Frågor & svar om Dataskyddsombud (GDPR)

  
Logotype - GDPROrganisationer som behandlar personuppgifter måste i vissa fall utse ett dataskyddsombud inom organisationen. Ombudets roll är att kontrollera att dataskyddsförordningen, GDPR, följs inom organisationen genom att till exempel utföra kontroller och informationsinsatser. Nedan får du svar på vanliga frågor om dataskyddsombud. Informationen nedan kommer från Datainspektionens hemsida.
 
Är det obligatoriskt att ha ett dataskyddsombud?
Ja, i vissa fall. Enligt dataskyddsförordningen måste vissa organisationer, som t.ex myndigheter och de som hanterar känsliga personuppgifter, utse ett dataskyddsombud. Den som vill får utse ett dataskyddsombud även i andra fall.
 
Vilka organisationer är skyldiga att utse ett dataskyddsombud?
Enligt dataskyddsförordningen måste följande organisationer utse ett dataskyddsombud:
  • Myndigheter och offentliga organ.

  • Organisationer som i sin kärnverksamhet behandlar personuppgifter på ett sätt som kräver regelbunden och systematisk övervakning av de registrerade i stor omfattning (till exempel scoring för riskbedömningsändamål, beteendestyrd marknadsföring, lokaliseringstjänster med mera).

  • Organisationer som behandlar så kallade känsliga personuppgifter eller uppgifter som rör lagöverträdelser och fällande domar i brottmål i stor omfattning.

Skyldigheten att utse ett dataskyddsombud gäller oavsett om organisationen behandlar personuppgifter i egenskap av personuppgiftsansvarig eller personuppgiftsbiträde. Även andra organisationer än de som räknats upp ovan kan utse dataskyddsombud men är inte skyldiga att göra det.
 
Vad menas med kärnverksamhet?
Med kärnverksamhet menas den personuppgiftsansvariges eller biträdets huvudsakliga verksamhet. Även aktiviteter där personuppgiftsbehandlingen utgör en nödvändig del av den personuppgiftsansvariges eller biträdets verksamhet omfattas. Exempelvis anses vårdgivares behandling av personuppgifter inom hälso- och sjukvården för t.ex journalföring vara en del av kärnverksamheten, även om kärnverksamheten i sig inom hälso- och sjukvården är att erbjuda vård. Detta med hänsyn till att en vårdgivare inte skulle kunna erbjuda en säker och effektiv sjukvård utan att behandla personuppgifter om patienterna.
 
Vad menas med personuppgiftsbehandling i stor omfattning?
I dataskyddsförordningen anges inte vad som utgör personuppgiftsbehandling i stor omfattning utan en bedömning får ske i det enskilda fallet. Viktiga faktorer i den bedömningen är t.ex:

  • antal registrerade som påverkas

  • mängden uppgifter / kategorier av uppgifter som behandlas

  • hur länge behandlingen ska pågå

  • den geografiska omfattningen av behandlingen

Exempel på personuppgiftsbehandling i stor omfattning:

  • behandling av patienters uppgifter inom ramen för verksamheten inom ett sjukhus

  • behandling av individers uppgifter om resehistorik i kollektivtrafiken (till exempel spårning via resekort)

  • behandling av kunders personuppgifter i verksamheten hos ett försäkringsbolag eller en bank

  • behandling som utförs av en sökmotor för beteendestyrd marknadsföring

  • behandling (innehåll, trafik, lokalisering) som genomförs av telebolag eller nätleverantörer

Exempel på behandling som inte utgör personuppgiftsbehandling i stor omfattning:

  • behandling av patienters uppgifter som utförs av en enskild läkare (med egen mottagning)

  • behandling av personuppgifter som rör fällande domar i brottmål som utförs av en enskild jurist/advokat

 
Vad är "regelbunden" och "systematisk" övervakning?
Begreppen "regelbunden" och "systematisk" övervakning definieras inte i dataskyddsförordningen men omfattar alla former av spårning och profilering på internet, inklusive sådan som utförs för beteendestyrd marknadsföring. Begreppet övervakning är dock inte bara begränsat till att omfatta övervakning i onlinemiljö. Regelbunden övervakning kan exempelvis vara sådan övervakning som:

  • pågår eller äger rum under särskilda intervall under en särskild period

  • är återkommande eller repeteras vid bestämda tillfällen

  • pågår konstant eller periodvis

För att behandlingen ska anses ske systematiskt bör den uppfylla en eller flera av följande kriterier:

  • sker enligt ett system

  • är förutbestämd, organiserad eller metodisk

  • äger rum som en del av en övergripande plan för insamling av uppgifter

  • utförs som en del av en strategi

Exempel på verksamhet som kan innebära regelbunden och systematisk övervakning är bland annat: tillhandahållandet av telekommunikationstjänster, scoring som genomförs för riskbedömningsändamål (till exempel kreditupplysning, framtagande av försäkringspremier, förebyggande av bedrägerier, spårning av pengatvätt), lokaliseringstjänster (till exempel genom mobilappar), lojalitetsprogram, beteendestyrd marknadsföring, registrering av hälsouppgifter genom fitnessarmband och andra så kallade wearables, smarta mätare, kameraövervakning med mera.
 
Är kommunala bolag och landstingsägda bolag skyldiga att utse ett dataskyddsombud?
Sådana bolag är, precis som andra organisationer, skyldiga att utse ett dataskyddsombud om de i sin kärnverksamhet, och i stor omfattning, antingen behandlar känsliga personuppgifter, uppgifter om brott eller behandlar personuppgifter på ett sätt som innebär regelbunden eller systematisk övervakning av registrerade.
 
RiksdagshusetVad menas med ett offentligt organ?
Oavsett vilka personuppgifter som behandlas måste myndigheter och offentliga organ alltid utse ett dataskyddsombud. Det finns ingen exakt definition av vad ett offentligt organ är enligt dataskyddsförordningen, men i Sverige anses (förutom myndigheterna) de folkvalda organen riksdagen, kommunfullmäktige, landstingsfullmäktige och regionfullmäktige vara offentliga organ.
 
Kan ett dataskyddsombud vara ombud för hela kommunen?
Ett dataskyddsombud kan utses för flera olika myndigheter. I en kommun är normalt varje kommunal nämnd personuppgiftsansvarig för sin behandling och ska utse ett dataskyddsombud. Det finns dock inget som hindrar att ett och samma ombud utses för alla nämnder inom kommunen under förutsättning att ombudet har tillräckligt med tid och resurser för att utföra uppdraget.
 
I ett internationellt företag, räcker det att det finns ett dataskyddsombud på det europeiska huvudkontoret eller måste varje dotterbolag ha ett eget ombud?
Utgångspunkten är att varje dotterbolag är att anse som personuppgiftsansvarig för sin behandling och därmed ska utse ett eget ombud. En koncern kan dock utse ett ombud för flera dotterbolag under förutsättning att ombudet finns lätt tillgängligt för varje bolag.
  

Mer information
 
Vill du läsa mer om dataskyddsombud så rekommenderar vi följande sidor:
 
Dataskyddsombud  (Datainspektionen)
Dataskyddsombud  (SKL)
Dataskyddsombud – allt om den nya yrkesrollen  (IDG)
    
Vill du ha fler tips?
 
Om du vill ha fler liknande tips så kan du följa oss på Facebook eller Twitter. Du kan även prenumerera på vårt nyhetsbrev eller läsa vår blogg. Du hittar fler artiklar på denna sida.
Besök vår Facebook-sida Följ oss på Twitter Besök vår videokanal på YouTube
 
Se även:
Hur påverkar EU:s dataskyddsförordning (GDPR) företag och organisationer?
Hur påverkar GDPR e-postmarknadsföring och nyhetsbrevsutskick?
 
Relaterad produktinformation:

SamLogic MultiMailer  -  Ett kraftfullt e-postverktyg som är anpassat för GDPR
 
 
SamLogic
Skriven av: SamLogic och Datainspektionen