Ett dataskyddsombud (DSO) är en formellt utsedd funktion med självständighet, mandat och löpande kontrollansvar enligt GDPR artikel 37. Frågan om ni behöver ett dataskyddsombud eller räcker det med någon som kan GDPR avgörs inte av hur kunnig personalen är, utan av verksamhetens karaktär och de behandlingar ni utför. Många svenska organisationer har kompetenta jurister, IT-chefer och compliance-ansvariga, men saknar ändå den formella DSO-funktion som GDPR kräver. Det är en skillnad som kan kosta dyrt vid tillsyn.
Behöver vi ett dataskyddsombud eller räcker det med någon som kan GDPR?
GDPR ställer krav på att utse ett dataskyddsombud i tre specifika fall, och dessa krav styrs av verksamhetens art, inte av organisationens storlek eller personalens utbildningsnivå. DSO-plikt är funktionsbaserad och oberoende av om ni är ett litet bolag med tio anställda eller en stor koncern med tusen. Det är vad ni gör med personuppgifter som avgör skyldigheten.
De tre huvudfallen enligt GDPR artikel 37 är:
- Offentliga myndigheter och organ. Alla offentliga myndigheter och organ är skyldiga att utse ett dataskyddsombud, med undantag för domstolar i deras dömande verksamhet.
- Systematisk och storskalig övervakning. Organisationer vars kärnverksamhet innebär regelbunden och systematisk övervakning av registrerade i stor skala, till exempel telekommunikationsföretag, banker och försäkringsbolag.
- Storskalig behandling av känsliga personuppgifter. Organisationer som i stor skala behandlar särskilda kategorier av personuppgifter enligt artikel 9, till exempel hälsodata, biometriska uppgifter eller uppgifter om etniskt ursprung.
Vid bedömningen av om ni omfattas måste ni analysera verksamhetens art och omfång, inte bara titta på personalens titlar eller utbildningsnivå. En privat vårdgivare med hundra patienter kan vara skyldig att utse DSO, medan ett teknikföretag med femhundra anställda kanske inte är det, beroende på vilka personuppgifter som behandlas och hur.
Att inte utse DSO när skyldigheten föreligger utgör en regelöverträdelse enligt GDPR artikel 83 och kan leda till ekonomiska sanktioner och tillsynsåtgärder från Integritetsskyddsmyndigheten (IMY). Det är alltså inte en formalitet att ta lätt på.
You are currently viewing a placeholder content from Default. To access the actual content, click the button below. Please note that doing so will share data with third-party providers.
Vad gör ett dataskyddsombud som en jurist eller IT-chef inte gör?
DSO-rollen är unik i sitt mandat och sin självständighet, och det är just detta som skiljer den från alla andra GDPR-relaterade roller i en organisation. En jurist ger juridiska råd. En IT-chef hanterar tekniska säkerhetslösningar. En compliance officer ser till att processer följer interna riktlinjer. DSO gör något annat: DSO övervakar att organisationen faktiskt följer GDPR, rapporterar direkt till högsta ledningen och kan inte avskedas eller bestraffas för att ha utfört sina uppgifter.
Tabellen nedan visar de viktigaste skillnaderna:
| Roll | Primärt fokus | Självständighet | Mandat enligt GDPR |
|---|---|---|---|
| Dataskyddsombud (DSO) | Tillsyn, rådgivning, kontroll av efterlevnad | Hög, skyddad av GDPR | Ja, formellt reglerat |
| Jurist | Juridisk rådgivning och avtalsgranskning | Begränsad av uppdragsgivaren | Nej |
| Privacy manager | Operativt dataskyddsarbete och policyer | Varierar | Nej |
| Compliance officer | Regelefterlevnad generellt | Varierar | Nej |
| IT-säkerhetsansvarig | Teknisk informationssäkerhet | Begränsad | Nej |
DSO fungerar som kontaktpunkt för registrerade och ansvarar för rådgivning, utbildning och kontroll av efterlevnad inom organisationen. Stockholms stad är ett tydligt exempel på hur DSO hanterar frågor om personuppgiftsbehandling i praktiken, från enskilda medborgares rättigheter till interna processer och leverantörsbedömningar.
