Vad gör ett dataskyddsombud i praktiken?

2 minuter läsning • Vilgot Sahlholm • DATASKYDDSFöRORDNINGEN • 21 juli 2025
  1. Externt DSO – när är det rätt val?
  2. Så här undviker du intressekonflikter i rollen

Ett dataskyddsombud (DSO) har som huvudsaklig uppgift att övervaka efterlevnaden av dataskyddsförordningen (GDPR) inom en organisation. Det innebär bland annat att ge råd, följa upp interna rutiner och fungera som kontaktpunkt mot Integritetsskyddsmyndigheten (IMY).

I praktiken handlar rollen ofta om att stödja verksamheten vid konsekvensbedömningar, säkerställa att rättsliga grunder används korrekt och bidra till en kultur av medvetenhet kring dataskydd. Det är inte dataskyddsombudet som ansvarar för beslut som påverkar behandlingen – ombudet får inte ens ha ett sådant ansvar då det skulle skapa en intressekonflikt i relation till rollen som dataskyddsombud.

Externt DSO – när är det rätt val?

För många organisationer är ett externt dataskyddsombud en både kostnadseffektiv och trygg lösning. Det gäller särskilt i mindre bolag eller där dataskydd bara är en del av en större compliance-funktion. Ett externt ombud kan också bidra med uppdaterad expertis och objektivitet.

  • Objektiv rollfördelning: Inga kopplingar till beslutsfattande om personuppgifter.
  • Specialiserad kompetens: Tillgång till samlad GDPR-erfarenhet.
  • Resursbesparing: Rollen kan fyllas av en extern konsult vilket innebär att omfattningen kan anpassas till verksamhetens behov.

Att anlita ett externt dataskyddsombud kräver att uppdraget formaliseras. Enligt artikel 37 GDPR ska både placering i organisationen och kommunikation med IMY säkerställas. Det är också viktigt att tydliggöra att rollen inte får påverkas av intressekonflikter.

Så här undviker du intressekonflikter i rollen

Ett vanligt misstag är att dataskyddsombudet samtidigt har en roll som innebär operativa beslut om personuppgiftsbehandling. Detta strider mot artikel 38.6 GDPR, som kräver att ombudet agerar oberoende och inte får instrueras i sitt uppdrag.

För att undvika intressekonflikter bör företaget analysera arbetsbeskrivningar och ansvarsfördelning. Om DSO är anställd internt behöver dennes organisatoriska placering granskas. Den som beslutar om ändamål och medel med behandling eller anställda som har chefspositioner bör inte utses till dataskyddsombud.

Hos Morling Consulting erbjuder vi lösningar där oberoendet alltid är garanterat. Våra GDPR-jurister tar uppdrag som dataskyddsombud på tillfällig (interim) basis eller tillsvidare.

Senaste inlägg

Bilden visar en jurist som analyserar ett avtal.

6 november 2025

Vad gör en GDPR-advokat?
Läs mer
Bilden visar en man som står brerdvid ett när som representerar gdpr.

5 november 2025

GDPR-audit i praktiken – så testar du din efterlevnad innan IMY gör det
Läs mer
En illustration i Material Design-stil som visar en server där binärkod rinner ut som ett digitalt läckage. Runt servern finns en transparent sköld med ett vitt paragraftecken (§), som symboliserar juridiskt skydd mot dataläckage. Bilden går i ljusa blå toner med inslag av turkos och små orangea detaljer.

4 november 2025

IMY inleder granskning efter Miljödata-läckan
Läs mer