En del företag behöver utse ett dataskyddsombud

En del företag behöver utse ett dataskyddsombud, som också ska bli registrerad hos dataskyddsmyndigheten. Däremot måste inte alla företag göra detta, men alla företag har rätt att göra det. Bestämmelser om dataskyddsombud framgår i avsnitt 4 GDPR (artiklarna 37–39 GDPR).

rättsliga grunder enligt dataskyddsförordningen GDPR

Dataskyddsombud

Ett dataskyddsombud har en viktig roll i företag och måste vara en fysisk person, antingen i egenskap av anställd i företaget eller en externt anlitad konsult. Ett företag kan därmed inte i sig agera som ett dataskyddsombud.

Dataskyddsombudet ska kort sagt se till att företaget följer GDPR vid all sin behandling av personuppgifter. Exempelvis genom att genomföra olika kontroller.

Innan GDPR började gälla behövde företag i Sverige inte utse ett dataskyddsombud och därför är detta något nytt i svensk lagstiftning. Däremot är det inte nytt i alla EU-länder, eftersom det tidigare fanns ett liknande system i vissa EU-länder.

Dataskyddsombudets arbetsuppgifter

Dataskyddsombud har en oberoende roll. Personer som är dataskyddsombud behöver ha kunskap om GDPR. Ju mer komplicerad behandling företaget utför, desto mer kunskap bör personen ha. Dessutom ska personen känna till verksamheten som företaget bedriver. De personliga egenskaperna hos dataskyddsombudet är också viktiga.

En person kan vara dataskyddsombud åt ett eller flera företag. Dessutom kan ett utsett dataskyddsombud ha flera olika arbetsuppgifter inom företaget. De ska bland annat samla in information om behandlingen av personuppgifter som företaget utför. Dataskyddsombudet ska också ge råd inom företaget och vara tillgänglig för både anställda och registrerade.

Om ett företag ska genomföra en konsekvensbedömning, ska dataskyddsombudet vara behjälplig i ärendet och ge råd. Exempel på konsekvensbedömningar är en konsekvensbedömning av dataskydd och konsekvensbedömning av dataöverföringar.

Vid en eventuell tillsyn från IMY, som är den svenska dataskyddsmyndigheten, ska dataskyddsombudet samarbeta med myndigheten och även fungera som en kontaktpunkt mellan dataskyddsmyndigheten och företaget.

Mer information om de arbetsuppgifter ett dataskyddsombud har framgår i artikel 39 GDPR.

Dataskyddsombud har en oberoende roll. Personer som är dataskyddsombud behöver ha kunskap om GDPR. Ju mer komplicerad behandling företaget utför, desto mer kunskap bör personen ha. Dessutom ska personen känna till verksamheten som företaget bedriver. De personliga egenskaperna hos dataskyddsombudet är också viktiga.

En person kan vara dataskyddsombud åt ett eller flera företag. Dessutom kan ett utsett dataskyddsombud ha flera olika arbetsuppgifter inom företaget. De ska bland annat samla in information om behandlingen av personuppgifter som företaget utför. Dataskyddsombudet ska också ge råd inom företaget och vara tillgänglig för både anställda och registrerade.

Om ett företag ska genomföra en konsekvensbedömning, ska dataskyddsombudet vara behjälplig i ärendet och ge råd. Exempel på konsekvensbedömningar är en konsekvensbedömning av dataskydd och konsekvensbedömning av dataöverföringar.

Vid en eventuell tillsyn från IMY, som är den svenska dataskyddsmyndigheten, ska dataskyddsombudet samarbeta med myndigheten och även fungera som en kontaktpunkt mellan dataskyddsmyndigheten och företaget.

Mer information om de arbetsuppgifter ett dataskyddsombud har framgår i artikel 39 GDPR.

Offentliggöra kontaktuppgifterna tillhörande dataskyddsombudet

Företaget ska offentliggöra kontaktuppgifterna till dataskyddsombudet, vilket brukar ske i integritetspolicyn eller annan lämplig plats på företagets webbplats. En integritetspolicy kan även vara kallad för dataskyddspolicy, sekretesspolicy eller personuppgiftspolicy. Dessa är olika benämningar för samma dokument som ska bli upprättat och presenterat i enlighet med artiklarna 13–14 GDPR.  

Företag kan vara både personuppgiftsansvarig och personuppgiftsbiträde

Ett företag såsom en redovisningsbyrå kan vara ett personuppgiftsbiträde till företaget som den behandlar personuppgifter åt. Däremot kan det fortfarande vara en personuppgiftsansvarig i andra sammanhang. Till exempel om redovisningsbyrån har anställda och behandlar deras personuppgifter.

Ansvar

Det är den personuppgiftsansvarige eller personuppgiftsbiträdet som dataskyddsombudet arbetar för, som har ansvar för att behandlingen av personuppgifterna är korrekt. Detta innebär att dataskyddsombudet inte bär ansvaret över detta.  Med andra ord kan inte dataskyddsombudet få en sanktionsavgift från IMY vid eventuella överträdelser mot GDPR.

Ett dataskyddsombud till flera företag inom en koncern

Om ett företag är en del av en koncern, är det möjligt att utse ett enda dataskyddsombud till flera företag inom koncernen. Däremot är det viktigt att tänka på att dataskyddsombudet ska vara tillgängligt för de registrerade, anställda och den nationella dataskyddsmyndigheten. Dessutom ska det vara enkelt att nå ombudet. Detta kan bli svårt om till exempel ett moderbolag har flera dotterbolag i olika länder. Därför kan det vara bra att utse flera dataskyddsombud i vissa fall.

Vi skriver och granskar avtal till fasta priser

Gratis juridikskolor

Vi driver olika gratis juridikskolor på LinkedIn och Instagram. Dessutom sammanfattar vi intressanta nyheter, svarar på frågor och beskriver vanliga juridiska begrepp. Vi har startat dessa juridikskolor för att vi vill lära ut juridik på ett roligt sätt till företagare.

På vår hemsida och Instagram publicerar vi även olika juridiska quiz. Där kan du testa dina juridiska kunskaper inom olika områden, exempelvis avtalsrätt och GDPR.

juridikskola online avtal avtalsrätt digitala juristerna
Rulla till toppen
Call Now Button