Det som gör DSO-rollen svår att ersätta är kombinationen av tre egenskaper: specialiserad kompetens inom dataskyddsrätt, ett formellt oberoende mandat och en löpande kontrolluppgift. En jurist kan ha den första egenskapen. En intern chef kan ha den andra om organisationen väljer det. Men utan alla tre egenskaper i samma funktion uppfylls inte GDPR:s krav.
Proffstips: Om ni är osäkra på om er nuvarande GDPR-ansvarige uppfyller kraven för ett dataskyddsombud, kontrollera tre saker: har personen ett formellt skydd mot repressalier, rapporterar personen direkt till högsta ledningen och har personen tillräcklig tid avsatt för uppdraget? Saknas något av dessa tre är det inte en DSO.
Varför räcker inte intern GDPR-kompetens som ersättning för DSO?
Intern GDPR-kompetens är värdefull, men den ersätter inte behovet av ett formellt dataskyddsombud med mandat och oberoende kontroll. Det är en distinktion som många organisationer missar, och konsekvenserna visar sig ofta först vid en tillsynsgranskning eller en personuppgiftsincident.
DSO:s uppgifter sträcker sig långt bortom att känna till GDPR:s regler. Rollen innefattar:
- Styrning och uppföljning. DSO ska löpande kontrollera att organisationens behandlingar av personuppgifter följer GDPR, inklusive att register över behandlingar är uppdaterade och korrekta.
- Utbildning och medvetandehöjning. DSO ansvarar för att personal som hanterar personuppgifter får adekvat utbildning och förstår sina skyldigheter.
- Riskbedömning och konsekvensbedömningar. DSO ska ge råd om och övervaka genomförandet av konsekvensbedömningar (DPIA) vid högriskbehandlingar. En konsekvensbedömning enligt GDPR är ett konkret exempel på en process där DSO:s roll är avgörande.
- Incidenthantering. DSO ska vara involverad i hanteringen av personuppgiftsincidenter och säkerställa korrekt rapportering till IMY inom 72 timmar.
- Kontaktpunkt mot IMY. DSO är organisationens officiella kontaktpunkt gentemot tillsynsmyndigheten.
“Systematiskt och formaliserat dataskyddsarbete, understött av en DSO-funktion med mandat, är avgörande för att klara tillsyn och minimera incidentrisker.”
IMY rapporterade en ökning med nära 90 procent av personuppgiftsincidenter under 2025 jämfört med 2024, totalt 12 276 anmälningar. Det innebär att organisationer utan en fungerande DSO-funktion med tydligt incidentansvar löper en påtaglig risk att hantera incidenter felaktigt eller för sent.
Riskerna med att förlita sig enbart på en IT-chef, jurist eller en GDPR-policy utan mandat är konkreta. En IT-chef saknar ofta den juridiska kompetensen att bedöma rättslig grund och registrerades rättigheter. En jurist anlitas ofta punktvis och har inte den löpande överblick som DSO-rollen kräver. En policy är ett dokument, inte en funktion. Ingen av dessa alternativ uppfyller GDPR:s krav på en oberoende kontrollfunktion.
Proffstips: Dokumentera tydligt vem i er organisation som ansvarar för varje del av GDPR-efterlevnaden. Om samma person är ansvarig för att fatta beslut om personuppgiftsbehandlingar och för att kontrollera att dessa beslut följer GDPR, saknar ni den oberoende kontroll som DSO-rollen kräver.
Vanliga missförstånd om dataskyddsombud
Tre påståenden dyker upp regelbundet när svenska organisationer diskuterar om de behöver ett dataskyddsombud. Alla tre är felaktiga, och alla tre kan leda till att organisationen befinner sig i regelstrid utan att veta om det.
“Vi har redan en IT-chef.” IT-chefen ansvarar för teknisk informationssäkerhet, inte för juridisk efterlevnad av GDPR. Informationssäkerhet och dataskydd överlappar, men är inte samma sak. IT-chefen kan inte vara DSO om rollen innebär en intressekonflikt, till exempel om IT-chefen också fattar beslut om vilka system som används för personuppgiftsbehandling.
“Vår jurist kan ta det.” En jurist kan ha GDPR-kompetens, men DSO-rollen kräver mer än juridisk kunskap. DSO har ett särskilt mandat som tillsynsrådgivare och oberoende kontrollfunktion, vilket en jurist som rapporterar till samma ledning som fattar besluten inte kan uppfylla. Dessutom kräver rollen löpande närvaro i verksamheten, inte punktvisa juridiska bedömningar.
