Kärnverksamhet och bedömning av stor omfattning är viktigt att definiera för att avgöra om ett företag behöver anlita ett dataskyddsombud. Det är ett krav enligt GDPR, om företagets kärnverksamhet behandlar personuppgifter systematiskt eller regelbundet. Dessutom ska behandlingen ske i stor omfattning.
Ett dataskyddsombud kan vara en medarbetare på företaget eller en inhyrd extern part. Det är vanligt att advokater är dataskyddsombud eftersom de har kunskaper inom krävs. Dessutom har Advokatsamfundet, som alla advokater är anslutna till, informerat advokater om hur de ska utföra sina uppgifter som dataskyddsombud. Registrerade och anställda har rätt att kontakta dataskyddsombud.
Kärnverksamhet och bedömning av stor omfattning
Flera faktorer har en betydelse för bedömningen av vad som utgör behandling av personuppgifter i ”stor omfattning”. Exempelvis hur mycket data som behandlingen avser och hur länge företaget kommer behandla personuppgifterna. Om en ensam läkare har en egen klinik och därför behandlar personuppgifter, är det inte i stor omfattning enligt definitionen. Alla företag behöver alltså inte ha dataskyddsombud enligt GDPR. Vissa företag som är personuppgiftsansvariga kan behöva anlita personuppgiftsbiträden och då behöver de ingå ett skriftligt personuppgiftsbiträdesavtal med varandra.
När ett företag behandlar personuppgifter systematiskt eller regelbundet i stor omfattning som en del av kärnverksamheten, behöver företaget ett dataskyddsombud. Exempelvis gäller detta kreditupplysningsbolag. Detsamma gäller sjukhus som dessutom behandlar känsliga personuppgifter i stor omfattning. Uppgifter om hälsa är en känslig personuppgift enligt GDPR och måste behandlas med större säkerhet, och är till och med enligt huvudregeln förbjudet att behandla. Däremot finns det undantag och sjukhus får därför behandla känsliga personuppgifter, men måste ha ett dataskyddsombud.
Faktorer att analysera för att bedöma om det räknas som stor omfattning:
- Hur många personer som behandlingen avser
- Hur mycket personuppgifter det gäller
- Den geografiska omfattningen som behandlingen avser
Företag ska göra en konsekvensbedömning om behandlingen sker i stor omfattning. Därför är det viktigt att analysera behandlingen, för att veta om det är aktuellt att göra en konsekvensbedömning. Det är bättre att göra en konsekvensbedömning istället för att inte göra det, även fast det inte är ett måste. Dessutom finns det vissa specifika kriterier som innebär att företag måste göra en konsekvensbedömning om de uppfyller någon av kriterierna vid behandlingen.
