DATASKYDDSOMBUD

Vissa företag behöver anlita ett dataskyddsombud enligt GDPR. Det behöver inte vara en anställd på företaget även fast det kan vara det.

Dataskyddsombud enligt GDPR avtalgdpr

Vissa företag behöver ett dataskyddsombud

Många företag väljer att anlita en extern part såsom en advokatbyrå som dataskyddsombud. Advokatsamfundet har gett information till advokater om hur de ska förhålla sig som dataskyddsombud och därför kan de vara lämpliga att anlita. Dataskyddsombud har en viktig roll i företag som behöver ha ett och behöver framförallt ha kunskap om GDPR. Exempelvis tidigare vägledande domstolsavgöranden inom GDPR och ha koll på relevanta lagar. Vi arbetar inte som dataskyddsombud, men kan hjälpa till med att upprätta de GDPR avtal, interna rutiner och övrig dokumentation som företag behöver.

Ett dataskyddsombud ska övervaka att företaget följer GDPR. Dessutom ska de bland annat utbilda personal och vara tillgängliga både för medarbetare, men även registrerade. Företag måste därför publicera uppgifterna offentligt, vilket brukar ske i integritetspolicyn (även kallat dataskyddspolicy) som företaget publicerar på sin hemsida.

En personuppgiftsansvarig kan i vissa fall behöva göra en konsekvensbedömning före en viss behandling och då kan dataskyddsombudet ge råd om den personuppgiftsansvarige ber om det. Detsamma gäller om personuppgiftsbiträdet gör det.

Dataskyddsombudet har kontakt med imy

I vissa fall kan ett företag behöva begära ett förhandssamråd med IMY innan en viss behandling. Däremot är det viktigt att tänka på att företaget måste göra en konsekvensbedömning innan. Dataskyddsombudet agerar vid sådana fall som kontaktpunkt mellan IMY, som är tillsynsmyndigheten i Sverige, och den personuppgiftsansvarige. Dataskyddsombud omfattas av sekretess, men har rätt att kontakta IMY för att diskutera frågor som rör behandling av personuppgifter. 

Fler arbetsuppgifter som dataskyddsombud

Ett dataskyddsombud kan ha flera roller på ett företag. Däremot är det viktigt att det inte finns en intressekonflikt. Dessutom kan personen vara dataskyddsombud på flera företag samtidigt. Ett internationellt företag med flera dotterbolag kan ha samma dataskyddsombud. Men det är bra att tänka på att personen ska vara tillgänglig för alla medarbetare och registrerade, vilket kan vara svårt om det är ett stort internationell företag. Företag måste registrera sitt dataskyddsombud hos IMY och uppge kontaktuppgifterna till denne.

Företaget måste se till att dataskyddsombudet kan sköta sina arbetsuppgifter genom att till exempel ha de tekniska och organisatoriska åtgärderna som är nödvändiga. Dessutom måste företaget bland annat låta dataskyddsombudet delta på möten som handlar om behandlingen av personuppgifte. Därför måste företaget se till att dataskyddsombudet får veta om sådana möten i tid. När ett dataskyddsombud lämnar sin åsikt, ska det tas i beaktande av företaget. Om företaget inte följer råden, ska de ha goda skäl.