meny

Dataskyddsförordningen om dataskyddsombud

Artikel 37: Utnämning av dataskyddsombudet

1. Den personuppgiftsansvarige och personuppgiftsbiträdet ska under alla omständigheter utnämna ett dataskyddsombud om

a) behandlingen genomförs av en myndighet eller ett offentligt organ, förutom när detta sker som en del av domstolarnas dömande verksamhet,

Datainspektionens kommentar
Myndigheter och offentliga organ måste alltså ha ett dataskyddsombud oavsett vilka uppgifter de behandlar. Det gäller inte för andra organisationer. De måste ha ett dataskyddsombud bara om de faller inom kategorierna b och c nedan.
Men även privata organisationer kan bedriva offentlig verksamhet och myndighetsutövning, till exempel inom kollektivtrafik, vatten- och energiförsörjning, väginfrastruktur, radio och tv i allmänhetens tjänst, allmännyttiga bostäder eller disciplinorgan för reglerade yrken. För de registrerade är det ungefär samma sak om deras personuppgifter behandlas av en myndighet eller ett offentligt organ. Ett dataskyddsombud kan då ge de registrerade skydd och trygghet.
Datainspektionen rekommenderar därför att privata organisationer som bedriver offentlig verksamhet och myndighetsutövning utnämner ett dataskyddsombud.

b) den personuppgiftsansvariges eller personuppgiftsbiträdets kärnverksamhet består av behandling som, på grund av sin karaktär, sin omfattning och/eller sina ändamål, kräver regelbunden och systematisk övervakning av de registrerade i stor omfattning, eller

Datainspektionens kommentar
"Kärnverksamhet" är den nödvändiga centrala verksamhet som en organisation utför för att uppfylla sitt uppdrag och sina mål.
Exempel: Ett säkerhetsföretag kameraövervakar flera köpcentrum. Deras kärnverksamhet är säkerhet, men de måste filma personer, vilket innebär att de behandlar personuppgifter i stor omfattning. Personuppgiftsbehandling är alltså en del av deras kärnverksamhet.
Men alla organisationer behandlar personuppgifter i stödjande verksamheter, till exempel för att betala ut lön, eller i samband med it-stöd. Det är exempel på nödvändiga stödfunktioner för organisationens kärnverksamhet eller huvudsakliga verksamhet. Även om sådana verksamheter är nödvändiga eller centrala, så är de inte kärnverksamhet utan kompletterande funktioner. Icke-offentliga organ som bara behandlar personuppgifter på det sättet behöver alltså inte något dataskyddsombud.
"Regelbunden" betyder
  • pågående övervakning eller övervakning som sker i vissa intervall eller under en viss period
  • återkommande eller upprepad övervakning vid fasta tidpunkter
  • ständig eller periodisk övervakning.
"Systematisk" är övervakning som
  • sker enligt ett system
  • är på förhand arrangerad, organiserad eller metodisk övervakning
  • sker enligt en allmän plan för insamling av personuppgifter
  • utförs som ett led i en strategi.
"Regelbunden och systematisk övervakning av de registrerade" omfattar alltså till exempel
  • alla former av spårning och profilering på internet
  • drift av ett telekommunikationsnät
  • tillhandahållande av telekommunikationstjänster
  • datadriven marknadsföring
  • profilering eller poängsättning för riskbedömningar till exempel för bedömning av kreditvärdighet, fastställande av försäkringspremier
  • förebyggande av bedrägeri, upptäckt av penningtvätt
  • positionsspårning, till exempel genom mobilappar
  • lojalitetsprogram
  • beteendestyrd annonsering
  • övervakning av välbefinnande, träning och hälsa via exempelvis aktivitetsarmband
  • övervakningskameror
  • uppkopplade apparater, till exempel smarta mätare, smarta bilar eller anordningar för hemautomatisering (sakernas internet).
Vad som är "stor omfattning" är inte lätt att avgöra. Datainspektionen rekommenderar att organisationer gör en grundlig bedömning av sin verksamhet och då funderar över
  • hur många som är registrerade, antingen som ett exakt antal eller som en andel av den berörda befolkningsgruppen
  • hur mycket och vilka typer av personuppgifter som behandlas
  • hur länge personuppgifterna behandlas
  • inom hur stort geografiskt område de registrerade finns.
Behandling i stor omfattning kan till exempel vara
  • behandling av patientuppgifter inom ramen för ett sjukhus normala verksamhet
  • behandling av reseuppgifter avseende personer som använder kollektivtrafiksystem i en stad (till exempel spårning via resekort)
  • behandling av geolokaliseringsuppgifter för statistiska ändamål
  • behandling av kunduppgifter inom ramen för ett försäkringsbolags eller en banks normala verksamhet
  • behandling av personuppgifter som ska användas för beteendestyrd annonsering av en sökmotor
  • behandling av uppgifter (innehåll, trafik, position) av telefon- eller internettjänstleverantörer.
Behandling som inte sker i stor omfattning kan till exempel vara fall där
  • en enskild läkare behandlar patientuppgifter
  • en enskild advokat behandlar personuppgifter som rör fällande domar i brottmål samt överträdelser.

