Dataskyddsombud

Alla kategorier › GDPR ›

Dataskyddsombud

Dataskyddsombudets kvalifikationer

Ett dataskyddsombud, vilket tidigare benämndes “personuppgiftsombud”, ska utses utifrån sina yrkesmässiga kvalifikationer och särskilt sin kunskap i lagstiftnings och praxis kring dataskydd. Han eller hon ska informera och ge råd till företaget om vilka skyldigheter som gäller enligt GDPR och nationell lagstiftning. Ombudet kan både vara en anställd eller en extern individ, till exempel en advokat.

Dataskyddsombudet ska involveras tidigt av den personuppgiftsansvarige för alla frågor som rör skydd för personuppgifter och ska ges nödvändiga resurser för att utföra sina arbetsuppgifter.

Dataskyddsombudets arbetsuppgifter

I dataskyddsombudets roll ingår det att övervaka efterlevnaden av GDPR. Ombudet ska på begäran ge råd vad gäller konsekvensbedömningar och stödja den personuppgiftsansvarige och personuppgiftsombudet vid samrådsmöten med Datainspektionen. Denne ska också fungera som kontaktperson för den personuppgiftsansvarige gentemot Datainspektionen i frågor som rör behandling och vid behov samråda i alla andra frågor. När ombudet utför sina arbetsuppgifter ska denne ta vederbörlig hänsyn till de risker som är förknippade med behandlingen av personuppgifterna. Detta kan vara att ta hänsyn till behandlingens art, omfattning, sammanhang och syften.

För att ombudet ska kunna utföra sina arbetsuppgifter på ett fritt och oberoende sätt gentemot den personuppgiftsansvarige och personuppgiftsbiträdet ska denne inte kunna bestraffas eller utsättas för repressalier för utförande av uppgifter enligt GDPR. I Dataskyddsombudets arbetsuppgifter ingår också att rapportera direkt till högsta ledningen.

Vilka organisationer måste ha ett dataskyddsombud?

Enligt GDPR ska både personuppgiftsansvariga och personuppgiftsbiträden utse ett dataskyddsombud om personuppgiftsbehandlingen utförs av en myndighet eller ett offentligt organ. Från detta krav undantas domstolar i deras dömande verksamhet.

Ett dataskyddsombud ska även utses om den ansvariges eller biträdes kärnverksamhet består av personuppgiftsbehandling som kräver regelbunden och systematisk övervakning av de registrerade i stor omfattning.

Begreppet “regelbunden” ska omfatta en eller flera av följande omständigheter:

  1. Fortlöpande pågående eller i återkommande perioder enligt särskilda intervall;
  2. Återkommande eller repeterande vid tidsbestämda tidpunkter;
  3. Alltid förekommande eller periodiskt förekommande.

Begreppet “systematiskt” kan avse verksamhet som:

  1. Återkommande i enlighet med ett bestämt system;
  2. Är för arrangerad, organiserad eller metodisk;
  3. Ingår i en plan för insamling av personuppgifter; och/eller
  4. Utförs som en del av en strategi.

Med “kärnverksamhet” menas företagets huvudsakliga uppdrag, inte olika stödprocess. Ett exempel är ett sjukhus som i sitt kärnuppdrag behandlar en stor mängd känsliga personuppgifter om patienters hälsa. ett sjukhus måste därför enligt denna punkt ha ett dataskyddsombud. En supportfunktion som till exempel sköter IT på sedvanligt sätt eller betalat u lön till anställda utgör inte kärnverksamhet enligt denna punkt.

Rekvisitet “stor omfattning” kan innehålla variabler som:

  1. Antalet berörda;
  2. Volymen av data som behandlas;
  3. Hur länge behandlingen håller på; och
  4. Den geografisk räckvidden av behandlingen.

Behandling i stor omfattning görs till exempel på sjukhus, banker, försäkringsbolag, transportbolag m.m.

Dataskyddsombudet och sekretess

Ombudet ska vara bundet av tystnadsplikt. För dataskyddsombud som deltar i det allmännas verksamhet gäller offentlighets- och sekretesslagens bestämmelser om sekretess. För den privata sektorn gäller sekretess för ombudet i fråga om den enskildes personliga eller ekonomiska förhållanden.  

Dataskyddsombud

Behöver du juridisk hjälp?

Begär en gratis offert på Cloud Lawyer så hjälper vi dig!

Liknande artiklar

©  2026 Cloud Lawyer