Dataskyddsombud — vem måste ha ett och vad ska publiceras?
Ett dataskyddsombud är personen som självständigt bevakar att en organisation hanterar personuppgifter enligt GDPR — på engelska DPO, data protection officer. Långt ifrån alla måste utse ett: kravet träffar offentlig sektor och vissa datadrivna eller känsliga verksamheter, inte det typiska företaget. Men där kravet gäller följer också ett publiceringskrav som ofta glöms bort: ombudets kontaktuppgifter ska offentliggöras, i praktiken i integritetspolicyn. Det är den delen som syns utifrån — och som förvånansvärt ofta saknas.
Vad säger lagen?
GDPR artikel 37 pekar ut tre situationer där den personuppgiftsansvarige måste utse ett dataskyddsombud:
- Behandlingen utförs av en myndighet eller ett offentligt organ — med undantag för domstolarnas dömande verksamhet.
- Kärnverksamheten består av behandling som kräver regelbunden och systematisk övervakning av registrerade i stor omfattning — tänk storskalig beteendespårning eller profilering.
- Kärnverksamheten består av behandling i stor omfattning av känsliga uppgifter enligt artikel 9 — till exempel hälsodata — eller av uppgifter om lagöverträdelser.
Artikel 38 och 39 beskriver ombudets ställning och uppgifter: ombudet ska vara oberoende, rapportera till högsta ledningen och får inte ta emot instruktioner i hur uppgifterna utförs. Uppgifterna är att övervaka efterlevnaden, utbilda organisationen och vara kontaktpunkt mot tillsynsmyndigheten IMY. Den som utser ett dataskyddsombud frivilligt ska veta att samma regler då gäller fullt ut — ett frivilligt ombud är inte ett "ombud light".
Vem måste ha ett dataskyddsombud?
Offentlig sektor är det tydliga fallet: myndigheter, kommuner och regioner är alltid skyldiga att utse ett dataskyddsombud — de är offentliga organ, och då gäller kravet utan vidare bedömning. En kommun utan dataskyddsombud, eller utan publicerade kontaktuppgifter till det, brister mot GDPR.
För privata företag är huvudregeln den omvända: de flesta små och medelstora företag behöver inget dataskyddsombud. Kravet slår till först när själva kärnverksamheten bygger på storskalig övervakning av människor eller storskalig behandling av känsliga uppgifter — tänk hälsoplattformar eller annonsnätverk, inte en webbutik med kundregister. Begreppen "kärnverksamhet" och "stor omfattning" är bedömningsfrågor, men för det typiska företaget är svaret nej.
Vad ska publiceras?
Artikel 37.7 ställer två krav på den som har ett dataskyddsombud: kontaktuppgifterna ska offentliggöras, och de ska meddelas till IMY. I praktiken betyder offentliggörandet att kontaktuppgifterna ska finnas i integritetspolicyn — det är där en registrerad letar efter dem.
Kravet är mindre långtgående än många tror: ombudet behöver inte namnges offentligt. En e-postadress eller funktionsadress — i stil med dataskyddsombud@kommunen.se — räcker gott. Det viktiga är att kontaktvägen finns, fungerar och leder fram till ombudet.
Vanliga brister vi ser
- Organisationen har ett dataskyddsombud — men kontaktuppgifterna står inte i integritetspolicyn. Ombudet finns, publiceringskravet brister ändå.
- Policyn nämner att ett dataskyddsombud är utsett men anger ingen kontaktväg — besökaren får veta att ombudet finns, inte hur hen når det.
- Kontaktuppgifterna leder fel: en person som bytt roll, en allmän växel eller ett kontaktformulär utan koppling till ombudet.
- Policyn är en köpt mall där avsnittet om dataskyddsombud aldrig fylldes i.
Så testar CompliantHQ det här
Skannern läser webbplatsens integritetspolicy och kontrollerar att kontaktuppgifter till ett dataskyddsombud finns med. Checken gäller offentliga aktörer — där är kravet entydigt, och en saknad kontaktuppgift är en konkret brist, inte en bedömningsfråga.
Det är en deterministisk dokument-check: vi letar efter en faktisk kontaktväg till ombudet i policytexten, inte efter en viss formulering. Checken ingår även i den kostnadsfria provperioden — du behöver inte betala för att se om er policy klarar den.
Så åtgärdar du
- Har ni ett dataskyddsombud: lägg in kontaktuppgifterna i integritetspolicyn. En funktionsadress räcker — och den överlever personalbyten.
- Kontrollera att kontaktuppgifterna också är anmälda till IMY — artikel 37.7 kräver båda delarna.
- Offentlig aktör utan dataskyddsombud: utse ett. Kravet är ovillkorligt för myndigheter, kommuner och regioner.
- Privat företag som är osäkert på om kravet gäller: stäm av kärnverksamheten mot de tre fallen i artikel 37.1. Är svaret nej behöver ni inget ombud — men en tydlig kontaktväg för dataskyddsfrågor i policyn är bra praxis ändå.
- Uppdatera kontaktuppgifterna när ombudet byts — en kontaktväg som leder fel är i praktiken ingen kontaktväg.
Det här ingår i granskningen
- Att kontaktuppgifter till dataskyddsombudet finns — den person som bevakar att uppgifterna hanteras rätt. Gäller offentliga aktörer.
Vanliga frågor
Måste alla företag ha ett dataskyddsombud?
Nej — de flesta små och medelstora företag behöver inget. Kravet gäller myndigheter och offentliga organ, samt verksamheter vars kärnverksamhet är storskalig och systematisk övervakning av registrerade eller storskalig behandling av känsliga uppgifter eller uppgifter om lagöverträdelser.
Måste kommuner ha ett dataskyddsombud?
Ja, alltid — kommuner och regioner är offentliga organ och omfattas ovillkorligt av artikel 37. En kommun som inte publicerat kontaktuppgifterna till sitt dataskyddsombud i integritetspolicyn brister mot artikel 37.7, även om ombudet finns.
Måste dataskyddsombudet namnges offentligt?
Nej. Det som ska offentliggöras är kontaktuppgifterna — en e-postadress eller funktionsadress räcker, och ombudet behöver inte namnges på webbplatsen. Kontaktuppgifterna ska dessutom meddelas till IMY.
Vi har utsett ett dataskyddsombud frivilligt — gäller samma regler då?
Ja. Ett frivilligt utsett dataskyddsombud omfattas av samma regler som ett obligatoriskt: samma oberoende ställning, samma uppgifter och samma krav på offentliggjorda kontaktuppgifter.
Vill du se vad vi hittar på din webbplats?
Kör en gratis skanning — alla fyra moduler ingår i 30 dagar, inget betalkort krävs.