c) den personuppgiftsansvariges eller personuppgiftsbiträdets kärnverksamhet består av behandling i stor omfattning av särskilda kategorier av uppgifter i enlighet med artikel 9 och personuppgifter som rör fällande domar i brottmål och överträdelser, som avses i artikel 10.

Datainspektionens kommentar
Artikel 37 c handlar om behandling av känsliga personuppgifter och uppgifter om fällande domar. Ordet "och" används i bestämmelsen, men de två kriterierna måste inte tillämpas samtidigt. Texten ska tolkas som att ett dataskyddsombud krävs om organisationen antingen behandlar känsliga personuppgifter eller personuppgifter som rör fällande domar.
"Kärnverksamhet" är den nödvändiga centrala verksamhet som en organisation utför för att uppfylla sitt uppdrag och sina mål.
Exempel: För ett sjukhus är det till exempel omöjligt att bedriva hälso- och sjukvård utan att behandla hälsouppgifter som patientjournaler. Behandling av personuppgifter är därför en del av ett sjukhus kärnverksamhet.
Vad som är "stor omfattning" är inte lätt att avgöra. Datainspektionen rekommenderar att organisationer gör en grundlig bedömning av sin verksamhet och då funderar över
  • hur många som är registrerade, antingen som ett exakt antal eller som en andel av den berörda befolkningsgruppen
  • hur mycket och vilka typer av personuppgifter som behandlas
  • hur länge personuppgifterna behandlas
  • inom hur stort geografiskt område de registrerade finns.
Behandling i stor omfattning kan till exempel vara
  • behandling av patientuppgifter inom ramen för ett sjukhus normala verksamhet
  • behandling av reseuppgifter avseende personer som använder kollektivtrafiksystem i en stad (till exempel spårning via resekort)
  • behandling av geolokaliseringsuppgifter för statistiska ändamål
  • behandling av kunduppgifter inom ramen för ett försäkringsbolags eller en banks normala verksamhet
  • behandling av personuppgifter som ska användas för beteendestyrd annonsering av en sökmotor
  • behandling av uppgifter (innehåll, trafik, position) av telefon- eller internettjänstleverantörer.
Behandling som inte sker i stor omfattning kan till exempel vara fall där
  • en enskild läkare behandlar patientuppgifter
  • en enskild advokat behandlar personuppgifter som rör fällande domar i brottmål samt överträdelser.

2. En koncern får utnämna ett enda dataskyddsombud om det på varje etableringsort är lätt att nå ett dataskyddsombud.

3. Om den personuppgiftsansvarige eller personuppgiftsbiträdet är en myndighet eller ett offentligt organ, får ett enda dataskyddsombud utnämnas för flera sådana myndigheter eller organ, med hänsyn till deras organisationsstruktur och storlek.

Datainspektionens kommentar

Olika organisationer kan alltså få dela på ett dataskyddsombud. En koncern kan ha ett dataskyddsombud för flera företag och flera myndigheter, till exempel kommuner, kan ha ett gemensamt dataskyddsombud. Tänk dock på att ett enda dataskyddsombud inte kan ha hur stor arbetsbörda som helst. Dataskyddsombudet kan inte ha hand om alltför många eller för stora organisationer, och hur mycket personuppgifter som organisationerna behandlar spelar också in.

Det är också viktigt att dataskyddsombudet är "lättillgängligt". Det innebär till exempel att de registrerade, de som arbetar internt inom organisationen och Datainspektionen lätt ska kunna hitta kontaktuppgifter till dataskyddsombudet. Det ska också vara lätt att komma i kontakt med dataskyddsombudet, som måste kunna kommunicera effektivt med de registrerade och med Datainspektionen.

4. I andra fall än de som avses i punkt 1 får eller, om så krävs enligt unionsrätten eller medlemsstaternas nationella rätt, ska den personuppgiftsansvarige eller personuppgiftsbiträdet eller sammanslutningar och andra organ som företräder kategorier av personuppgiftsansvariga eller personuppgiftsbiträden utnämna ett dataskyddsombud. Dataskyddsombudet får agera för sådana sammanslutningar och andra organ som företräder personuppgiftsansvariga eller personuppgiftsbiträden.

Datainspektionens kommentar
Även om det inte är obligatoriskt att utnämna ett dataskyddsombud kan det ibland vara bra för organisationerna att ändå göra det frivilligt. Ett dataskyddsombud hjälper organisationen i arbetet med dataskydd och fungerar som kontaktpunkt för Datainspektionen och de registrerade.
Om en organisation frivilligt utser ett dataskyddsombud gäller samma krav för dataskyddsombudets status, ställning och uppgifter som om utnämningen hade varit obligatorisk.

5. Dataskyddsombudet ska utses på grundval av yrkesmässiga kvalifikationer och, i synnerhet, sakkunskap om lagstiftning och praxis avseende dataskydd samt förmågan att fullgöra de uppgifter som avses i artikel 39.

Datainspektionens kommentar
Dataskyddsombudet ska ha tillräcklig kunskap om dataskyddslagstiftningen och om organisationens verksamhet för att kunna följa personuppgiftsbehandlingen och för att kunna säkerställa att personuppgifterna behandlas korrekt. Ju mer komplex personuppgiftsbehandlingen är, och ju större mängd känsliga uppgifter som behandlas, desto mer sakkunskap, stöd och resurser behöver dataskyddsombudet.
Det är viktigt att ett dataskyddsombud har
  • djupgående kunskap om dataskyddsförordningen
  • kunskap om dataskyddslagstiftning och hur den tillämpas nationellt och i EU
  • kunskap om organisationens it-system, datasäkerhet och dataskyddsbehov
  • kunskap om affärssektorn eller myndighetsregleringen och organisationen i fråga
  • förståelse av hur personuppgifter behandlas i organisationen
  • förmåga att främja en dataskyddskultur inom organisationen.

6. Dataskyddsombudet får ingå i den personuppgiftsansvariges eller personuppgiftsbiträdets personal, eller utföra uppgifterna på grundval av ett tjänsteavtal.

Datainspektionens kommentar
Dataskyddsombudet kan antingen vara en anställd i organisationen eller en konsult som utför uppgifterna som extern tjänsteleverantör.
En grupp av enskilda personer kan också utföra dataskyddsombudets uppgifter, under ansvar av en utsedd huvudkontakt och "ansvarig person". I sådana fall är det viktigt att alla personerna i gruppen uppfyller alla krav i dataskyddsförordningen. Datainspektionen rekommenderar att det finns en tydlig, skriftlig uppgiftsfördelning, och att en enda person utses till huvudkontakt och "ansvarig person".
För att vara lätt att nå bör dataskyddsombudet vara etablerat i EU, även om organisationen är etablerad utanför EU.

