Dataskyddsombud

Frågor och svar om dataskyddsförordningen

Skyldighet att ha ett dataskyddsombud

Kommer det att bli obligatoriskt att ha ett dataskyddsombud?
Vilka organisationer är skyldiga att utse ett dataskyddsombud?
Är kommunala bolag och landstingsägda bolag skyldiga att utse ett dataskyddsombud?
Kan ett dataskyddsombud vara ombud för hela kommunen?
I ett internationellt företag, räcker det att det finns ett dataskyddsombud på det europeiska huvudkontoret eller måste varje dotterbolag ha ett eget ombud?

Att anmäla ett dataskyddsombud

Hur anmäler vi ett dataskyddsombud till Datainspektionen?
Vi har redan ett personuppgiftsombud, måste vi göra något eller blir det automatiskt ett dataskyddsombud efter 25 maj 2018?
Är det någon idé att anmäla ett personuppgiftsombud nu, när vi snart måste göra en ny anmälan av dataskyddsombud?
Vem kan utses till dataskyddsombud?
Vilka kvalifikationer ska ett dataskyddsombud ha?

Dataskyddsombudets roll

Vad krävs av ett dataskyddsombud?
Vilken ställning ska dataskyddsombudet ha i den egna organisationen?
Vilka är ett dataskyddsombuds uppgifter?

Skyldighet att ha ett dataskyddsombud

Kommer det att bli obligatoriskt att ha ett dataskyddsombud?

Ja, i en del fall. Enligt dataskyddsförordningen måste vissa organisationer, exempelvis myndigheter, utse ett dataskyddsombud. Se mer under nästa fråga. Den som vill får utse ett dataskyddsombud även i andra fall.

Vilka organisationer är skyldiga att utse ett dataskyddsombud?

Enligt dataskyddsförordningen måste följande organisationer utse ett dataskyddsombud:

  • Myndigheter och offentliga organ
  • Organisationer som i sin kärnverksamhet behandlar personuppgifter på ett sätt som kräver regelbunden och systematisk övervakning av de registrerade i stor omfattning (till exempel scoring för riskbedömningsändamål, beteendestyrd marknadsföring, lokaliseringstjänster med mera), eller
  • Organisationer som behandlar så kallade känsliga personuppgifter eller uppgifter som rör lagöverträdelser och fällande domar i brottmål i stor omfattning.

Läs mer om vad som menas med "kärnverksamhet", "stor omfattning" och "övervakning" nedan.

Skyldigheten att utse ett dataskyddsombud gäller oavsett om organisationen behandlar personuppgifter i egenskap av personuppgiftsansvarig eller personuppgiftsbiträde.

Även andra organisationer än de som räknats upp ovan kan utse dataskyddsombud men är inte skyldiga att göra det.

Vad menas med kärnverksamhet?

Med kärnverksamhet menas den personuppgiftsansvariges eller biträdets huvudsakliga verksamhet. Även aktiviteter där personuppgiftsbehandlingen utgör en nödvändig del av den personuppgiftsansvariges eller biträdets verksamhet omfattas.

Exempelvis anses vårdgivares behandling av personuppgifter inom hälso- och sjukvården för exempelvis journalföring vara en del av kärnverksamheten, även om kärnverksamheten i sig inom hälso- och sjukvården är att erbjuda vård. Detta med hänsyn till att en vårdgivare inte skulle kunna erbjuda en säker och effektiv sjukvård utan att behandla personuppgifter om patienterna.

Vad menas med personuppgiftsbehandling i stor omfattning?

I dataskyddsförordningen anges inte vad som utgör personuppgiftsbehandling i stor omfattning, utan en bedömning får ske i det enskilda fallet. Viktiga faktorer i den bedömningen är till exempel:

  • antalet registrerade som påverkas, antingen sett till det specifika antalet registrerade eller i förhållande till den berörda befolkningsmängden
  • mängden uppgifter och/eller omfattningen av de kategorier av uppgifter som behandlas
  • hur länge behandlingen ska pågå
  • den geografiska omfattningen av behandlingen

Exempel på personuppgiftsbehandling i stor omfattning:

  • behandling av patienters uppgifter inom ramen för verksamheten inom ett sjukhus
  • behandling av individers uppgifter om resehistorik i kollektivtrafiken (till exempel spårning via resekort)
  • behandling av kunders personuppgifter i verksamheten hos ett försäkringsbolag eller en bank
  • behandling som utförs av en sökmotor för beteendestyrd marknadsföring
  • behandling (innehåll, trafik, lokalisering) som genomförs av telebolag eller nätleverantörer

Exempel på behandling som inte utgör personuppgiftsbehandling i stor omfattning:

  • behandling av patienters uppgifter som utförs av en enskild läkare (med egen mottagning)
  • behandling av personuppgifter som rör fällande domar i brottmål som utförs av en enskild jurist/advokat

Vad är "regelbunden" och "systematisk" övervakning?

Begreppen "regelbunden" och "systematisk" övervakning definieras inte i dataskyddsförordningen men omfattar alla former av spårning och profilering på internet, inklusive sådan som utförs för beteendestyrd marknadsföring. Begreppet övervakning är dock inte bara begränsat till att omfatta övervakning i onlinemiljö.

Regelbunden övervakning kan exempelvis vara sådan övervakning som

  • pågår eller äger rum under särskilda intervall under en särskild period
  • är återkommande eller repeteras vid bestämda tillfällen
  • pågår konstant eller periodvis

För att behandlingen ska anses ske systematiskt bör den uppfylla en eller flera av följande faktorer:

  • sker enligt ett system
  • är förutbestämd, organiserad eller metodisk
  • äger rum som en del av en övergripande plan för insamling av uppgifter
  • utförs som en del av en strategi

Exempel på verksamhet som kan innebära regelbunden och systematisk övervakning är bland annat: tillhandahållandet av telekommunikationstjänster, scoring som genomförs för riskbedömningsändamål (till exempel kreditupplysning, framtagande av försäkringspremier, förebyggande av bedrägerier, spårning av pengatvätt), lokaliseringstjänster (till exempel genom mobilappar), lojalitetsprogram, beteendestyrd marknadsföring, registrering av hälsouppgifter genom fitnessarmband och andra så kallade wearables, smarta mätare, kameraövervakning med mera.

Är kommunala bolag och landstingsägda bolag skyldiga att utse ett dataskyddsombud?

Sådana bolag är, precis som andra organisationer, skyldiga att utse ett dataskyddsombud om de i sin kärnverksamhet, och i stor omfattning, antingen behandlar känsliga personuppgifter, uppgifter om brott eller behandlar personuppgifter på ett sätt som innebär regelbunden eller systematisk övervakning av registrerade.

Vad menas med ett offentligt organ?

Oavsett vilka personuppgifter som behandlas måste myndigheter och offentliga organ alltid utse ett dataskyddsombud. Det finns ingen definition av offentliga organ i dataskyddsförordningen och det är oklart vad som närmare avses. I Sverige anses, förutom myndigheterna, de folkvalda organen: riksdagen, kommunfullmäktige, landstingsfullmäktige och regionfullmäktige, vara offentliga organ.

EU-ländernas dataskyddsmyndigheter har genom Artikel 29-gruppen pekat på att arbetsuppgifter av allmänt intresse och myndighetsutövning kan överlåtas till andra än myndigheter och offentliga organ, till exempel på områden som allmänna transporter, el- och vattenförsörjning och bostäder. I sådana fall behandlas personuppgifter för samma ändamål som hos en myndighet och den enskilde kan befinna sig i samma situation som om det var en myndighet som tillhandahöll tjänsten, det vill säga han/hon har ingen möjlighet att styra över vilka uppgifter som behandlas och på vilket sätt detta sker. Artikel 29-gruppen – och Datainspektionen – rekommenderar därför att privata aktörer som utför arbetsuppgifter av allmänt intresse eller myndighetsutövning utser ett dataskyddsombud - även om de inte är att anse som offentliga organ eller är skyldiga att utse ett ombud på grund av att behandlingen omfattar känsliga uppgifter, innebär regelbunden och systematisk övervakning med mera, enligt ovan.

Se närmare om detta i artikel 37.1, skäl 97 och Artikel 29-gruppens yttrande WP 243 rev.01

Kan ett dataskyddsombud vara ombud för hela kommunen?

Ett dataskyddsombud kan utses för flera olika myndigheter. I en kommun är normalt varje kommunal nämnd personuppgiftsansvarig för sin behandling och ska utse ett dataskyddsombud. Det finns dock inget som hindrar att ett och samma ombud utses för alla nämnder inom kommunen under förutsättning att ombudet har tillräckligt med tid och resurser för att utföra uppdraget.

I ett internationellt företag, räcker det att det finns ett dataskyddsombud på det europeiska huvudkontoret eller måste varje dotterbolag ha ett eget ombud?

Utgångspunkten är att varje dotterbolag är att anse som personuppgiftsansvarig för sin behandling och därmed ska utse ett eget ombud. En koncern kan dock utse ett ombud för flera dotterbolag under förutsättning att ombudet finns lätt tillgängligt för varje bolag.

Att anmäla ett dataskyddsombud

Hur anmäler vi ett dataskyddsombud till Datainspektionen?

Skyldigheten att meddela dataskyddsombudets kontaktuppgifter till Datainspektionen börjar gälla den 25 maj 2018. I nuläget går det däremot inte att anmäla uppgifter om dataskyddsombud till Datainspektionen, den möjligheten kommer tidigast i mars 2018. Uppgifterna ska då kunna lämnas via ett formulär på myndighetens webbplats. Man bör komma ihåg att den som är skyldig att utse ett dataskyddsombud också själv måste offentliggöra kontaktuppgifter till ombudet.

Vi har redan ett personuppgiftsombud, måste vi göra något eller blir det automatiskt ett dataskyddsombud efter 25 maj 2018?

Den som idag är personuppgiftsombud kommer inte att automatiskt bli dataskyddsombud den 25 maj 2018. Det nuvarande registret med personuppgiftsombud kommer att avvecklas och alla organisationer måste göra en ny anmälan av dataskyddsombud.

Är det någon idé att anmäla ett personuppgiftsombud nu, när vi snart måste göra en ny anmälan av dataskyddsombud?

Det är ett beslut som ni måste fatta själva.

Med dagens lagstiftning är ingen organisation skyldig att utse ett personuppgiftsombud. Men, det kostar inget att utse ett ombud och man gör det enkelt genom att fylla i en blankett och posta den till Datainspektionen.

När dataskyddsförordningen börjar tillämpas 25 maj 2018 är vissa organisationer skyldiga att ha ett dataskyddsombud. Dessa organisationer måste då göra en ny anmälan.

Om ni idag tänker att utse ett personuppgiftsombud för att sedan göra samma person till dataskyddsombud så bör ni ta hänsyn till de krav som dataskyddförordningen kommer att ställa på dataskyddsombud vad gäller kvalifikationer, arbetsuppgifter, ställning i organisationen med mera.

Vem kan utses till dataskyddsombud?

Ett dataskyddsombud kan vara anställd inom den personuppgiftsansvariges eller personuppgiftsbiträdets egen organisation men det är också möjligt att anlita någon utanför organisationen.

Om ett externt dataskyddsombud utses är det möjligt att anlita såväl en individ som en organisation. Om en extern organisation anlitas som dataskyddsombud bör denne utse en kontaktperson gentemot den personuppgiftsansvarige eller personuppgiftsbiträdet. En kontaktperson bör även utses om fler än ett dataskyddsombud inom organisationen utses. Detta på grund av dataskyddsombudets funktion som kontaktpunkt för såväl de registrerade internt inom organisationen och gentemot Datainspektionen. Det ska alltså framgå klart och tydligt vem som ska kontaktas.

Vilka kvalifikationer ska ett dataskyddsombud ha?

Ett dataskyddsombud ska utses på grund av sina yrkesmässiga kvalifikationer, särskilt vad gäller kunskap om lagstiftning och praxis kring dataskydd.

Oavsett om ett externt eller internt dataskyddsombud utses måste ombudet uppfylla de krav som ställs upp på dataskyddsombudet enligt dataskyddsförordningen. Det gäller även när ett dataskyddsombud utses på frivillig väg.

Vilken nivå av kunskaper ett dataskyddsombud ska ha bör avgöras utifrån den behandling av personuppgifter som utförs och vilket skydd som krävs för de personuppgifter som behandlas. Dataskyddsombudet kan till exempel behöva en högre nivå av expertis, och mer omfattande stöd av den personuppgiftsansvarige eller biträdet, när behandlingen av personuppgifter är särskilt komplicerad eller när en stor mängd känsliga personuppgifter behandlas.

