Dataskyddsombud

Ett dataskyddsombud är en organisationsintern sakkunnig, som följer behandlingen av personuppgifter och ger hjälp vad gäller efterlevnaden av dataskyddsbestämmelserna.

Dataskyddsombudet

  • följer efterlevnaden av dataskyddsbestämmelserna i hela organisationen och lyfter fram brister som det upptäckt
  • ger information och råd om skyldigheterna enligt dataskyddsbestämmelserna till ledningen och arbetstagare som behandlar personuppgifter
  • ger på begäran råd om hur konsekvensbedömningen ska göras och övervakar genomförandet av denna
  • är kontaktperson för de registrerade i ärenden som gäller behandling av personuppgifter
  • är kontaktperson gentemot dataombudsmannens byrå och samarbetar med dataombudsmannens byrå.

Anvisningar till den organisation som utnämnt ett dataskyddsombud

1

Ledningen ska stödja dataskyddsombudet i enlighet med dataskyddslagstiftningen och samarbeta med dataskyddsombudet så att hen kan bygga upp sin roll på ett tillräckligt omfattande och oberoende sätt.

2

Dataskyddsombudet ska ha tillräckliga resurser, alltså tillräckligt med arbetstid, arbetsredskap och kompetens för att kunna utföra sin uppgift på ett adekvat sätt. Dataskyddsombudet bör ha möjlighet att uppdatera sin kompetens genom utbildning. Vid utbildning bör man beakta bland annat EU:s nya regelverk om digitala marknader och artificiell intelligens om det är väsentligt för dataskyddsombudets uppgifter.

3

Dataskyddsombudet bör ha en ersättare eftersom inlämning av anmälningar om personuppgiftsincidenter och skötseln av frågor som handlar om den registrerades rättigheter inte får dra ut på tiden på grund av dataskyddsombudets frånvaro.

4

Dataskyddsombudet eller hans eller hennes team tas med i ett så tidigt skede som möjligt i all behandling av dataskyddsfrågor.

5

Alla väsentliga uppgifter ska tillställas dataskyddsombudet utan dröjsmål, så att ombudet kan ge ändamålsenliga råd. Det rekommenderas att dataskyddsombudet alltid är på plats då beslut som påverkar dataskyddet fattas.

6

Dataskyddsombudets uppgifter och skyldigheter bör fastställas tydligt i skriftlig form och organisationens personal ska upprättas om dem.

7

Dataskyddsombudet ska ha en möjlighet att rapportera direkt till högsta ledningen. Dataskyddsombudet kallas regelbundet till möten för ledningen på den översta nivån eller mellannivån.

8

Dataskyddsombudets syn ska alltid ges behörig vikt. Vid eventuella meningsskiljaktigheter finns det skäl att dokumentera grunderna till att dataskyddsombudets råd inte följs.

9

Dataskyddsombudet ska höras så fort som möjligt i händelse av en personuppgiftsincident eller ett annat problem som anknyter till dataskyddet.

10

Dataskyddsombuden ansvarar inte personligen för brott mot den allmänna dataskyddsförordningen. Efterlevnaden av dataskyddsbestämmelserna ligger på den personuppgiftsansvariges och personuppgiftsbiträdets ansvar.

11

Dataskyddsombudet ska vara oberoende och ombudet kan inte ha konflikterande intressen med sina uppgifter som dataskyddsombud. Eftersom alla organisationer är olika ska intressekonflikter granskas från fall till fall. Ombudet kan alltså inte ha en ställning eller uppgift där hen ska fastställa ändamålen och metoderna för behandlingen av personuppgifter eftersom det är den personuppgiftsansvarigas uppgift.

12

Dataskyddsombudet får inte ger instruktioner som gäller utförandet av ombudets uppgifter. Dataskyddsombudet får inte avsättas eller bli föremål för sanktioner för att ha utfört sina uppgifter.

Läs mer:
Anvisningar till organisationer som utnämnt dataskyddsombud (pdf)

Vanliga frågor om dataskyddsombud

Utnämning av dataskyddsombud

​​​​​Dataskyddsförordningen: artiklarna 37‒39, introduktionsdelens punkt 97 (på EUR-Lex webbplats)

Riktlinjer om dataskyddsombud (pdf)

​​​​​​​​​​​​​Europeiska dataskyddsstyrelsens rapport om utredningen av dataskyddsombudens roll och ställning på dataskyddsstyrelsens webbplats (på engelska)​​​​​​​