Hoppa till innehåll på sidan

Dataskyddsombud

Den som behandlar personuppgifter måste i vissa fall utse ett dataskyddsombud. Ombudets roll är att kontrollera att dataskyddsförordningen (GDPR) följs inom organisationen genom att till exempel utföra kontroller och informationsinsatser.

Den övergripande och viktigaste uppgiften för dataskyddsombudet är att övervaka att organisationen följer dataskyddsförordningen.

Det innebär bland annat att

  • samla in information om hur organisationen behandlar personuppgifter
  • kontrollera att organisationen följer bestämmelser och interna styrdokument
  • informera och ge råd inom organisationen.

Dataskyddsombudet ska också

  • ge råd om konsekvensbedömningar
  • vara kontaktperson för oss på IMY
  • vara kontaktperson för de registrerade och personalen inom organisationen
  • samarbeta med IMY, till exempel vid inspektioner.

Konsekvensbedömningar

Dataskyddsombudet ska alltid vara inblandat om en organisation gör, eller överväger att göra, en konsekvensbedömning för behandling av personuppgifter. En konsekvensbedömning behövs om ni ska samla in personuppgifter och det finns hög risk för personers rättigheter och friheter.

Konsekvensbedömningar

Dataskyddsombudet är inte ansvarigt

Dataskyddsombudet har inget eget ansvar för att organisationen följer dataskyddsförordningen. Det ansvaret ligger alltid hos den personuppgiftsansvariga eller hos personuppgiftsbiträdet. Personuppgiftsansvarig får heller inte bestraffa dataskyddsombudet för att ha utfört sina arbetsuppgifter.

Vem kan vara dataskyddsombud?

Dataskyddsombudet ska bland annat

  • ha kunskaper om dataskyddsförordningen
  • känna organisationens kärnverksamhet, hur organisationen behandlar personuppgifter och veta hur organisationens informationsteknik och it-säkerhet fungerar
  • ha förmåga att sprida information och etablera en dataskyddskultur inom organisationen.

Därför är också dataskyddsombudets personliga egenskaper viktiga. Ju mer komplex personuppgiftsbehandlingen är och ju större mängd känsliga uppgifter som behandlas, desto mer sakkunskap behöver dataskyddsombudet.

Dataskyddsombudet ska kunna arbeta självständigt och oberoende, utan att bli påverkad av andra inom organisationen. Det är därför viktigt att dataskyddsombudet inte har andra arbetsuppgifter som kan krocka med rollen som dataskyddsombud.

Det är till exempel inte lämpligt att dataskyddsombudet sitter i organisationens ledning eller är med och fattar strategiska beslut om kärnverksamheten som omfattar personuppgiftsbehandling.

Dataskyddsombudet ska ha resurser för att kunna utföra sina uppgifter inom organisationen.

Till exempel måste dataskyddsombudet ha tillräckligt med tid för uppgifterna, och få tillgång till den information som behövs. Dataskyddsombudet har också rätt till vidareutbildning.

Dataskyddsombudet kan vara

  • en anställd eller en konsult
  • en fysisk person eller en organisation eller grupp, men det måste alltid finnas en kontaktperson
  • dataskyddsombud för en eller flera myndigheter eller företag.

Om dataskyddsombudets uppgifter utförs av en grupp personer, tydliggör roller och uppgifter inom gruppen. 

 

Anmäl till oss när ni utsett ett dataskyddsombud

Ni som ska ha ett dataskyddsombud i era organisationer ska skicka in kontaktuppgifterna till dataskyddsombudet till oss.

Anmäl dataskyddsombud

Senast uppdaterad: 1 februari 2023
Sidans etiketter Dataskydd