De företag som behöver ha dataskyddsombud kan anställa personen eller anlita en extern part. Det är viktigt att den som blir utsedd till dataskyddsombud har goda juridiska kunskaper om GDPR, och bland annat om rättspraxis, som är tidigare vägledande domstolsavgöranden.
GDPR är en EU-förordning som går att likställa med en nationell lag. Med andra ord gäller den ordagrant och gäller för alla företag, organisationer och myndigheter som behandlar personuppgifter inom EU samt EES-länderna. Alla företag som bestämmer ändamålet och medel för en viss personuppgiftsbehandling, agerar i egenskap av personuppgiftsansvarig. Dessutom behöver företag ingå ett personuppgiftsbiträdesavtal om företaget anlitar ett personuppgiftsbiträde. Personuppgiftsbiträdesavtal måste vara skriftligt för att vara giltigt enligt formkraven i GDPR.
Exempel på företag som behöver ha dataskyddsombud
Både personuppgiftsansvariga och personuppgiftsbiträden kan behöva ett dataskyddsombud, om det krävs enligt lagen. Exempelvis är det vanligt att banker, försäkringsbolag, privata vårdgivare, sjukhus, fackförbund m.fl. måste ha ett dataskyddsombud. Det är även frivillig att anlita eller anställa ett dataskyddsombud, även om det inte är ett krav.
När ett företag systematiskt och regelbundet, i stor omfattning, övervakar personuppgifter som de behandlar behöver företaget ha dataskyddsombud. Det är viktigt att det är en del av företagets kärnverksamhet att behandla personuppgifterna på detta sätt.
Det finns företag som behandlar personuppgifter systematisk och genomför regelbunden övervakning. Exempelvis om ett företag som arbetar med kreditupplysningar. Detsamma gäller företag som bedriver telefonnät.
Som sagt behöver inte alla företag anlita ett dataskydsombud enligt lagen. Vi rekommenderar företag som behöver anlita ett dataskyddsombud att kontakta en advokat som arbetar som dataskyddsombud. Advokater har fått instruktioner från advokatsamfundet om hur de ska sköta arbetet som dataskyddsombud.
Företag som behandlar personuppgifter enligt följande behöver ha ett dataskyddsombud:
Situation när det sker systematiskt:
- Om företaget har övervakningen av personuppgifter som en del av strategin. Exempelvis om företaget behandlar personuppgifter för att kunna skapa en AI-robot som ska kunna avläsa saker i framtiden med hjälp av tidigare resultat.
Situation när det sker regelbundet:
- Om företaget övervakar personuppgifter löpande och återkommande som en del av kärnverksamheten, exempelvis genom att vid bestämda tillfällen och tidpunkter göra det.
