Hur är det nu med dataskyddsombud, måste man ha det? Vem måste? Och finns det anledning att kanske vilja ha ett dataskyddsombud även om det inte är ett krav?

Vi börjar från början. Inom en organisation finns det de som är ansvariga för behandling av personuppgifter (personuppgiftsansvarig) och det kan också finnas de som biträder i annans hantering av personuppgifter (personuppgiftsbiträde). Personuppgiftsansvarig är den som ansvarar för att behandling av personuppgifter inom organisationen sker i enlighet med dataskyddsförordningen. Den ansvarige ska tillse att tekniska och organisatoriska åtgärder inom organisationen finns etablerade. Beroende på omfattningen av verksamheten är det en relativt diger uppgift, särskilt om man inte historiskt sett beaktat möjligheten till att GDPR skulle landa år 2018. Kortfattat tror jag att det finns vissa organisationer som ännu minns dagarna i april 2018, dagarna då det lilla sista skulle finjusteras för att tillse att just er organisation uppfyllde regelverket. Lättare var det förstås för både våra vänner i Tyskland och Spanien för de hade redan en hel del av lagstiftningen sedan flera år tillbaka och inte fått samma möjlighet till nystart som vi här i Sverige.

Hursomhelst, det vi alla undrar är förstås vad är ett dataskyddsombud? Dataskyddsombudet är personen som mot bakgrund av dataskyddsförordningen har en roll att både stödja och övervaka så att behandling av personuppgifter sker korret inom en organisation. Personen ska ges insyn i all behandling, det går således inte att välja ut en tårtbit att bevaka, och vara delaktig i de frågor som kommer upp gällande just behandling av personuppgifter. Det ska vara en person som har direkt kontakt med högsta ledning, hon ska vara oberoende och får inte heller avsättas på grund av de åtgärder hon gör. Detta ställer självfallet höga krav på dataskyddsombudet som ska besitta expertkunskap inom dataskyddsförordningen, ha förståelse för organisationen, förstå vilka behandlingar som utförs mm.

Är det obligatoriskt med dataskyddsombud? Ja, i förordningen går att utläsa att Den personuppgiftsansvarige och personuppgiftsbiträdet ska under alla omständigheter utnämna ett dataskyddsombud om:
a) behandlingen genomförs av en myndighet eller ett offentligt organ, förutom när detta sker som en del av domstolarnas dömande verksamhet,
b) den personuppgiftsansvariges eller personuppgiftsbiträdets kärnverksamhet består av behandling som, på grund av sin karaktär, sin omfattning och/eller sina ändamål, kräver regelbunden och systematisk övervakning av de registrerade i stor omfattning, eller
c) den personuppgiftsansvariges eller personuppgiftsbiträdets kärnverksamhet består av behandling i stor omfattning av särskilda kategorier av uppgifter i enlighet med artikel 9 (not. känsliga uppgifter såsom ex ras, religion facktillhörighet, politiska åsikter, genetiska uppgifter mm) och personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott, som avses i artikel 10.

Kortfattat kan nämnas att punkten b) är vid i sin utformning innebärande att det träffar exempelvis sjukvård och e-handel som tillämpar profilering och kundsegmentering. De större organisationerna kommer med all sannolikhet att träffas av att behöva utse ett dataskyddsombud. Sedan finns det förstås de organisationer som har samma ansvar som de större organisationerna men inte besitter expertkunskapen som kanske borde se över nyttan med ett data­skyddsombud.

Tidigare publicerat i Affärsstaden 08 – 2018

Elisabeth Wedenberg

Advokat,
Maminza Advokatbyrå AB

Elisabeth Wedenberg

Tillbaka till krönikor