Hoppa till innehåll på sidan
Vi guidar dig

Måste ni utse ett dataskyddsombud?

Tre frågor som ger er svaret

  1. Är ni en myndighet eller en folkvald församling, det vill säga ett offentligt organ?
  2. Har ni som kärnverksamhet att regelbundet, systematiskt och i stor omfattning övervaka enskilda personer?
  3. Har ni som kärnverksamhet att behandla känsliga personuppgifter eller uppgifter om brott i stor omfattning?

Svarar ni ja på någon av de här frågorna? Då måste ni utse ett dataskyddsombud.

Offentligt organ

Offentliga organ i Sverige är myndigheter och folkvalda organ: riksdagen, kommunfullmäktige, landstingsfullmäktige och regionfullmäktige.

Vad är inte offentliga organ?

Privata företag, föreningar och organisationer är inte offentliga organ, och inte heller kommunala eller landstingsägda bolag. Ni kan ändå behöva ha ett dataskyddsombud, om ni svarar ja på fråga 2 eller 3.

Kärnverksamhet

Kärnverksamhet är den nödvändiga centrala verksamhet som en organisation utför för att uppfylla sina mål.

Exempel:

  • För en skobutik är kärnverksamheten att sälja skor.
  • För ett säkerhetsföretag kan kärnverksamheten vara att övervaka allmänna platser.
  • Ett sjukhus har som mål att ge sjukvård. För att kunna göra det måste sjukhuset behandla hälsouppgifter. Behandling av känsliga uppgifter är därför en kärnverksamhet för sjukhuset.

Regelbunden och systematisk övervakning

Regelbunden och systematisk övervakning är ständig eller återkommande övervakning som sker enligt ett system eller en plan.

Exempel:

  • alla former av spårning och profilering på internet
  • profilering för riskbedömningar
  • positionsspårning i mobilappar
  • lojalitetsprogram
  • övervakningskameror
  • uppkopplade apparater, till exempel smarta mätare (sakernas internet, internet of things, IoT)

Stor omfattning

Vad som är "stor omfattning" kan vara svårt att bedöma, men beror till exempel på hur många som är registrerade, hur mycket uppgifter och vilka typer av uppgifter som behandlas och hur länge uppgifterna behandlas.

Exempel på verksamheter som behandlar personuppgifter i stor omfattning:

  • sjukhus – patientuppgifter
  • kollektivtrafik – reseuppgifter om enskilda resenärer
  • försäkringsbolag eller banker – uppgifter om kunders egendomar och tillgångar

Exempel på verksamheter som inte behandlar personuppgifter i stor omfattning:

  • en enskild läkare behandlar patientuppgifter
  • en enskild advokat behandlar personuppgifter som rör fällande domar i brottmål och överträdelser.

Personuppgiftsbiträdet kan behöva ett dataskyddsombud även om personuppgiftsansvarig inte behöver det

Alla organisationer måste göra en egen bedömning av om de behöver ett dataskyddsombud. Det kan förekomma att ett personuppgiftsbiträde behöver ett dataskyddsombud även om dess uppdragsgivare inte behöver dataskyddsombud.

Exempel:

Ett litet företag har ett personuppgiftsbiträde som har många liknande kunder. Det innebär att personuppgiftsbiträdet behandlar stora mängder personuppgifter, från många olika kunder. Personuppgiftsbiträdet kan då behöva utnämna ett dataskyddsombud trots att det lilla företaget inte behöver det.

Vanliga frågor om dataskyddsombud

Ja, ett dataskyddsombud kan ha ansvar för flera olika myndigheter eller flera olika företag inom samma koncern.

En förutsättning är förstås att dataskyddsombudet har tillräckligt med tid och resurser för att utföra uppdraget, och att alla som behöver komma i kontakt med dataskyddsombudet lätt kan göra det.

Det finns inget hinder mot att ha en grupp personer som utför dataskyddsombudets uppgifter så länge alla i gruppen uppfyller de krav som ställs. Gruppen ska också ha en utsedd ansvarig kontaktperson.

Det enkla svaret är att alla som svarar nej på frågorna ovan inte behöver ett dataskyddsombud.

Det betyder alltså att icke-offentliga organ, som företag och föreningar, inte behöver dataskyddsombud om de till exempel

  • har få uppgifter om sina kunder, eller uppgifter som inte är känsliga
  • inte behandlar personuppgifter som en del av sin kärnverksamhet
  • endast har vissa uppgifter om sina anställda, till exempel för att kunna betala ut löner.

Personuppgiftsansvarig myndighet behöver inte utse ett dataskyddsombud för behandling som sker som en del av domstolarnas dömande verksamhet.

 

IMY rekommenderar

Även om ni inte måste ha ett dataskyddsombud kan det vara bra för er organisation att ha ett, exempelvis för att skapa ordning och reda i arbetet med personuppgifter. Det kan också skapa förtroende hos de registrerade. Det kan i sin tur ge fördelar i konkurrensen med andra företag.

Vi rekommenderar att organisationer utser ett dataskyddsombud, även om de inte måste, om de

  • utför arbetsuppgifter av allmänt intresse
  • utför uppgifter som innefattar myndighetsutövning.
Senast uppdaterad: 8 februari 2023
Sidans etiketter Dataskydd