Vi är en mindre vårdcentral, måste vi ha ett dataskyddsombud?

För att veta vilka verksamheter som kan behöva ett dataskyddsombud måste man se till artikel 37.1 GDPR ifall man tillhör någon av nedan kategorier:

  1. Behandlingen genomförs av en myndighet eller ett offentligt organ
  2. Kärnverksamheten innebär behandling som innebär regelmässig och systematisk övervakning i stor omfattning
  3. Kärnverksamheten består av behandling i stor omfattning av särskilda kategorier  av uppgifter t.ex. hälsouppgifter m.m.

Den punkt som kan bli aktuell för er är punkten tre ovan ifall behandlingen bedöms utgöra “stor omfattning.” Enligt Artikel 29-gruppen är behandling som utförs av en enskild läkare på egen klinik inte att se som stor omfattning. I svaret utgår jag från att ni är fler varför ni omfattas av punkten tre ovan, och ett dataskyddsombud krävs.

Ett dataskyddsombud ska anmälas till tillsynsmyndigheten vilket i Sverige är Integritetsskyddsmyndigheten (Artikel 37.2 punkten 7 GDPR). Anmälan görs digitalt via IMY:s hemsida. Ni är även skyldiga att offentliggöra dataskyddsombudets kontaktuppgifter (Artikel 37.2 punkten 7 GDPR). Lämpligen har ni denna information i er integritetspolicy och på er hemsida väl synligt.

LAGSTÖD

Dataskyddsförordningen (GDPR); artikel 37.1 och 37.2

 

Inlagd i kategori: