Så här resonerar Datainspektionen:
Om ni svarar ja på någon av de här tre frågorna måste ni ha ett dataskyddsombud:
* Är ni en myndighet eller en folkvald församling, det vill säga ett offentligt organ?
* Har ni som kärnverksamhet att regelbundet, systematiskt och i stor omfattning övervaka enskilda personer?
* Har ni som kärnverksamhet att behandla känsliga personuppgifter eller uppgifter om brott i stor omfattning?
Offentligt organ
Offentliga organ i Sverige är myndigheter och folkvalda organ: riksdagen, kommunfullmäktige, landstingsfullmäktige och regionfullmäktige.
Vad är inte offentliga organ?
Privata företag, föreningar och organisationer är inte offentliga organ, och inte heller kommunala eller landstingsägda bolag. Ni kan ändå behöva ha ett dataskyddsombud, om ni svarar ja på fråga 2 eller 3.
Kärnverksamhet
"Kärnverksamhet" är den nödvändiga centrala verksamhet som en organisation utför för att uppfylla sina mål.
Exempel:
För en skobutik är kärnverksamheten att sälja skor.
För ett säkerhetsföretag kan kärnverksamheten vara att övervaka allmänna platser.
Ett sjukhus har som mål att ge sjukvård. För att kunna göra det måste sjukhuset behandla hälsouppgifter. Behandling av känsliga uppgifter är därför en kärnverksamhet för sjukhuset.
Regelbunden och systematisk övervakning
Regelbunden och systematisk övervakning är ständig eller återkommande övervakning som sker enligt ett system eller en plan.
Exempel:
alla former av spårning och profilering på internet
profilering för riskbedömningar
positionsspårning i mobilappar
lojalitetsprogram
övervakningskameror
uppkopplade apparater, till exempel smarta mätare (sakernas internet, internet of things, IoT)
Stor omfattning
Vad som är "stor omfattning" kan vara svårt att bedöma, men beror till exempel på hur många som är registrerade, hur mycket uppgifter och vilka typer av uppgifter som behandlas och hur länge uppgifterna behandlas.
Exempel på verksamheter som behandlar personuppgifter i stor omfattning:
sjukhus – patientuppgifter
kollektivtrafik – reseuppgifter om enskilda resenärer
försäkringsbolag eller banker – uppgifter om kunders egendomar och tillgångar
Exempel på verksamheter som inte behandlar personuppgifter i stor omfattning:
en enskild läkare behandlar patientuppgifter
en enskild advokat behandlar personuppgifter som rör fällande domar i brottmål och överträdelser.
Vilka behöver inte ha ett dataskyddsombud?
Det enkla svaret är att alla som svarar nej på frågorna ovan inte behöver ett dataskyddsombud.
Exempel: Det betyder alltså att icke-offentliga organ, som företag och föreningar, inte behöver dataskyddsombud om de till exempel har få uppgifter om sina kunder, eller uppgifter som inte är känsliga, inte behandlar personuppgifter som en del av sin kärnverksamhet
endast har vissa uppgifter om sina anställda, till exempel för att kunna betala ut löner.
Dela på dataskyddsombud
Ett dataskyddsombud kan ha ansvar för flera olika myndigheter eller flera olika företag inom samma koncern. En förutsättning är förstås att dataskyddsombudet har tillräckligt med tid och resurser för att utföra uppdraget, och att alla som behöver komma i kontakt med dataskyddsombudet lätt kan göra det.
Flera personer kan agera dataskyddsombud tillsammans
Det finns inget hinder mot att ha en grupp personer som utför dataskyddsombudets uppgifter så länge alla i gruppen uppfyller de krav som ställs. Gruppen ska också ha en utsedd ansvarig kontaktperson.
Personuppgiftsbiträdet kan behöva ett dataskyddsombud även om ansvarig inte behöver det
Alla organisationer måste göra en egen bedömning av om de behöver ett dataskyddsombud. Det kan förekomma att ett personuppgiftsbiträde behöver ett dataskyddsombud även om dess uppdragsgivare inte behöver dataskyddsombud.
Exempel: Ett litet företag har ett personuppgiftsbiträde som har många liknande kunder. Det innebär att personuppgiftsbiträdet behandlar stora mängder personuppgifter, från många olika kunder. Personuppgiftsbiträdet kan då behöva utnämna ett dataskyddsombud trots att det lilla företaget inte behöver det.
Datainspektionen rekommenderar
Även om ni inte måste ha ett dataskyddsombud kan det vara bra för er organisation att ha ett, exempelvis för att skapa ordning och reda i arbetet med personuppgifter. Det kan också skapa förtroende hos de registrerade, era kunder. Det kan i sin tur ge fördelar i konkurrensen med andra företag.
Vi rekommenderar att organisationer utser ett dataskyddsombud, även om de inte måste, om de utför arbetsuppgifter av allmänt intresse eller utför uppgifter som innefattar myndighetsutövning.
Comments