Ett dataskyddsombud (DSO) är en person – intern eller extern – som utses för att självständigt övervaka en organisations efterlevnad av dataskyddsförordningen. Ombudets roll definieras i artiklarna 37–39 i dataskyddsförordningen: artikel 37 anger när ett ombud är obligatoriskt, artikel 38 skyddar ombudets oberoende och ställning, och artikel 39 räknar upp ombudets uppgifter. En vanlig missuppfattning är att dataskyddsombudet ansvarar för själva efterlevnaden. Det stämmer inte: ombudet är en rådgivande och övervakande funktion, medan den personuppgiftsansvarige bär det rättsliga ansvaret. Den här guiden förklarar när ett dataskyddsombud krävs, vilka uppgifterna är och hur oberoendet ska säkerställas.
När är ett dataskyddsombud obligatoriskt?
Enligt artikel 37.1 ska ett dataskyddsombud utses i tre fall:
- Myndigheter och offentliga organ (utom domstolar i deras dömande verksamhet). I Sverige omfattar detta kommuner, regioner och statliga myndigheter.
- Organisationer vars kärnverksamhet består av regelbunden och systematisk övervakning av registrerade i stor omfattning – exempelvis beteendebaserad annonsering, spårning eller platsdata.
- Organisationer vars kärnverksamhet består av behandling i stor omfattning av känsliga personuppgifter (art. 9) eller uppgifter om lagöverträdelser – exempelvis sjukhus eller större vårdgivare.
Nyckelbegreppen är kärnverksamhet, stor omfattning och regelbunden och systematisk övervakning. En organisation som är osäker bör dokumentera sin bedömning – även beslutet att inte utse ett ombud ska kunna motiveras. Bedömningen bygger direkt på vilka behandlingar som framgår av er registerförteckning.
Även när det inte är obligatoriskt kan en organisation frivilligt utse ett dataskyddsombud. Gör den det, gäller samma krav i artiklarna 38–39 fullt ut.
Vilka uppgifter har dataskyddsombudet? (Artikel 39)
Artikel 39.1 räknar upp fem uppgifter:
- Informera och ge råd till den ansvarige, biträdet och de anställda om deras skyldigheter enligt dataskyddsförordningen.
- Övervaka efterlevnaden, inklusive ansvarsfördelning, medvetandehöjande åtgärder, utbildning och tillhörande granskningar.
- Ge råd om konsekvensbedömningar (DPIA) och övervaka deras genomförande enligt artikel 35.
- Samarbeta med tillsynsmyndigheten (IMY).
- Vara kontaktpunkt för IMY i frågor som rör behandlingen, inklusive förhandssamråd enligt artikel 36.
Artikel 39.2 tillägger att ombudet ska prioritera utifrån risk – alltså lägga störst kraft på behandlingar med hög risk för de registrerade. I praktiken bistår ombudet ofta även med att upprätthålla registerförteckningen, även om det inte uttryckligen anges i artikel 39.
Oberoende och ställning (Artikel 38)
Artikel 38 innehåller flera skydd för ombudets oberoende:
- Ombudet får inte ta emot instruktioner om hur uppgifterna ska utföras (art. 38.3).
- Ombudet får inte avskedas eller bestraffas för att ha utfört sina uppgifter.
- Ombudet ska rapportera direkt till högsta ledningen.
- De registrerade ska kunna kontakta ombudet direkt.
Ombudet får ha andra uppgifter i organisationen, men bara om de inte leder till en intressekonflikt (art. 38.6). Det innebär i praktiken att den som fastställer ändamålen med behandlingar – som IT-chef, HR-chef eller VD – inte samtidigt kan vara dataskyddsombud, eftersom den då skulle övervaka sitt eget arbete. EDPB:s samordnade granskning 2024, som samlade över 17 000 svar, pekade just ut intressekonflikter och bristande oberoende som återkommande problem.
Internt eller externt ombud?
Ombudet kan vara en anställd eller en extern uppdragstagare (art. 37.6). Ett internt ombud har god kännedom om verksamheten men riskerar intressekonflikter och kräver löpande kompetensutveckling. Ett externt ombud ger oberoende och specialistkompetens men behöver tillräcklig insyn i organisationen. Oavsett modell krävs det som artikel 38.2 föreskriver: tillräckliga resurser, tid och tillgång till systemen.
Många organisationer kombinerar ett externt ombud med en intern plattform som dokumenterar behandlingar, biträdesavtal och åtgärder. Verktyg som Legiscope ger ombudet det underlag och de spårbara register som krävs för att både övervaka efterlevnaden och visa upp den vid en tillsyn. Ombudets arbete vilar tungt på två dokument: registerförteckningen och personuppgiftsbiträdesavtalen.
