Hem / Säkerhet & GDPR / Dataskyddsombud: behöver småföretaget ett?

Säkerhet & GDPR

Dataskyddsombud: behöver småföretaget ett?

Frågan dyker oftast upp när en kund, en revisor eller en ny leverantör undrar vem som är ert dataskyddsombud. För de flesta småföretag med en vanlig hemsida är svaret nej, men "troligen inte" räcker inte som dokumentation. Här är kriterierna att gå igenom och hur ni sparar bedömningen.

Dataskyddsombud (ofta förkortat DPO efter engelskans data protection officer) är en roll som dataskyddsförordningen (GDPR) kräver i vissa fall, men långt ifrån för alla verksamheter som behandlar personuppgifter. Att ha ett kontaktformulär, ett kundregister eller ett nyhetsbrev gör er till personuppgiftsansvariga, men det gör er inte automatiskt skyldiga att utse ett dataskyddsombud. Den här sidan går igenom vilka kriterier som faktiskt styr kravet enligt GDPR artikel 37, och hur ni dokumenterar bedömningen oavsett vilket svar ni landar i.

Direkt svar: kräver GDPR ett dataskyddsombud för er verksamhet?

Enligt GDPR artikel 37 är ett dataskyddsombud obligatoriskt i tre situationer: om behandlingen utförs av en myndighet eller ett offentligt organ, om er kärnverksamhet består i att regelbundet och systematiskt övervaka registrerade i stor omfattning, eller om er kärnverksamhet består i storskalig behandling av känsliga personuppgifter (till exempel hälsouppgifter) eller uppgifter om brottmålsdomar. Ett litet företag som säljer varor eller tjänster via en hemsida med kontaktformulär, orderhistorik och ett nyhetsbrev uppfyller normalt ingen av de tre punkterna, eftersom personuppgiftsbehandlingen där är ett stöd till verksamheten snarare än själva kärnverksamheten. Är ni däremot till exempel en vårdgivare, tandvårdsklinik eller psykologmottagning där hälsouppgifter är en del av kärnverksamheten i stor omfattning, ett företag inom bevakning eller kameraövervakning, eller en digital tjänst vars affärsidé bygger på storskalig spårning och profilering av besökare, ska frågan utredas närmare snarare än avfärdas – till skillnad från ett vanligt e-handelsföretag eller en konsultfirma där kundregister och kontaktformulär bara är ett stöd till den egentliga verksamheten.

Snabb bedömning: tre frågor att gå igenom

Gå igenom frågorna i ordning. Svarar ni nej på alla tre pekar bedömningen mot att ett dataskyddsombud inte är obligatoriskt för er, men dokumentera ändå svaren med datum.

FrågaVad ni tar ställning till
1. Är ni en myndighet eller ett offentligt organ?De flesta privata småföretag svarar nej direkt och går vidare till fråga två
2. Är er kärnverksamhet regelbunden och systematisk övervakning av registrerade i stor omfattning?Att ha cookies eller ett analysverktyg på hemsidan räcker inte i sig – frågan är om övervakning av människor faktiskt är själva affärsidén
3. Är er kärnverksamhet storskalig behandling av känsliga personuppgifter eller uppgifter om brottmålsdomar?Gäller till exempel vårdgivare eller andra verksamheter där sådana uppgifter är huvudsaken, inte en enstaka uppgift bland många

Är svaret osäkert snarare än ett tydligt nej på någon av frågorna, är det ett tecken på att ni bör utreda vidare innan ni bestämmer er, gärna med hjälp av någon som arbetar med dataskyddsfrågor. Sätt en ansvarig person för bedömningen, notera vilket datum den gjordes och sätt en påminnelse om att ompröva den om verksamheten förändras väsentligt, till exempel vid nya produkter eller ny insamling av uppgifter.

Risk, åtgärd och källa

Oavsett om ett dataskyddsombud krävs eller inte gäller samma grundläggande dokumentationskrav som för annan personuppgiftsbehandling. Tabellen nedan kopplar vanliga osäkerheter till en konkret åtgärd och källan bedömningen vilar på.

