Enligt reglerna i GDPR måste vissa verksamheter ha ett dataskyddsombud. Ombudets uppgift är bland annat att kontrollera att verksamheten följer GDPR. Som arbetsgivare kan man vara osäker på när man måste ha ett ombud, här går vi därför igenom när arbetsgivare måste ha ett dataskyddsombud.
Den som är personuppgiftsansvarig måste i vissa fall utse ett dataskyddsombud. Reglerna för när ett dataskyddsombud ska utses finns i GDPR (Dataskyddsförordningen artikel 37) och gäller för både personuppgiftsansvariga och personuppgiftsbiträden.
Det finns tre kategorier av verksamheter som måste ha ett dataskyddsombud. Det gäller för följande:
Exempel på verksamheter där de ska finnas ett dataskyddsombud är en säkerhetsfirma som använder sig av övervakningskameror. Banker och försäkringsbolag är också beroende av regelbunden och systematisk övervakning, t ex för arbete mot penningtvätt och behöver därför också ha ett dataskyddsombud.
Man måste också ha ett dataskyddsombud om huvudverksamheten består av behandling av känsliga personuppgifter. Det kan t ex vara i ett politiskt parti där medlemsregistrering är en förutsättning och också känslig personuppgift. Ett annat exempel är sjukhus som hanterar en mängd hälsoinformation.
Även om en verksamhet inte har krav på sig att ha ett dataskyddsombud kan det i vissa fall ändå motiveras. I verksamheter som behandlar stora mängder personuppgifter kan ett dataskyddsombud vara med att struktur och ordning i arbetet med personuppgifter.
Då kan du skaffa ett abonnemang Servicepaket Dataskydd i arbetslivet, vårt webbaserade uppslagsverk med lagtolkningar, skriftlig support, faktabank och praktiska verktyg som hjälper dig att vidta de åtgärder som behövs för att följa de nya reglerna. Läs mer om Servicepaket Dataskydd i arbetslivet