Blogg | Knowit

Del 1: Vem äger egentligen dataskyddet?

Skriven av Johanna Grundberg och Silje Stevenson | Aug 28, 2025 7:55:27 AM

Har du blivit "den som tar GDPR-frågorna"? Du vet, personen som kollegorna skickar halvt ifyllda mallar till, som förväntas besvara alla frågor om samtycken, incidenter och AI-lösningar, och som plötsligt ska stoppa eller godkänna beslut som redan fattats. Kanske är du ensam jurist i en stor organisation, kanske ny i din roll,  men oavsett vilket: du förväntas hålla ihop ett helt område utan att ha någon faktisk styrning i ryggen.

Känns det bekant? Då är det här inlägget för dig.


Bloggserien: Byggstenar för dataskyddsmognad

Detta är första delen i en serie där vi går igenom sex centrala aspekter som tillsammans bygger en mogen organisation inom dataskydd och regelefterlevnad.

Målet är att hjälpa dig som jurist eller expert att:

  • Känna igen var din organisation befinner sig
  • Hitta sätt att påverka – även utan fullt mandat
  • Få praktiska verktyg för att bygga struktur, tydlighet och samverkan

Om du arbetar i en organisation där dataskydd redan är en integrerad del av styrningen – stanna gärna kvar. I nästa inlägg fördjupar vi oss i kontroll och uppföljning, och du kommer känna igen både styrkor och möjliga förbättringsområden.

Men först: vad händer när ansvar saknas eller är otydligt?


Vem har ansvaret för dataskydd – egentligen?

I teorin är det enkelt: det personuppgiftsansvariga bolaget har det yttersta ansvaret. Men i praktiken?

I många organisationer:

  • Har juristen/experten ”fått” GDPR-frågorna, men inget mandat
  • Blandas dataskyddsombudets (DSO:s) oberoende och rådgivande roll ihop med faktiskt ansvar för regelefterlevnad
  • Tror verksamheten att det är juristens uppgift att godkänna allt
  • Vet ingen vem som faktiskt ska fatta beslut om behandlingar och risker

Resultatet? Alla väntar på någon annan – och ingenting händer. Eller, det händer massa saker utan att vi förstår vart vi är på väg.

Otydligt ansvar = trögt arbete, höga risker

När ansvar inte är tydligt:

  • Hamnar frågor mellan stolar
  • Blir arbetet reaktivt istället för förebyggande
  • Växer beroendet av dig som jurist – fast du saknar verktygen
  • Ökar risken för regelbrott och skadat förtroende

Du förväntas vinna Monacos Grand Prix i en Volvo 240.


Så kan du börja förändra – även utan formellt mandat

  1. Skissa på en enkel ansvarskarta

Fråga dig själv: vem bör göra vad i praktiken? Koppla faktiska moment till delar i din organisation – t.ex. kundservice, IT-utveckling, inköp av nya system, incidenthantering. Håll det konkret och verksamhetsnära.

  1. Samverka med de som redan jobbar med styrning

Du behöver inte bygga hela strukturen själv. Samverka med de som arbetar med:

  • Compliance – ofta vana att fördela och följa upp ansvar
  • Risk – kan hjälpa dig sätta dataskydd i riskperspektiv
  • Informationssäkerhet – ofta god inblick i system, kontroll och förvaltning
  • Intern styrning – kanske finns redan en beslutsmodell, kontrollplan eller delegeringsordning du kan koppla på, hitta den ansvariga för det

Dataskydd behöver inte ett eget styrsystem – det behöver jackas in i det som redan finns.

  1. Byt språk – från "ansvar" till "utförande"

Många drar sig för att ta ansvar. Men de säger ofta ja till att utföra något. Fråga: vem är bäst lämpad att genomföra det här momentet t.ex. svara på frågor om registrerades rättigheter, utföra radering av vissa data, skicka frågeunderlag till nya leverantörer eller kontrollera behörighet till ett system?

Då får du rörelse – även utan formell delegering.

  1. Lyft ansvarsfrågan som en risk – inte som en styrningsprincip

När ansvar inte är fördelat:

  • Riskerar frågor att fastna
  • Riskerar åtgärder att utebli
  • Riskerar du att stå ensam med ansvar du inte kan bära

Det är ett budskap ledningen ofta tar till sig – särskilt om du kopplar det till risk för sanktionsavgift samt försämrat förtroende för verksamheten.


Till sist: Du behöver inte vänta på mandat – du kan skapa klarhet

Det är vanligt att känna: "Jag får inte peka ut ansvar – det borde VD göra."
Och det är delvis sant. Men du kan:

  • Förbereda en struktur som ledningen kan godkänna
  • Identifiera nyckelpersoner och hitta moment där ansvar bör tydliggöras
  • Visa hur dataskydd kan integreras i befintlig styrning, inte konkurrera med den

När det blir konkret, relevant och kopplat till verklig verksamhetslogik – då brukar ansvar inte vara så svårt att fördela.


Nästa inlägg: Hur vet du att reglerna följs?

I del 2 av bloggserien tittar vi närmare på kontroll och uppföljning. För även om ansvar är tydligt – hur vet du att dataskyddsarbetet faktiskt fungerar i praktiken?

Vi ses där.
Visa hela inlägget