RiskÅtgärdKontrollbevisKälla
Osäkert om ni är personuppgiftsansvariga eller biträde för en viss behandlingKartlägg vilka uppgifter som behandlas och i vilken roll ni agerarSkriftlig kartläggningIMY
Extern leverantör behandlar personuppgifter åt er utan avtalTeckna personuppgiftsbiträdesavtal med instruktioner och säkerhetsåtgärderSignerat avtal enligt art. 28GDPR art. 28 (EUR-Lex)
Osäkert om dataskyddsombud krävsBedöm mot artikel 37: myndighet, storskalig övervakning eller storskalig behandling av känsliga uppgifterSkriftlig bedömning med datumGDPR art. 37 (EUR-Lex)
Personuppgiftsincident inträffar utan tydlig rutinBedöm risknivån direkt och anmäl till IMY inom 72 timmar om det krävsTidsstämplad bedömning och ev. anmälanGDPR art. 33–34 / IMY

Praktisk rutin för små team: dokumentera och ompröva bedömningen

För de flesta småföretag räcker det med en kort skriftlig mall som fylls i varje gång bedömningen görs eller omprövas:

  • Datum: när bedömningen gjordes.
  • Ansvarig: namngiven person som gick igenom frågorna och står bakom slutsatsen.
  • Svar och motivering: hur ni svarade på de tre frågorna ovan, i korthet och varför.
  • Slutsats: dataskyddsombud krävs eller krävs inte.
  • Nästa omprövning: ett datum eller en händelse, till exempel en ny produkt eller ny typ av uppgiftsinsamling, som ska trigga en ny bedömning.

Spara den ifyllda mallen tillsammans med er övriga dataskyddsdokumentation, till exempel vid sidan av kartläggningen av vilka personuppgifter som samlas in och eventuella biträdesavtal med leverantörer. En sådan anteckning väger tungt om frågan skulle komma upp igen, till exempel från en revisor, en större kund eller en tillsynsmyndighet, eftersom ni då kan visa att frågan faktiskt är övervägd snarare än ignorerad.

Ta upp bedömningen igen om verksamheten förändras på ett sätt som flyttar er närmare gränserna i artikel 37: om ni börjar behandla känsliga personuppgifter i större omfattning, om affärsmodellen skiftar mot mer omfattande spårning eller profilering av användare, eller om ni växer genom förvärv och plötsligt ansvarar för betydligt fler registrerades uppgifter. I de lägena, eller om ni redan från början är osäkra på hur "stor omfattning" ska tolkas i er bransch, är det värt att lyfta frågan till en jurist eller konsult med dataskyddskompetens snarare än att gissa er fram. En felaktig bedömning som senare visar sig fel är ofta svårare att rätta till i efterhand än att fråga i förväg, särskilt om verksamheten redan hunnit växa på den grund som bedömningen byggde på.

Dokumentera bedömningen skriftligt oavsett om svaret blir ja eller nej. Vid minsta osäkerhet kring vad som räknas som "kärnverksamhet" eller "stor omfattning" i er bransch, rådfråga en dataskyddskunnig jurist eller konsult innan ni avstår, snarare än att anta att småföretag alltid är undantagna.

Vanliga frågor

Vilka tre kriterier avgör om ett dataskyddsombud krävs?

Enligt GDPR artikel 37 krävs ett dataskyddsombud om verksamheten är en myndighet eller ett offentligt organ, om kärnverksamheten innebär regelbunden och systematisk övervakning av registrerade i stor omfattning, eller om kärnverksamheten är storskalig behandling av känsliga personuppgifter eller uppgifter om brottmålsdomar.

Räcker det att vi har ett kontaktformulär och ett kundregister för att vi ska behöva ett dataskyddsombud?

Troligen inte. Ett vanligt kontaktformulär eller kundregister är sällan kärnverksamhet i stor omfattning enligt artikel 37, men bedömningen bör ändå dokumenteras skriftligt så att ni kan visa att frågan faktiskt är övervägd.

Vad räknas som stor omfattning i lagen?

GDPR anger inget exakt tröskelvärde i antal kunder eller anställda. Bedömningen görs utifrån behandlingens omfattning, varaktighet och geografiska spridning, vilket ofta kräver juridisk bedömning i gränsfall.

Måste vi anlita en extern konsult om vi bedömer att vi behöver ett dataskyddsombud?

Nej, rollen kan skötas internt om personen har tillräcklig sakkunskap och en oberoende ställning i organisationen, men flera småföretag väljer en extern konsult för att säkerställa kompetensen och undvika intressekonflikter.