Dataskyddsombud

Frågor och svar om EU:s dataskyddsreform

Blir det obligatoriskt att ha ett dataskyddsombud i framtiden?
Vad gäller för dataskyddsombud i en kommun? Räcker det att en och samma person är ombud för hela kommunen?
Vad gäller för internationella företag, räcker det att det finns ett ombud på det europeiska huvudkontoret eller måste varje dotterbolag ha ett eget ombud?
Vad krävs av ett dataskyddsombud? Kommer personuppgiftsombudets roll att förändras?

Blir det obligatoriskt att ha ett dataskyddsombud i framtiden?

Ja, i vissa fall. Enligt förordningen ska både personuppgiftsansvariga och personuppgiftsbiträden utse ett dataskyddsombud om

  • personuppgiftsbehandlingen utförs av en myndighet eller ett offentligt organ (dock ej domstolar i deras dömande verksamhet)
  • den ansvariges eller biträdets kärnverksamhet består av personuppgiftsbehandling som kräver regelbunden och systematisk övervakning av de registrerade i stor omfattning eller
  • den ansvariges eller biträdets kärnverksamhet består av behandling i stor omfattning av så kallade känsliga personuppgifter eller brottsuppgifter.

Den som vill får utse ett dataskyddsombud även i andra fall.

Vad gäller för dataskyddsombud i en kommun? Kan ett dataskyddsombud vara ombud för hela kommunen?

Ett dataskyddsombud kan utses för flera olika myndigheter. I en kommun är normalt varje kommunal nämnd personuppgiftsansvarig för sin behandling och ska utse ett dataskyddsombud. Det finns dock inget som hindrar att ett och samma ombud utses för alla nämnder inom kommunen under förutsättning att ombudet har tillräckligt med tid och resurser för att utföra uppdraget som dataskyddsombud för respektive personuppgiftsansvarig nämnd.

Vad gäller för internationella företag, räcker det att det finns ett dataskyddsombud på det europeiska huvudkontoret eller måste varje dotterbolag ha ett eget ombud?

Utgångspunkten är att varje dotterbolag är att anse som personuppgiftsansvarig för sin behandling och därmed ska utse ett eget ombud. En koncern kan dock utse ett ombud för flera dotterbolag under förutsättning att ombudet finns lätt tillgängligt för varje bolag.

Vad krävs av ett dataskyddsombud?

Förordningen anger att ombudet ska utses på grundval av sina yrkesmässiga kvalifikationer, särskilt kunskap i lagstiftning och praxis kring dataskydd. Förordningen innehåller också tydligare bestämmelser om dataskyddsombudets ställning – ombudet ska involveras i god tid i alla frågor som rör skydd för personuppgifter och ska ges nödvändiga resurser för att utföra sina arbetsuppgifter. Ombudet ska inte kunna bestraffas eller utsättas för repressalier för utförandet av uppgifter enligt förordningen och ska rapportera direkt till högsta ledningen.

Dataskyddsombudets uppgifter är bland annat att informera och ge råd inom den egna organisationen om vilka skyldigheter som gäller enligt såväl förordningen som nationella bestämmelser. Ombudet ska också bevaka att dessa regler följs och ge råd om den konsekvensbedömning avseende dataskydd som ska göras enligt förordningen. Slutligen ska ombudet fungera som kontaktpunkt för dataskyddsmyndigheten och samarbeta med denna.

EU:s dataskyddsreform

Tillbaka till Frågor och svar

Läs mer om EU:s dataskyddsreform

Här får du veta mer om EU:s dataskyddsreform och när de nya reglerna kan komma att införas i svensk lagstiftning.