Kvalifikationer
Artikel 37.5 kräver att ombudet utses utifrån yrkesmässiga kvalifikationer, särskilt sakkunskap om dataskyddslagstiftning och praxis. Någon obligatorisk certifiering eller examen krävs inte, men kunskapsnivån ska motsvara komplexiteten i organisationens behandlingar. Ett sjukhus som behandlar hälsouppgifter i stor omfattning behöver ett ombud med djupare kompetens än ett litet bolag med enbart personaluppgifter.
Resurser, rapportering och dokumentation
Artikel 38.2 kräver att den ansvarige tillhandahåller de resurser som behövs för att ombudet ska kunna utföra sina uppgifter: budget för utbildning, tillgång till IT-systemen och tillräckligt med tid. EDPB:s granskning 2024 pekade ut just bristande resurser – för små budgetar, för lite tid och underbemanning – som ett återkommande problem. I större organisationer överstiger ombudets arbetsbörda ofta en persons kapacitet, vilket gör att ett stödteam behövs.
Ombudet ska också rapportera direkt till högsta ledningen (art. 38.3). Denna rapportering fyller två syften: den säkerställer att dataskyddsfrågor når beslutsfattarna och den skyddar ombudet från påtryckningar från mellanchefer. I praktiken bör ombudet föra dokumentation över sina råd och bedömningar, så att det går att visa både vad ombudet rekommenderat och hur organisationen agerat. Ombudet omfattas dessutom av tystnadsplikt (art. 38.5).
Ombudet och organisationens övriga dataskyddsarbete
Ett vanligt missförstånd är att utnämningen av ett ombud i sig löser efterlevnaden. Ombudet övervakar och ger råd, men det operativa arbetet – att upprätthålla registret, granska biträdesavtal, hantera begäranden – ligger kvar hos verksamheten. Ombudets värde ligger i att identifiera brister och driva på åtgärder, inte i att utföra dem. För att ombudet ska kunna göra det krävs ett underlag som är aktuellt och spårbart, vilket är skälet till att många organisationer stödjer ombudsarbetet med en plattform som håller registret och avtalen levande. Väljer ni att inte utse ett ombud bör bedömningen dokumenteras, eftersom även det beslutet ska kunna motiveras vid en tillsyn.
Vanliga frågor
Måste alla företag ha ett dataskyddsombud?
Nej. Skyldigheten gäller myndigheter samt organisationer vars kärnverksamhet innebär storskalig övervakning eller storskalig behandling av känsliga uppgifter. Många små och medelstora företag omfattas inte, men bör dokumentera sin bedömning. Även den som inte är skyldig kan utse ett ombud frivilligt.
Vad kostar ett externt dataskyddsombud?
Kostnaden varierar med organisationens storlek och behandlingarnas komplexitet, från några tusen kronor i månaden för mindre bolag till betydligt mer för organisationer med storskalig behandling. Kostnaden minskar om ombudet stöds av en plattform som håller register och biträdesavtal aktuella; se vår kostnadsguide för hur verktygskostnaden ser ut.
Kan dataskyddsombudet hållas personligt ansvarigt?
Nej. Det rättsliga ansvaret ligger hos den personuppgiftsansvarige eller biträdet, inte hos ombudet. Ombudet kan dock bli ansvarigt om det aktivt medverkar till en överträdelse, exempelvis genom att medvetet ge felaktiga råd.
Anmälan av dataskyddsombudet till IMY
När ett dataskyddsombud har utsetts ska organisationen offentliggöra ombudets kontaktuppgifter och meddela dem till IMY (art. 37.7). Detta gäller oavsett om utnämningen är obligatorisk eller frivillig. Kontaktuppgifterna ska också vara lätt tillgängliga för de registrerade, exempelvis i integritetspolicyn, så att de kan vända sig direkt till ombudet med frågor och klagomål. Att utse ett ombud men glömma att anmäla det till tillsynsmyndigheten är ett vanligt formellt fel som är enkelt att undvika. Anmälan är dessutom en möjlighet att bekräfta internt att ombudets roll, oberoende och resurser faktiskt är på plats innan uppgifterna görs offentliga.
Slutsats
Dataskyddsombudet är en oberoende övervaknings- och rådgivningsfunktion, inte en ansvarig för efterlevnaden. Det är obligatoriskt för myndigheter och för organisationer med storskalig övervakning eller storskalig behandling av känsliga uppgifter – annars frivilligt, men då med samma krav. Ombudets fem uppgifter enligt artikel 39 kretsar kring att informera, övervaka och samarbeta med IMY, och oberoendet enligt artikel 38 kräver att ombudet inte övervakar sitt eget arbete. Grunden för ett fungerande ombudsarbete är ett aktuellt register och kontroll över biträdesavtalen – dokumentation som ett verktyg gör möjlig att upprätthålla.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial