Dataskyddsombud | Dataombudsmannens byrå

Dataskyddsombudets kontaktuppgifter ska finnas offentligt tillgängliga till exempel på organisationens webbplats. Dataskyddsombudet kan också ha ett eget kundtjänstnummer eller kontaktformulär.

Dataskyddsombudets e-postadress kan till exempel vara i formatet [email protected]. Organisationen kan efter eget gottfinnande även uppge dataskyddsombudets namn.

Dataskyddsombudets kontaktuppgifter ska vara lättillgängliga. De registrerade kan ta kontakt med dataskyddsombudet i alla ärenden som gäller behandlingen av deras personuppgifter och utövandet av den registrerades rättigheter.

De registrerade kan kontakta dataskyddsombudet i alla frågor som gäller behandlingen av deras personuppgifter och utövandet av den registrerades rättigheter i den ifrågavarande organisationen.

Dataskyddsombudets kontaktuppgifter ska finnas enkelt tillgängliga till exempel på organisationens webbplats. Det är också bra om övrig personal i organisationen vet att frågor som gäller behandling av personuppgifter kan riktas till dataskyddsombudet. Vanligtvis är det mer effektivt både för den registrerade och för organisationen om den registrerade kontaktar dataskyddsombudet direkt.

Genom att svara på frågor om de registrerades rättigheter får dataskyddsombudet värdefull information om nivån på dataskyddet och iakttagandet av lagstiftningen inom organisationen. Det är viktigt att dataskyddsombudet får reda på alla brister inom dataskydd.

Dataskyddsombudet ska vara oberoende och inte ha intressekonflikter med dataskyddsombudets uppgifter. Eftersom varje organisation är olik, ska intressekonflikter granskas från fall till fall.

Dataskyddsombudet kan inte ha en sådan ställning eller uppgift där han eller hon ska fastställa syftena och metoderna för behandlingen av personuppgifter. Definitionen av syftena och metoderna för behandlingen av uppgifterna är en uppgift som hör till den personuppgiftsansvarige. Intressekonflikter kan uppkomma om till exempel ansvarspersonen för datasäkerhet eller en företrädare för den högsta ledningen utnämnts till dataskyddsombudet.

Bestämda examenskrav har inte föreskrivits. Till exempel påverkar omfattande behandling av personuppgifter som hör till särskilda kategorier av personuppgifter i praktiken behörighetsvillkoren för dataskyddsombudet.

När dataskyddsombudet utnämns ska personens yrkeskompetens, särskilt sakkunskap om dataskyddslagstiftningen och praxis i branschen samt färdigheter att sköta de uppgifter som hör till honom eller henne observeras. Dataskyddsombudet ska bland annat följa upp att dataskyddslagstiftningen iakttas inom organisationen. I dataskyddsombudets uppgifter ingår även att ge råd åt den personuppgiftsansvarige samt anställda som behandlar personuppgifter i dataskyddsärenden.

Dataskyddsförordningen kräver att en organisation utnämner ett dataskyddsombud om den

i stor omfattning behandlar känsliga uppgifter
följer människor i stor omfattning, regelbundet och systematiskt
är en aktör inom den offentliga förvaltningen och inte är en domstol.

Av denna skyldighet i förordningen kan det anses följa att det hela tiden ska finnas ett utnämnt dataskyddsombud.

En organisation ska utse ett dataskyddsombud, om organisationen

i stor omfattning behandlar känsliga uppgifter
följer människor i stor omfattning, regelbundet och systematiskt
är en aktör inom den offentliga förvaltningen och inte är en domstol.

Av denna skyldighet i dataskyddsförordningen kan det anses följa att det hela tiden ska finnas ett utnämnt dataskyddsombud.

Organisationen ska ordna med en vikarie för dataskyddsombudet. Vikarien sköter dataskyddsombudets uppgifter under semestrar. Anmälningar om personuppgiftsincidenter och ärenden gällande den registrerades rättigheter får inte dröja på grund av dataskyddsombudets frånvaro.

Organisationen ska sträva efter att även vikarien för dataskyddsombudet har en oberoende ställning.

Det är bra om dataskyddsombudets e-postadress är anknuten till rollen, till exempel [email protected]. Då kan vikarien läsa e-posten, och dataskyddsombudets kommunikation löper smidigt även i samband med frånvaro och personbyten.

Den personuppgiftsansvarige och personuppgiftsbiträden ska säkerställa att personuppgifter behandlas i enlighet med anvisningar. Personalen ska ges introduktion, anvisningar och utbildning. Personalens dataskyddskunskaper kan även mätas med hjälp av tester.

Introduktionen och anvisningarna kan innehålla information om till exempel följande:

Vad är en personuppgift
Hur behandlas personuppgifter
Vilka personuppgifter får behandlas (endast sådana som är nödvändiga för arbetsuppgifterna)
I vilka informationssystem behandlas personuppgifter
Hur ska dataskyddet och användaradministrationen skötas
Hur agera vid personuppgiftsincidenter (till exempel om ett e-postmeddelande skickas till fel adress)
Vem är organisationens dataskyddsombud, vad ingår i hans eller hennes uppgifter och vad kan han eller hon hjälpa personalen med

Det är viktigt att även andra organisations- och branschspecifika behov vid behandlingen av personuppgifter identifieras, och att introduktionen och handledningen planeras efter behoven.

Att ge anvisningar och introduktion är också en del av den personuppgiftsansvariges ansvarsskyldighet.

Vanliga frågor om dataskyddsombud

Genvägar

Vanliga frågor om dataskyddsombud

Måste dataskyddsombudets namn och kontaktuppgifter finnas på vår organisations webbplats?

I vilka slags frågor kan de registrerade kontakta dataskyddsombudet?

Vem kan inte vara dataskyddsombud?

Vilken utbildning och erfarenhet ska dataskyddsombudet ha?

Vårt dataskyddsombud kommer att bytas. Ska det alltid finnas ett utnämnt dataskyddsombud eller kan vi vara utan dataskyddsombud tills den nya personen börjar arbetet?

Kan vi utnämna ett dataskyddsombud frivilligt?

Måste dataskyddsombudet ha en vikarie till exempel under semestrar?

Vilka saker bör man ta hänsyn till i introduktionen?

Genvägar