7. Den personuppgiftsansvarige eller personuppgiftsbiträdet ska offentliggöra dataskyddsombudets kontaktuppgifter och meddela dessa till tillsynsmyndigheten.

Datainspektionens kommentar
De organisationer som ska ha ett dataskyddsombud måste meddela dataskyddsombudets namn och kontaktuppgifter till Datainspektionen. Dataskyddsombudets kontaktuppgifter måste också offentliggöras så att de registrerade vet vart de kan vända sig.
Det är inget krav att offentliggöra dataskyddsombudets namn för allmänheten, även om det ibland kan vara bra. Däremot ska Datainspektionen få uppgift om dataskyddsombudets namn. Datainspektionen rekommenderar att organisationen även informerar sina anställda om dataskyddsombudets namn och kontaktuppgifter.
Den som är personuppgiftsombud enligt personuppgiftslagen blir inte automatiskt dataskyddsombud den 25 maj 2018. Möjligheten att meddela dataskyddsombudets kontaktuppgifter till Datainspektionen kommer tidigast i mars 2018.

Artikel 38: Dataskyddsombudets ställning

1. Den personuppgiftsansvarige och personuppgiftsbiträdet ska säkerställa att dataskyddsombudet på ett korrekt sätt och i god tid deltar i alla frågor som rör skyddet av personuppgifter.

2. Den personuppgiftsansvarige och personuppgiftsbiträdet ska stödja dataskyddsombudet i utförandet av de uppgifter som avses i artikel 39 genom att tillhandahålla de resurser som krävs för att fullgöra dessa uppgifter samt tillgång till personuppgifter och behandlingsförfaranden, samt i upprätthållandet av dennes sakkunskap.

Datainspektionens kommentar
Dataskyddsombudet måste ha de resurser som krävs för att kunna fullgöra sina uppgifter, till exempel
  • aktivt stöd från högsta ledningen för dataskyddsombudets arbete
  • aktivt stöd och information från andra avdelningar inom organisationen
  • tillräckligt med tid för att kunna fullgöra sina uppgifter
  • ekonomiska resurser
  • fortbildning
  • infrastruktur (lokaler, hjälpmedel, utrustning)
  • personal i förekommande fall.
All personal i organisationen ska informeras om att det finns ett dataskyddsombud och om vilka uppgifter dataskyddsombudet har.

3. Den personuppgiftsansvarige och personuppgiftsbiträdet ska säkerställa att uppgiftskyddsombudet inte tar emot instruktioner som gäller utförandet av dessa uppgifter. Han eller hon får inte avsättas eller bli föremål för sanktioner av den personuppgiftsansvarige eller personuppgiftsbiträdet för att ha utfört sina uppgifter. Dataskyddsombudet ska rapportera direkt till den personuppgiftsansvariges eller personuppgiftsbiträdets högsta förvaltningsnivå.

Datainspektionens kommentar
Dataskyddsombudet ska rapportera om sitt uppdrag till högsta förvaltningsnivå. Organisationen bör bland annat
  • bjuda in dataskyddsombudet att regelbundet delta i möten på högsta och mellanliggande förvaltningsnivå
  • låta dataskyddsombudet delta i beslut som har följder för dataskyddet
  • förmedla all relevant information till dataskyddsombudet så att ombudet i god tid kan ge lämpliga råd
  • dokumentera sina skäl i de fall dataskyddsombudets råd inte följs
  • rådfråga dataskyddsombudet omedelbart när en incident har inträffat
  • tydligt ange dataskyddsombudets exakta uppgifter och deras omfattning, särskilt när det gäller konsekvensbedömningar.
För att dataskyddsombudet ska kunna vara oberoende och självständigt är det inte tillåtet för den personuppgiftsansvarige eller personuppgiftsbiträdet att
  • ge instruktioner om hur dataskyddsombudet ska utföra sina uppgifter, till exempel hur en viss bestämmelse ska tolkas
  • straffa eller hota att straffa dataskyddsombudet för att ha utfört sina uppgifter.

