genom följande arbetsuppgifter:

Order the company to comply with GDPR within a certain period of time

Information och råd

Dataskyddsombudet ska ge råd och information gällande de skyldigheter som företaget har enligt tillämplig dataskyddslagstiftning, inklusive GDPR. Detta ska tillhandahållas till både ledningen och arbetstagare som behandlar personuppgifter, samt övriga som behöver informationen.

Konsekvensbedömningar

Om företaget behöver utföra en konsekvensbedömning av dataskydd, ska dataskyddsombudet vara involverad i processen. Detsamma gäller om företaget överväger att göra en konsekvensbedömning.

Periodic penalty payments

Kontaktpunkt

Dataskyddsombudet är en kontaktpunkt för ledningen, arbetstagare, registrerade och den nationella dataskyddsmyndigheten. Arbetstagare och registrerade har rätt att kontakta dataskyddsombudet vid dataskyddsrelaterade frågor, och därför ska kontaktuppgifterna göras tillgängliga. Exempelvis kan de med fördel publiceras offentligt i företagets integritetsmeddelande på företagets officiella webbplats.

An administrative fine

Övriga arbetsuppgifter

Exempelvis utförande internrevisioner, utredning av personuppgiftsincidenter och analys av specifika dataskyddsfrågor.

Resurser som behövs för att dataskyddsombudet ska kunna sköta sitt uppdrag

Företaget ska se till att ge dataskyddsombudet tillräckliga resurser för att denne ska kunna utföra sitt uppdrag. Det kan vara till exempel att informera dataskyddsombudet om planerade nya personuppgiftsbehandlingar i god tid, för att denne ska kunna utföra sitt arbete. Dessutom har dataskyddsombud rätt till vidareutbildning inom dataskyddsområdet. 

Vem som kan vara dataskyddsombud för ett företag

Ett dataskyddsombud behöver viss kunskap inom till exempel juridik, men behöver inte nödvändigtvis vara jurist eller advokat. Däremot är det inte ovanligt att jurister eller advokater är dataskyddsombud. Dataskyddsombudet behöver nämligen kunskap om gällande lagar och regler inom dataskyddsområdet, såsom GDPR. 

Det är också möjligt att dataskyddsombudet anlitas i form av en extern konsult från ett annat företag. Det är alltså inte nödvändigt att dataskyddsombudet är anställd i företaget uppdraget ska utföras inom. Dessutom är det möjligt för en och samma person att vara dataskyddsombud för flera olika företag samtidigt. Uppdraget som dataskyddsombud kan utföras heltid eller deltid, beroende på företagets behov.

Summering av vilka som kan vara dataskyddsombud:

  • Anställda eller externt anlitade konsulter. 
  • Fysiska personer eller juridiska personer. Observera att om en juridisk person utses till dataskyddsombud, måste en individ från det bolaget utses som kontaktperson.

När en person inte får vara dataskyddsombud

Det är viktigt att säkerställa att dataskyddsombudet är en oberoende part. Dataskyddsombud har en oberoende ställning i företag vilket innebär att det inte är tillåtet för andra inom organisationen att påverka personen i sitt arbete. Detta innebär att det kan förekomma situationer där det råder en intressekonflikt mellan dataskyddsombudet och företaget i fråga. 

Ett exempel på när det kan föreligga en intressekonflikt är om dataskyddsombudet är en person från ledningen i företaget. Den personen får då inte vara företagets dataskyddsombud. En VD i ett företag kan inte heller anses ha en sådan oberoende ställning som krävs för att vara ett dataskyddsombud.

Anmäla kontaktuppgifter till dataskyddsmyndighet

Företag som har utsett ett dataskyddsombud, ska anmäla det till den nationella dataskyddsmyndigheten. De ska också uppge kontaktuppgifterna till dataskyddsombudet (eller om tillämpligt, dess kontaktperson). Om en dataskyddsmyndighet utför en tillsyn mot företaget, ska dataskyddsombudet samarbeta med myndigheten och agera som kontaktpunkten.

Vilka företag som måste ha dataskyddsombud enligt krav i GDPR

  • Om företaget behandlar känsliga personuppgifter, såsom uppgifter om hälsa, i stor omfattning. 
  • Om företaget övervakar människor systematiskt och regelbundet i stor omfattning. 

Observera att statliga myndigheter måste ha dataskyddsombud.

Mer information om roller i GDPR

Europeiska Dataskyddsstyrelsen (EDPB)

Den Europeiska Dataskyddsstyrelsen (EDPB) arbetar med att se till att tillämpningen av GDPR är enhetlig inom hela EU samt EES-länderna. Dessutom arbetar de med att främja samarbetet mellan dataskyddsmyndigheterna i länderna och har en viktig roll. Till exempel kan de ge vägledning och ta fram praxis kring GDPR. Alla tillsynsmyndigheter i EU samt EES och EFTA länderna är medlemmar, men det är enbart EU-länderna som har rösträtt. 

Vill du lära dig mer?

Klicka här
Rulla till toppen