Advokater brukar vara dataskyddsombud på företag

Advokater brukar vara dataskyddsombud på företag. Vissa företag som behandlar personuppgifter behöver ha ett dataskyddsombud enligt GDPR. Företaget kan anställa personen eller anlita en extern part att arbeta som dataskyddsombud på företaget. Däremot behöver inte alla företag ha det enligt lagen. Men alla företag agerar i egenskap av personuppgiftsansvarig om de behandlar personuppgifter och själva bestämmer ändamålet och medel för behandlingen. Kraven för att behöva ha ett dataskyddsombud är bland annat att företaget ska behandla personuppgifterna som en del av kärnverksamheten i stor omfattning, systematiskt och regelbundet. Exempelvis behöver sjukhus ha ett dataskyddsombud. Dessutom behandlar sjukhus även känsliga personuppgifter, eftersom uppgifter om hälsa är känsliga enligt GDPR. 

Om ett företag har ett dataskyddsombud, ska det anmälas till Integritetsskyddsmyndigheten. Dessutom har de registrerade personerna rätt att kontakta dataskyddsombudet på företaget.

Advokater brukar vara dataskyddsombud på företag och kan bli anlitade eller anställda

En advokat måste vara antagen av advokatsamfundet och titeln advokat är en skyddad titel. Därför har ingen annan tillåtelse att utge sig för att vara advokat. De har bland annat tystnadsplikt och plikt att skydda intresset hos klienten. Advokatsamfundet har informerat advokater om hur de ska sköta sina uppgifter som dataskyddsombud och därför kan de vara lämpliga att anlita. Däremot behöver det inte vara en avokat, men dataskyddsombud behöver ha juridiska kunskaper om GDPR. Exempelvis kunskaper om lagstiftningen samt tidigare vägledande domstolsavgöranden (praxis) inom området. 

Ett dataskyddsombud har en oberoende ställning i företag och dennes åsikt har en stor betydelse. Om personen kommer fram till att företaget behöver samråda med IMY innan en viss behandling, ska företaget göra det. I vissa fall behöver företag nämligen samråda med IMY innan en viss behandling av personuppgifter sker, och innan kontakten med IMY ska företaget göra en konsekvensbedömning. Dessutom är det tillåtet för dataskyddsombudet att även ha andra arbetsuppgifter på företaget, men det är viktigt att det då inte finns någon intressekonflikt.