Måste vi ha ett dataskyddsombud enligt GDPR?

Enligt reglerna i GDPR måste vissa verksamheter ha ett dataskyddsombud. Ombudets uppgift är bland annat att kontrollera att verksamheten följer GDPR. Som arbetsgivare kan man vara osäker på när man måste ha ett ombud, här går vi därför igenom när arbetsgivare måste ha ett dataskyddsombud.
Anna SchönfelderHR- och löneexpert
tisdag 18 september 2018
Lästid: 1 Minut
info

Den här artikeln är publicerad för mer än ett år sedan
Var uppmärksam på att lagar och regler ändras med jämna mellanrum. För att vara säker på att du alltid har korrekt och uppdaterad information tillgänglig rekommenderar vi att du abonnerar på något av våra Expertstöd. Jag vill ta steget mot en enklare arbetsvardag!

Den som är personuppgiftsansvarig måste i vissa fall utse ett dataskyddsombud. Reglerna för när ett dataskyddsombud ska utses finns i GDPR (Dataskyddsförordningen artikel 37) och gäller för både personuppgiftsansvariga och personuppgiftsbiträden.

Följande verksamheter ska ha ett dataskyddsombud

Det finns tre kategorier av verksamheter som måste ha ett dataskyddsombud. Det gäller för följande:

  • Myndigheter eller ett offentligt organ, t ex riksdagen, kommunfullmäktige och landstingsfullmäktige.
  • Organisationer vars kärnverksamhet innebär regelbunden, systematisk och i stor omfattning övervakning av enskilda personer.
  • Organisationer vars kärnverksamhet innebär att behandla känsliga personuppgifter eller uppgifter om brott i stor omfattning

Exempel på verksamheter där de ska finnas ett dataskyddsombud är en säkerhetsfirma som använder sig av övervakningskameror. Banker och försäkringsbolag är också beroende av regelbunden och systematisk övervakning, t ex för arbete mot penningtvätt och behöver därför också ha ett dataskyddsombud.

Man måste också ha ett dataskyddsombud om huvudverksamheten består av behandling av känsliga personuppgifter. Det kan t ex vara i ett politiskt parti där medlemsregistrering är en förutsättning och också känslig personuppgift. Ett annat exempel är sjukhus som hanterar en mängd hälsoinformation.

Ha ett dataskyddsombud även om det inte är ett krav?

Även om en verksamhet inte har krav på sig att ha ett dataskyddsombud kan det i vissa fall ändå motiveras. I verksamheter som behandlar stora mängder personuppgifter kan ett dataskyddsombud vara med att struktur och ordning i arbetet med personuppgifter. 

Att tänka på!

  • Anmäl dataskyddsombudet till Datainspektionen. Anmälan görs på en särskild pdf-blankett som finns hos Datainspektionen.
  • Informera verksamheten samt andra som ni har registrerade personuppgifter om att ni har ett dataskyddsombud samt kontaktuppgifter till ombudet.
  • Se till att dataskyddsombudet får tid och resurser för att kunna utföra sitt uppdrag.

Vill du få koll på dataskydd och GDPR på arbetsplatsen? 

Då kan du skaffa ett abonnemang Servicepaket Dataskydd i arbetslivet, vårt webbaserade uppslagsverk med lagtolkningar, skriftlig support, faktabank och praktiska verktyg som hjälper dig att vidta de åtgärder som behövs för att följa de nya reglerna.

Dela sidan: