Dataskyddsombud

Ett dataskyddsombud (DSO), tidigare uppgiftsskyddsombud eller personuppgiftsombud, är en fysisk eller juridisk person som enligt Europeiska unionens dataskyddsförordning (GDPR) ansvarar för vissa rådgivande och övervakande uppgifter gällande skydd av personuppgifter inom en personuppgiftsbehandlande organisation (till exempel ett företag eller en myndighet).^[1] Till dataskyddsombudets uppgifter hör bland annat att ge information och råd till den uppdragsgivande organisationen och dess anställda i frågor som rör dataskydd, att övervaka efterlevnaden av tillämpliga dataskyddsbestämmelser samt att samarbeta med ansvarig tillsynsmyndighet i frågor som rör behandling av personuppgifter.^[2]^[3] Ett dataskyddsombud har även till uppgift att svara på frågor från registrerade om behandlingen av deras personuppgifter och utövandet av deras rättigheter.^[4] Därutöver får ett dataskyddsombud fullgöra andra uppgifter och uppdrag inom sin organisation, så länge det inte leder till en intressekonflikt.^[5] Dataskyddsombudet är inte självt ansvarigt för att den uppdragsgivande organisationen följer dataskyddsförordningen, utan detta ansvar ligger alltid hos själva organisationen.^[2]

Enligt dataskyddsförordningen måste personuppgiftsbehandlande myndigheter och offentliga organ (utom domstolar i sin dömande verksamhet) samt organisationer vars kärnverksamhet består av behandling av personuppgifter i stor omfattning som ”kräver regelbunden och systematisk övervakning av de registrerade” eller som omfattar känsliga personuppgifter (till exempel uppgifter om hälsa) eller uppgifter om brott, utnämna ett dataskyddsombud.^[6] Även andra organisationer kan, enligt andra bestämmelser i unionsrätten eller i en medlemsstats nationella lagstiftning, behöva utse ett dataskyddsombud. För övriga organisationer är det frivilligt, men om ett dataskyddsombud utses måste det ske i enlighet med dataskyddsförordningens bestämmelser. En koncern kan utnämna ett enda dataskyddsombud om ombudet är enkelt att nå på samtliga verksamhetsställen. Även myndigheter och offentliga organ får i vissa fall utnämna gemensamma dataskyddsombud.^[7]

Ett dataskyddsombud ska enligt dataskyddsförordningen utses på grundval av sina yrkesmässiga kvalifikationer, särskilt vad gäller dess sakkunskaper i dataskyddsfrågor och förmåga att fullgöra sina uppgifter enligt förordningen.^[2]^[7] Kontaktuppgifterna till ombudet måste offentliggöras och meddelas till ansvarig tillsynsmyndighet. Dataskyddsombudet får ingå i den uppdragsgivande organisationens personal (men kan också anlitas externt),^[7] men organisationen måste säkerställa att ombudet har en oberoende ställning och inte blir påverkad av andra inom organisationen. Ett dataskyddsombud får inte avsättas eller bli föremål för sanktioner för att ha utfört sina uppgifter. Ombudet ska rapportera direkt till den uppdragsgivande organisationens högsta förvaltningsnivå.^[8]

I det tidigare dataskyddsdirektivet fanns möjlighet för medlemsstaterna att i nationell lagstiftning föreskriva bestämmelser om ”uppgiftsskyddsombud”. Vissa bestämmelser om uppgiftsskyddsombud fanns till exempel i den svenska personuppgiftslagen, där de kallades ”personuppgiftsombud”. Genom dataskyddsförordningen, som ersatte dataskyddsdirektivet den 25 maj 2018, infördes istället de nuvarande enhetliga bestämmelserna om ”dataskyddsombud”.