“Vi har en GDPR-policy.” En policy beskriver hur organisationen avser att arbeta. Den kontrollerar inte att arbetet faktiskt utförs korrekt, identifierar inte avvikelser och rapporterar inte till ledningen. Många organisationer förväxlar begreppet “kunna GDPR” med att täcka DSO:s krav, vilket leder till bristande systematik och otydlig ansvarsfördelning.
Det gemensamma felet i alla tre missförstånden är att de blandar ihop funktion med titel och kompetens med mandat. GDPR kräver inte att ni anställer en person med titeln “dataskyddsombud”. GDPR kräver att ni inrättar en funktion med specifika uppgifter, ett formellt oberoende och tillräckliga resurser för att utföra uppdraget. Skillnaden är avgörande vid tillsyn.
IMY:s tillsyn 2026 prioriterar områden som AI, barns personuppgifter och brottsbekämpning, med höga krav på dokumentation, riskanalyser och kontroll av avtal. Organisationer som saknar en fungerande DSO-funktion kommer att ha svårt att visa att de uppfyller dessa krav.
Hur ska ni utforma er DSO-funktion i praktiken?
Många organisationer är inte skyldiga att utse ett dataskyddsombud enligt artikel 37, men behöver ändå en tydligt definierad och fungerande DSO-funktion. Det är en viktig distinktion. Att inte vara lagligt skyldig att utse DSO innebär inte att ni kan ignorera behovet av systematiskt dataskyddsarbete med tydligt ansvar.
För organisationer som är skyldiga att utse DSO finns flera praktiska alternativ:
- Intern DSO på heltid. Passar större organisationer med komplex och omfattande personuppgiftsbehandling. Kräver att personen har tillräcklig tid, kompetens och ett formellt skydd mot repressalier.
- Intern DSO på deltid. Möjligt om rollen inte innebär intressekonflikt och personen har tillräcklig tid avsatt. Vanligt i medelstora organisationer.
- Extern DSO. En konsult eller ett specialistföretag utses som DSO. Intern DSO får inte stå i intressekonflikt och måste ha tillräcklig tid och kompetens, vilket gör att extern DSO ofta är ett bättre alternativ för organisationer där interna kandidater har motstridiga ansvarsområden. Information om hur ni hittar rätt extern DSO-konsult kan vara ett bra startpunkt.
- Delad DSO-funktion. Flera organisationer inom samma koncern kan dela ett dataskyddsombud, förutsatt att DSO är tillgänglig för varje organisation.
Oavsett vilken form ni väljer gäller samma grundkrav: mandat, oberoende och tillräckliga resurser. En DSO som inte har tid att utföra uppdraget, som saknar tillgång till ledningen eller som riskerar repressalier för sina slutsatser uppfyller inte GDPR:s krav, oavsett titel.
DSO är en katalysator för tvärfunktionellt dataskyddsarbete och avgörande för organisationens förmåga att hantera registrerades rättigheter och risker. En väldefinierad DSO-funktion ger inte bara regelefterlevnad. Den ger också bättre riskhantering, tydligare ansvarsfördelning och en organisation som kan visa att den faktiskt följer GDPR, inte bara att den försöker.
Proffstips: Börja med att dokumentera era behandlingar av personuppgifter och bedöm sedan om någon av de tre skyldighetskriterierna i artikel 37 är uppfyllda. Använd gärna en GDPR-kontrollista som stöd i bedömningen.
Viktiga slutsatser
En fungerande DSO-funktion med mandat och oberoende är inte utbytbar mot intern GDPR-kompetens, och skyldigheten att utse DSO styrs av verksamhetens art, inte av organisationens storlek eller personalens kunskapsnivå.
| Punkt | Detaljer |
|---|---|
| DSO-plikt styrs av verksamheten | Artikel 37 kräver DSO vid offentlig verksamhet, systematisk övervakning eller storskalig känslig databehandling. |
| Intern kompetens ersätter inte DSO | En jurist, IT-chef eller policy uppfyller inte kravet på oberoende kontrollfunktion med formellt mandat. |
| Mandat och oberoende är kärnan | DSO måste ha skydd mot repressalier, direkt rapporteringsväg till ledningen och tillräcklig tid för uppdraget. |
| Extern DSO är ett giltigt alternativ | Organisationer där interna kandidater har intressekonflikter bör överväga extern DSO-konsult. |
| Tillsyn ökar kraven | IMY:s prioriterade tillsyn 2026 ställer höga krav på dokumentation och aktiv DSO-funktion. |
Skillnaden mellan kompetens och funktion, ur mitt perspektiv
Under åren har jag sett ett återkommande mönster i svenska organisationer: man antar att GDPR-kompetens och DSO-funktion är samma sak. Det är de inte, och det är ett misstag som kostar mer än man tror.
Det som slår mig mest är hur ofta organisationer har investerat i utbildning, policyer och tekniska lösningar, men aldrig formaliserat vem som faktiskt har mandat att säga stopp när en behandling inte uppfyller kraven. En jurist kan identifiera problemet. En IT-chef kan stänga av ett system. Men utan en DSO-funktion med formellt oberoende finns det ingen i organisationen vars uppgift det är att löpande kontrollera att allt faktiskt fungerar som det ska, och som kan göra det utan att riskera sin position.
Jag har också sett hur intensifierad tillsyn från IMY förändrar bilden. DSO-rollen är inte längre administrativ. Det är en aktiv, strategisk roll i organisationens styrning av dataskydd. Organisationer som behandlar AI-genererade personuppgifter, barns data eller uppgifter inom brottsbekämpning utan en fungerande DSO-funktion befinner sig i en mycket utsatt position.
Min rekommendation till företagsledare är enkel: börja med att skilja på frågan “har vi GDPR-kompetens?” och frågan “har vi en DSO-funktion?”. Svaret på den första frågan säger ingenting om svaret på den andra. Och det är den andra frågan som IMY ställer vid tillsyn.
— Jesper
Vill ni veta om ni behöver ett dataskyddsombud?
Att avgöra om er organisation är skyldig att utse ett dataskyddsombud, och hur den funktionen bör utformas, kräver en bedömning av era specifika behandlingar och verksamhetens karaktär. Det är inte alltid uppenbart, och ett felaktigt beslut i endera riktningen kan få konsekvenser.
Trustview hjälper organisationer att göra just den bedömningen. Plattformen samlar era behandlingsregister, riskbedömningar och ansvarsfördelning på ett ställe, vilket gör det möjligt att visa att ni följer GDPR, inte bara att ni försöker. Vill ni reda ut om ni behöver ett dataskyddsombud och hur rollen bör utformas hos er? Trustview hjälper er att göra bedömningen och bygga en hållbar compliance-funktion som håller vid tillsyn.
FAQ
När är ett företag skyldigt att utse dataskyddsombud?
Skyldigheten gäller offentliga myndigheter, organisationer vars kärnverksamhet innebär systematisk och storskalig övervakning av personer, samt organisationer som i stor skala behandlar känsliga personuppgifter enligt GDPR artikel 37. Bedömningen baseras på verksamhetens art, inte på organisationens storlek.
Kan vår jurist vara dataskyddsombud?
En jurist kan utses till dataskyddsombud om personen har rätt kompetens, tillräcklig tid och ett formellt oberoende från de delar av verksamheten som fattar beslut om personuppgiftsbehandlingar. Om juristen rapporterar till samma ledning som fattar dessa beslut uppstår en intressekonflikt som diskvalificerar rollen.
Vad är skillnaden mellan dataskyddsombud och privacy manager?
Ett dataskyddsombud har ett formellt mandat och oberoende enligt GDPR, rapporterar direkt till högsta ledningen och är skyddad mot repressalier. En privacy manager arbetar operativt med dataskyddsfrågor men saknar det formella skyddet och mandatet som GDPR kräver av ett dataskyddsombud.
Hur mycket kostar ett externt dataskyddsombud?
Kostnaden för ett externt dataskyddsombud varierar beroende på organisationens storlek, komplexitet och hur många timmar uppdraget kräver per månad. Många specialistföretag erbjuder paketlösningar som är betydligt mer kostnadseffektiva än att anställa en heltids-DSO internt.
Räcker det med en GDPR-policy för att uppfylla kraven?
En GDPR-policy är ett dokument som beskriver avsikter, inte en funktion som kontrollerar efterlevnad. GDPR kräver att organisationer kan visa faktisk efterlevnad genom dokumentation, löpande kontroll och tydlig ansvarsfördelning, vilket en policy ensam inte kan åstadkomma.
