Tillbaka till huvudmeny

Vad gör ett dataskyddsombud?

Behöver ni utse ett dataskyddsombud? Vi har sammanfattat rollens viktigaste delar och vad ni bör tänka på.

Det är viktigt att dataskyddsombudet har en oberoende roll inom organisationen. Ofta kan rollen innebära dubbla lojaliteter, då den har en både stöttande och en granskande funktion. Dataskyddsombudet ska både bidra till att lagar och regler efterföljs gällande GDPR samt vara en länk mellan organisationen och Integritetsskyddsmyndigheten (IMY). För att klara av det krävs en hög förståelse för verksamheten och hur ni behandlar personuppgifter. 

Tänk på att det inte går att flytta över själva personuppgiftsansvaret till en enskild person även om verksamheten anställer eller anlitar ett dataskyddsombud. Dataskyddsombudet är inte personligen ansvarig för regelefterlevnaden. Ansvaret ligger på den personuppgiftsansvarige, alltså organisationen som juridisk person.

Dataskyddsombudets grunduppgifter

Enligt artikel 39.1 i GDPR ska dataskyddsombudet genomföra ett antal grunduppgifter: 

  • Ge information och råd till organisationen om dess skyldigheter enligt relevant dataskyddslagstiftning.
  • Övervaka och se till att organisationen följer såväl gällande lagar och regler som organisationens egna strategier.
  • Ge råd om och övervaka konsekvensbedömningar avseende dataskydd
  • Samarbeta med och vara kontaktpunkt för IMY eller annan relevant tillsynsmyndighet.

Vill du få en mer fördjupad bild av rollen som dataskyddsombud? Ladda ner vårt faktablad!

Ladda ner faktabladet

En viktig del är att ombudet tar hänsyn till de risker som är förknippade med varje behandling inom organisationen.

I praktiken brukar dataskyddsombudet ofta bli ansvarig för operativa delar såsom att: 

  • initiera, revidera och följa upp arbetet med dataskyddsfrågor
  • samordna registerförteckningen
  • stötta i arbetet med att ta fram rutiner och riktlinjer för verksamheten
  • initiera analysarbetet och delta i konsekvensbedömningar (DPIA)
  • vara med och ta fram biträdesavtal när det behövs
  • hantera personuppgiftsincidenter

Vi rekommenderar att varje verksamhet tar fram en arbetsbeskrivning som konkretiserar förväntningarna som finns på ombudet. Tänk då på att rollen som dataskyddsombud ska vara granskande, likt en revisor. Om hen samtidigt ska utföra arbetet och fatta beslut gällande dataskyddsfrågor kan hen i ett senare skede behöva granska sig själv, vilket inte är lämpligt. Dataskyddsombudet bör därför inte vara den som bestämmer ändamål och medel för en behandling av personuppgifter, till exempel, eller vara den som skriver under ett biträdesavtal.

Känns det svårt? Vi hjälper er!

I djungeln av GDPR är vi gärna er hjälpande hand. Med tjänsten Privacy as a Service får ni en kombination av våra verktyg och rådgivning enligt vår metod Systematiskt dataskyddsarbete (SDA) – innehållandes fyra delar: 

  • Nulägesanalys av ert GDPR-arbete
  • Identifiering av riskområden
  • Åtgärdsförslag och rekommendationer av DSO-certifierad projektledare
  • Kontinuerlig uppföljning

Mest populära

  • Räknas restid som arbetstid?

    Betald restid – en definitionsfråga med flera svar. Många yrkesgrupper spenderar många timmar i veckan på att resa mellan olika projekt eller arbetsplatser. Det finns tillfällen då restid räknas som arbetstid. Däremot räknas inte resan till och från den ordinarie arbetsplatsen som restid – dina medarbetare har alltså inte rätt till kompensation för tiden de lägger på att ta sig till arbetet.

  • Nya belopp och procent – Lönefakta 2023

    Nytt år innebär nya belopp och procent för dig som arbetar med lön och ekonomi. Dags att bekanta sig med årets sammanställning från Skatteverket om du inte redan gjort det.