Se även redigera

Referenser redigera

^ Frydlinger, David; Tobias Edvardsson, Caroline Olstedt Carlström och Sandra Beyer (2018). GDPR - juridik, organisation och säkerhet enligt dataskyddsförordningen. Norstedts Juridik. sid. 97–108. ISBN 978-913911431-4
^ [a b c] ”Dataskyddsombud”. Integritetsskyddsmyndigheten. 10 december 2021. https://www.imy.se/verksamhet/dataskydd/det-har-galler-enligt-gdpr/dataskyddsombud/. Läst 4 augusti 2022.
^ ”Artikel 39 i konsoliderad version av Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning)”. EUT L 119, 4.5.2016 (konsoliderad version: 2016R0679, 04.05.2016, s. 35). EUR-Lex. https://eur-lex.europa.eu/legal-content/SV/TXT/PDF/?uri=CELEX:02016R0679-20160504.
^ ”Artikel 38.4 i konsoliderad version av Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning)”. EUT L 119, 4.5.2016 (konsoliderad version: 2016R0679, 04.05.2016, s. 34). EUR-Lex. https://eur-lex.europa.eu/legal-content/SV/TXT/PDF/?uri=CELEX:02016R0679-20160504.
^ ”Artikel 38.6 i konsoliderad version av Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning)”. EUT L 119, 4.5.2016 (konsoliderad version: 2016R0679, 04.05.2016, s. 34). EUR-Lex. https://eur-lex.europa.eu/legal-content/SV/TXT/PDF/?uri=CELEX:02016R0679-20160504.
^ ”Måste ni utse ett dataskyddsombud?”. Integritetsskyddsmyndigheten. 19 juli 2022. https://www.imy.se/verksamhet/dataskydd/det-har-galler-enligt-gdpr/dataskyddsombud/maste-ni-utse-ett-dataskyddsombud/. Läst 4 augusti 2022.
^ [a b c] ”Artikel 37 i konsoliderad version av Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning)”. EUT L 119, 4.5.2016 (konsoliderad version: 2016R0679, 04.05.2016, s. 33–34). EUR-Lex. https://eur-lex.europa.eu/legal-content/SV/TXT/PDF/?uri=CELEX:02016R0679-20160504.
^ ”Artikel 38 i konsoliderad version av Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning)”. EUT L 119, 4.5.2016 (konsoliderad version: 2016R0679, 04.05.2016, s. 34). EUR-Lex. https://eur-lex.europa.eu/legal-content/SV/TXT/PDF/?uri=CELEX:02016R0679-20160504.

Externa länkar redigera

Riktlinjer om dataskyddsombud antagna av artikel 29-arbetsgruppen för skydd av personuppgifter

EU-portalen – temasidan för Europeiska unionen på svenskspråkiga Wikipedia.

[1] Frydlinger, David; Tobias Edvardsson, Caroline Olstedt Carlström och Sandra Beyer (2018). GDPR - juridik, organisation och säkerhet enligt dataskyddsförordningen. Norstedts Juridik. sid. 97–108. ISBN 978-913911431-4

[Integritetsskyddsmyndigheten:_Dataskyddsombud-2] [a b c] ”Dataskyddsombud”. Integritetsskyddsmyndigheten. 10 december 2021. https://www.imy.se/verksamhet/dataskydd/det-har-galler-enligt-gdpr/dataskyddsombud/. Läst 4 augusti 2022.

[3] ”Artikel 39 i konsoliderad version av Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning)”. EUT L 119, 4.5.2016 (konsoliderad version: 2016R0679, 04.05.2016, s. 35). EUR-Lex. https://eur-lex.europa.eu/legal-content/SV/TXT/PDF/?uri=CELEX:02016R0679-20160504.

[4] ”Artikel 38.4 i konsoliderad version av Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning)”. EUT L 119, 4.5.2016 (konsoliderad version: 2016R0679, 04.05.2016, s. 34). EUR-Lex. https://eur-lex.europa.eu/legal-content/SV/TXT/PDF/?uri=CELEX:02016R0679-20160504.

[5] ”Artikel 38.6 i konsoliderad version av Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning)”. EUT L 119, 4.5.2016 (konsoliderad version: 2016R0679, 04.05.2016, s. 34). EUR-Lex. https://eur-lex.europa.eu/legal-content/SV/TXT/PDF/?uri=CELEX:02016R0679-20160504.

[6] ”Måste ni utse ett dataskyddsombud?”. Integritetsskyddsmyndigheten. 19 juli 2022. https://www.imy.se/verksamhet/dataskydd/det-har-galler-enligt-gdpr/dataskyddsombud/maste-ni-utse-ett-dataskyddsombud/. Läst 4 augusti 2022.

[2016R0679,_04.05.2016,_s._33-34-7] [a b c] ”Artikel 37 i konsoliderad version av Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning)”. EUT L 119, 4.5.2016 (konsoliderad version: 2016R0679, 04.05.2016, s. 33–34). EUR-Lex. https://eur-lex.europa.eu/legal-content/SV/TXT/PDF/?uri=CELEX:02016R0679-20160504.

[8] ”Artikel 38 i konsoliderad version av Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning)”. EUT L 119, 4.5.2016 (konsoliderad version: 2016R0679, 04.05.2016, s. 34). EUR-Lex. https://eur-lex.europa.eu/legal-content/SV/TXT/PDF/?uri=CELEX:02016R0679-20160504.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]