4. Den registrerade får kontakta dataskyddsombudet med avseende på alla frågor som rör behandlingen av dennes personuppgifter och utövandet av dennes rättigheter enligt denna förordning.

Datainspektionens kommentar
Det är viktigt att dataskyddsombudet är "lättillgängligt". Det innebär till exempel att de registrerade, de som arbetar internt inom organisationen och Datainspektionen lätt ska kunna hitta kontaktuppgifter till dataskyddsombudet. Det ska också vara lätt att komma i kontakt med dataskyddsombudet, som måste kunna kommunicera effektivt med de registrerade och med Datainspektionen.

5. Dataskyddsombudet ska, när det gäller dennes genomförande av sina uppgifter, vara bundet av sekretess eller konfidentialitet i enlighet med unionsrätten eller medlemsstaternas nationella rätt.

Datainspektionens kommentar
För dataskyddsombud i det allmännas verksamhet gäller offentlighets- och sekretesslagens bestämmelser om sekretess. Det finns också ett lagförslag om att tystnadsplikt ska gälla för dataskyddsombud i privat sektor, om de får information om enskildas personliga eller ekonomiska förhållanden (se SOU 2017:39). Sekretessen/tystnadsplikten innebär dock inte att det är förbjudet för dataskyddsombudet att kontakta och samråda med Datainspektionen.

6. Dataskyddsombudet får fullgöra andra uppgifter och uppdrag. Den personuppgiftsansvarige eller personuppgiftsbiträdet ska se till att sådana uppgifter och uppdrag inte leder till en intressekonflikt.

Datainspektionens kommentar
Dataskyddsombudet får inte ha andra uppgifter som kan leda till intressekonflikter. Till exempel kan dataskyddsombudet inte vara med och fastställa ändamålen med och medlen för behandlingen av personuppgifter.
En tumregel kan vara att dataskyddsombudet inte ska tillhöra högsta ledningen (till exempel verkställande direktör, högste verkställande beslutsfattare, finansdirektör, chefsläkare, marknadsföringschef, personalchef eller it-chef). Även andra funktioner lägre ned i organisationsstrukturen kan vara olämpliga om de innebär att besluta om behandling av personuppgifter.
En intressekonflikt kan även uppstå om ett externt dataskyddsombud företräder den personuppgiftsansvarige eller personuppgiftsbiträdet vid domstol i dataskyddsärenden.

Artikel 39: Dataskyddsombudets uppgifter

1. Dataskyddsombudet ska ha minst följande uppgifter:

a) Att informera och ge råd till den personuppgiftsansvarige eller personuppgiftsbiträdet och de anställda som behandlar personuppgifter om deras skyldigheter enligt denna förordning och andra av unionens eller medlemsstaternas dataskyddsbestämmelser.

b) Att övervaka efterlevnaden av denna förordning, av andra av unionens eller medlemsstaternas dataskyddsbestämmelser och av den personuppgiftsansvariges eller personuppgiftsbiträdets strategi för skydd av personuppgifter, inbegripet ansvarstilldelning, information till och utbildning av personal som deltar i behandling och tillhörande granskning.

Datainspektionens kommentar
Dataskyddsombudet ska alltså övervaka efterlevnaden av dataskyddsförordningen. Det kan till exempel innebära att dataskyddsombudet
  • samlar in information om hur personuppgifter behandlas i organisationen
  • analyserar och kontrollerar om personalen följer bestämmelser om personuppgiftsbehandling
  • utfärdar rekommendationer till den personuppgiftsansvarige eller personuppgiftsbiträdet.

c) Att på begäran ge råd vad gäller konsekvensbedömningen avseende dataskydd och övervaka genomförandet av den enligt artikel 35.

