Frågor & svar
om Dataskyddsombud (GDPR)
Organisationer
som behandlar personuppgifter måste i vissa fall utse ett
dataskyddsombud inom organisationen. Ombudets roll är att
kontrollera att dataskyddsförordningen, GDPR, följs inom
organisationen genom att till exempel utföra kontroller och
informationsinsatser. Nedan får du svar på vanliga frågor om
dataskyddsombud. Informationen nedan kommer från
Integritetsskyddsmyndighetens (fd Datainspektionen)
hemsida.
Är det obligatoriskt att ha
ett dataskyddsombud?
Ja, i vissa fall. Enligt
dataskyddsförordningen måste vissa organisationer, som t.ex myndigheter
och de som hanterar känsliga personuppgifter, utse ett dataskyddsombud.
Den som vill får utse ett dataskyddsombud även i andra fall.
Vilka organisationer är skyldiga
att utse ett dataskyddsombud?
Enligt dataskyddsförordningen måste följande organisationer utse ett
dataskyddsombud:
-
Myndigheter och offentliga organ.
-
Organisationer som i sin kärnverksamhet
behandlar personuppgifter på ett sätt som kräver regelbunden och
systematisk övervakning av de registrerade i stor omfattning (till
exempel scoring för riskbedömningsändamål, beteendestyrd
marknadsföring, lokaliseringstjänster med mera).
-
Organisationer som behandlar så kallade
känsliga personuppgifter eller uppgifter som rör lagöverträdelser
och fällande domar i brottmål i stor omfattning.
Skyldigheten att utse ett dataskyddsombud
gäller oavsett om organisationen behandlar personuppgifter i egenskap av
personuppgiftsansvarig eller personuppgiftsbiträde. Även andra
organisationer än de som räknats upp ovan kan utse dataskyddsombud men
är inte skyldiga att göra det.
Vad menas med
kärnverksamhet?
Med kärnverksamhet menas den
personuppgiftsansvariges eller biträdets huvudsakliga verksamhet. Även
aktiviteter där personuppgiftsbehandlingen utgör en nödvändig del av den
personuppgiftsansvariges eller biträdets verksamhet omfattas.
Exempelvis anses vårdgivares behandling av personuppgifter inom hälso-
och sjukvården för t.ex journalföring vara en del av kärnverksamheten,
även om kärnverksamheten i sig inom hälso- och sjukvården är att erbjuda
vård. Detta med hänsyn till att en vårdgivare inte skulle kunna erbjuda
en säker och effektiv sjukvård utan att behandla personuppgifter om
patienterna.
Vad menas med
personuppgiftsbehandling i stor omfattning?
I dataskyddsförordningen anges inte vad som utgör
personuppgiftsbehandling i stor omfattning utan en bedömning får ske i
det enskilda fallet. Viktiga faktorer i den bedömningen är t.ex:
-
antal registrerade som påverkas
-
mängden uppgifter / kategorier av
uppgifter som behandlas
-
hur länge behandlingen ska pågå
-
den geografiska omfattningen av
behandlingen
Exempel på personuppgiftsbehandling i
stor omfattning:
-
behandling av patienters uppgifter inom
ramen för verksamheten inom ett sjukhus
-
behandling av individers uppgifter om
resehistorik i kollektivtrafiken (till exempel spårning via
resekort)
-
behandling av kunders personuppgifter i
verksamheten hos ett försäkringsbolag eller en bank
-
behandling som utförs av en sökmotor för
beteendestyrd marknadsföring
-
behandling (innehåll, trafik,
lokalisering) som genomförs av telebolag eller nätleverantörer
Exempel på behandling som inte utgör
personuppgiftsbehandling i stor omfattning:
Vad är "regelbunden" och
"systematisk" övervakning?
Begreppen "regelbunden" och
"systematisk" övervakning definieras inte i dataskyddsförordningen men
omfattar alla former av spårning och profilering på internet, inklusive
sådan som utförs för beteendestyrd marknadsföring. Begreppet övervakning
är dock inte bara begränsat till att omfatta övervakning i onlinemiljö.
Regelbunden övervakning kan exempelvis vara sådan övervakning som:
-
pågår eller äger rum under särskilda
intervall under en särskild period
-
är återkommande eller repeteras vid
bestämda tillfällen
-
pågår konstant eller periodvis
För att behandlingen ska anses ske
systematiskt bör den uppfylla en eller flera av följande kriterier:
-
sker enligt ett system
-
är förutbestämd, organiserad eller
metodisk
-
äger rum som en del av en övergripande
plan för insamling av uppgifter
-
utförs som en del av en strategi
Exempel på verksamhet som kan innebära
regelbunden och systematisk övervakning är bland annat:
tillhandahållandet av telekommunikationstjänster, scoring som genomförs
för riskbedömningsändamål (till exempel kreditupplysning, framtagande av
försäkringspremier, förebyggande av bedrägerier, spårning av
pengatvätt), lokaliseringstjänster (till exempel genom mobilappar),
lojalitetsprogram, beteendestyrd marknadsföring, registrering av
hälsouppgifter genom fitnessarmband och andra så kallade wearables,
smarta mätare, kameraövervakning med mera.
Är kommunala bolag och
landstingsägda bolag skyldiga att utse ett dataskyddsombud?
Sådana bolag är, precis som andra organisationer, skyldiga att utse ett
dataskyddsombud om de i sin kärnverksamhet, och i stor omfattning,
antingen behandlar känsliga personuppgifter, uppgifter om brott eller
behandlar personuppgifter på ett sätt som innebär regelbunden eller
systematisk övervakning av registrerade.
Vad menas med ett
offentligt organ?
Oavsett vilka personuppgifter som behandlas måste myndigheter och
offentliga organ alltid utse ett dataskyddsombud. Det finns ingen exakt
definition av vad ett offentligt organ är enligt dataskyddsförordningen,
men i Sverige anses (förutom myndigheterna) de folkvalda organen
riksdagen, kommunfullmäktige, landstingsfullmäktige och
regionfullmäktige vara offentliga organ.
Kan ett dataskyddsombud
vara ombud för hela kommunen?
Ett dataskyddsombud kan utses för flera olika myndigheter. I en kommun
är normalt varje kommunal nämnd personuppgiftsansvarig för sin
behandling och ska utse ett dataskyddsombud. Det finns dock inget som
hindrar att ett och samma ombud utses för alla nämnder inom kommunen
under förutsättning att ombudet har tillräckligt med tid och resurser
för att utföra uppdraget.
I ett internationellt
företag, räcker det att det finns ett dataskyddsombud på det europeiska
huvudkontoret eller måste varje dotterbolag ha ett eget ombud?
Utgångspunkten är att varje dotterbolag är att anse som
personuppgiftsansvarig för sin behandling och därmed ska utse ett eget
ombud. En koncern kan dock utse ett ombud för flera dotterbolag under
förutsättning att ombudet finns lätt tillgängligt för varje bolag.
Vill du ha fler
tips?
Om du vill ha fler liknande
tips så kan du följa oss på
Facebook eller
Twitter. Du kan även prenumerera på vårt
nyhetsbrev eller läsa vår
blogg. Du hittar
fler artiklar på denna sida. |
|
|
Se även:
Hur
påverkar EU:s dataskyddsförordning (GDPR) företag och organisationer?
Hur
påverkar GDPR e-postmarknadsföring och nyhetsbrevsutskick?
Relaterad produktinformation:
SamLogic MultiMailer - Ett
kraftfullt e-postverktyg som är anpassat för GDPR
|
|