Anmälningsskyldigheten till dataombudsmannens byrå ändras den 25 maj
Till dataombudsmannens byrå har skickats många onödiga anmälningar om behandlingen av personuppgifter. Om behandlingen av personuppger baserar sig exempelvis på samtycke, kundrelation eller medlemskap behövs anmälan inte göras till dataombudsmannen. Dataombudsmannens byrå svarar inte på onödiga anmälningar. Anmälningsskyldigheten för den registeransvariga ändras den 25 maj 2018, då EU:s allmänna dataskyddsförordning börjar tillämpas.
Obligatoriska anmälningar som baserar sig på dataskyddsförordningen
F.r.o.m. den 25 maj organisationer ska vara redo att anmäla om
- förhandssamråd
- dataskyddskränkningar
- dataskyddsansvarig.
I dataskyddsförordningen föreskrivs om den dataskyddsansvarigas skyldighet att göra en konsekvensbedömning gällande dataskyddet, om en behandling av personuppgifter sannolikt leder till hög risk. Konsekvensbedömning ska göras bland annat om det är fråga om en bedömning som baserar sig på systematiskt och automatiserat beslutsfattande.
En anmälan som gjorts under personuppgiftslagen ersätter inte en konsekvensbedömning. Även den registeransvariga som gjort anmälan ska bedöma, om organisationen ska göra en konsekvensbedömning. Tillsynsmyndigheten ska höras på förhand i sådana fall, där man inte tillräckligt kan ingripa i identifierade risker.
Enligt dataskyddsförordningen ska en registeransvarig till dataombudsmannen anmäla en dataskyddskränkning av personuppgifter, om det kan föranleda en risk för fysiska personers rättigheter och friheter.
Dessutom ska till tillsynsmyndigheten anmälas kontaktinformationen för den dataskyddsansvariga i organisationen. En dataskyddsansvarig ska utses, om
- den registeransvariga verkar inom den offentliga förvaltningen (med undantag för domstolar)• kärnverksamheten kräver regelbunden och systematisk uppföljning av de registrerade i stor omfattning
- behandlingen av personuppgifter är omfattande, riktar sig mot särskilda personuppgiftsgrupper såsom hälsouppgifter, etniskt ursprung, politiska åsikter, religiös övertygelse eller sexuell läggning eller uppgifter som gäller brott.
Till dataskyddsombudsmannen ska också anmälas om man bedriver kreditupplysningsverksamhet samt inleder behandling av förmedlingsuppgifter. Om dessa skyldigheter föreskrivs i kreditupplysningslagen och i lagen om tjänster inom elektronisk kommunikation (fram till 1.6.2018 informationssamhällsbalken).