Datainspektionens kommentar
Det är den personuppgiftsansvarige, inte dataskyddsombudet, som ska se till att organisationen gör konsekvensbedömningar när det behövs. Men den personuppgiftsansvarige eller personuppgiftsbiträdet ska rådfråga dataskyddsombudet, till exempel för att bedöma
  • om det behövs en konsekvensbedömning i ett visst fall
  • vilken metod som ska användas för konsekvensbedömningen
  • om det är bra att konsekvensbedömningen görs internt eller om en extern part ska göra den
  • vilka skyddsåtgärder som behövs för att begränsa eventuella risker för de registrerades rättigheter och intressen
  • om en konsekvensbedömning har utförts korrekt och om slutsatserna är korrekta.

d) Att samarbeta med tillsynsmyndigheten.

e) Att fungera som kontaktpunkt för tillsynsmyndigheten i frågor som rör behandling, inbegripet det förhandssamråd som avses i artikel 36, och vid behov samråda i alla andra frågor.

Datainspektionens kommentar
Dataskyddsombudet ska fungera som kontakt när Datainspektionen behöver dokument och information, till exempel för att kunna utreda, ge råd, korrigera eller ge tillstånd till en organisation.
Dataskyddsombudet ska vara bundet av sekretess eller konfidentialitet i enlighet med unionsrätten eller medlemsstaternas nationella rätt, men sekretess- eller konfidentialitetskravet innebär inte att det är förbjudet för dataskyddsombuden att kontakta och samråda med Datainspektionen.

2. Dataskyddsombudet ska vid utförandet av sina uppgifter ta vederbörlig hänsyn till de risker som är förknippade med behandling, med beaktande av behandlingens art, omfattning, sammanhang och syften.

Datainspektionens kommentar
Dataskyddsombuden ska prioritera och bör inrikta sitt arbete på problem som kan innebära en större risk för dataskyddet. De ska förstås inte försumma uppgiftsbehandlingar som innebär en jämförelsevis lägre risk. Syftet med detta pragmatiska tillvägagångssätt är att hjälpa dataskyddsombuden att ge goda råd till personuppgiftsansvariga om
  • vilka metoder de bör använda för konsekvensbedömningar
  • vilka områden som bör genomgå en intern eller extern revision av dataskyddet
  • vilka interna fortbildningsverksamheter som bör tillhandahållas till anställda eller ledningspersonal som ansvarar för uppgiftsbehandling
  • vilken typ av behandling som de bör ägna mer av sin tid och sina resurser åt.

Skäl 97

När en behandling utförs av en myndighet, med undantag av domstolar eller oberoende rättsliga myndigheter som en del av deras dömande verksamhet, eller när en behandling utförs i den privata sektorn av en personuppgiftsansvarig vars kärnverksamhet består av behandlingsverksamhet som kräver regelbunden och systematisk övervakning av de registrerade i stor omfattning, eller när den personuppgiftsansvariges eller personuppgiftsbiträdets kärnverksamhet består av behandling i stor omfattning av särskilda kategorier av personuppgifter och uppgifter som rör fällande domar i brottmål och överträdelser, bör en person med sakkunskap i fråga om dataskyddslagstiftning och förfaranden bistå den personuppgiftsansvarige eller personuppgiftsbiträdet för att övervaka den interna efterlevnaden av denna förordning. I den privata sektorn avser personuppgiftsansvarigas kärnverksamhet deras primära verksamhet och inte behandling av personuppgifter som kompletterande verksamhet. Den nödvändiga nivån på sakkunskapen bör fastställas särskilt i enlighet med den uppgiftsbehandling som utförs och det skydd som krävs för de personuppgifter som behandlas av den personuppgiftsansvarige eller personuppgiftsbiträdet. Denna typ av dataskyddsombud bör, oavsett om de är anställda av den personuppgiftsansvarige eller ej, kunna fullgöra sitt uppdrag och utföra sina uppgifter på ett oberoende sätt.