Dataskyddsombudets sakkunskap och förmåga bör inkludera:

  • sakkunskaper om nationell och europeisk dataskyddslagstiftning och rättspraxis, inklusive fördjupad förståelse för dataskyddsförordningen
  • förståelse för den personuppgiftsbehandling som utförs inom verksamheten
  • förståelse för it och datasäkerhet
  • kunskap om affärsområdet och verksamheten som bedrivs samt en
  • förmåga att främja en dataskyddskultur inom organisationen

Dataskyddsombudets roll

Vad krävs av ett dataskyddsombud?

Förordningen anger att ombudet ska utses på grundval av sina yrkesmässiga kvalifikationer, särskilt kunskap i lagstiftning och praxis kring dataskydd. Förordningen innehåller också tydligare bestämmelser om dataskyddsombudets ställning – ombudet ska involveras i god tid i alla frågor som rör skydd för personuppgifter och ska ges nödvändiga resurser för att utföra sina arbetsuppgifter. Ombudet ska inte kunna bestraffas eller utsättas för repressalier för utförandet av uppgifter enligt förordningen och ska rapportera direkt till högsta ledningen.

Dataskyddsombudets uppgifter är bland annat att informera och ge råd inom den egna organisationen om vilka skyldigheter som gäller enligt såväl förordningen som nationella bestämmelser. Ombudet ska också bevaka att dessa regler följs och ge råd om den konsekvensbedömning avseende dataskydd som ska göras enligt förordningen. Slutligen ska ombudet fungera som kontaktpunkt för dataskyddsmyndigheten och samarbeta med denna.

Vilken ställning ska dataskyddsombudet ha i den egna organisationen?

Det ställs höga krav på den ansvarige och biträdet att se till att dataskyddsombudet har en så pass självständig ställning och tillräckligt med resurser för att kunna utföra sina arbetsuppgifter. Ett dataskyddsombud ska involveras i god tid i alla frågor som rör skydd för personuppgifter och ska rapportera till högsta ledningen. Dataskyddsombudet får inte ta emot instruktioner kring hur uppdraget ska utföras och får inte bestraffas eller utsättas för repressalier för att ha utövat sina arbetsuppgifter. Ett dataskyddsombud ska omfattas av sekretess eller tystnadsplikt.

Ett dataskyddsombud får ha andra arbetsuppgifter och uppdrag utöver sitt ombudsuppdrag. Den personuppgiftsansvarige eller personuppgiftsbiträdet måste dock se till att sådana uppgifter eller uppdrag inte kan leda till en intressekonflikt. Det innebär att dataskyddsombudet inte kan ha en position i organisationen som kan innebära att personen kan komma att bestämma varför och hur personuppgifter hanteras i organisationen. Som tumregel kan exempelvis personer med ledande chefsbefattningar (som verkställande direktör, finanschef/ekonomichef, chefsläkare, marknads/försäljningschef, HR-chef) ha arbetsuppgifter eller uppdrag som kan leda till intressekonflikt. Frågan om en intressekonflikt kan uppstå måste avgöras i varje enskilt fall beroende på hur den personuppgiftsansvariges eller biträdets organisation ser ut. Om ett utomstående dataskyddsombud utses bör inte samma person/organisation rättsligt företräda den ansvarige eller biträdet i frågor som rör dataskydd.

Vilka är ett dataskyddsombuds uppgifter?

Dataskyddsombudet ska:

  • informera och ge råd inom organisationen om vilka skyldigheter som gäller enligt dataskyddsförordningen och annan dataskyddslagstiftning
  • övervaka att reglerna i dataskyddsförordningen och annan dataskyddslagstiftning följs samt se till att organisationens strategi för skydd av personuppgifter efterlevs, bland annat genom utbildning och intern granskning
  • på begäran ge råd om den konsekvensbedömning avseende dataskydd som kan behöva göras och övervaka genomförandet av den
  • fungera som kontaktpunkt för tillsynsmyndigheten, till exempel vid förhandssamråd, och även i övrigt samarbeta med tillsynsmyndigheten
  • fungera som kontaktpunkt för de registrerade

Dataskyddsombudet har däremot aldrig något ansvar för att dataskyddsförordningen och andra regler följs – detta ansvar ligger alltid på den organisation som är personuppgiftsansvarig eller personuppgiftsbiträde.

EU:s dataskyddsreform

Tillbaka till Frågor och svar

Läs mer om EU:s dataskyddsreform

Här får du veta mer om EU:s dataskyddsreform och när de nya reglerna kan komma att införas i svensk lagstiftning.