Vissa företag behöver dataskyddsombud och företag ska registrera dataskyddsombudet till IMY. För att ett företag ska behöva ett dataskyddsombud ska de bland annat behandla personuppgifter systematiskt eller regelbundet i stor omfattning som en del av kärnverksamheten. Exempel på sådana verksamheter är sjukhus som behandlar personuppgifter tillhörande patienterna. Dessutom är uppgifter om hälsa känsliga personuppgifter enligt GDPR, vilket innebär att de behöver bli behandlade med högre säkerhet än vanliga personuppgifter.
Företag ska registrera dataskyddsombudet till IMY
Det är vanligt att advokater är dataskyddsombud. Dataskyddsombud behöver ha kunskaper inom GDPR, såsom lagstifitningen och tidigare vägledande domstolsavgöranden och därför brukar advokater vara lämpliga. Dessutom har Advokatsamfundet gett information till advokater angående arbetet som dataskyddsombud. Det finns företag som anställer dataskyddsombud och det är möjligt att personen har flera arbetsuppgifter. Däremot får det inte finnas någon intressekonflikt. Dessutom kan ett företag välja att anlita en extern part, såsom advokatbyrå som kan sköta arbetet.
Företag som inte följer GDPR kan få konsekvenser. Företag har fått en reprimand för att de inte har anmält dataskyddsombudet till IMY i tid. En reprimand är en tillrättavisning och är en lägre grad av straff än sanktionsavgift. Bland annat försäkringsbolag, telefonoperatörer och banker måste ha dataskyddsombud och är exempel på branscher där IMY tilldelat en reprimand efter att GDPR började gälla.