EDPS stärker DPO-rollen för EU-institutioner - en tydlig signal även för företagare
)
)
I början av 2026 tog European Data Protection Supervisor (EDPS) ett principiellt viktigt beslut för att stärka dataskyddsombudets oberoende inom EU:s institutioner: en EU-institution får inte längre avsätta sitt dataskyddsombud (DPO) utan EDPS godkännande.
Kravet infördes genom Regulation (EU) 2026/199.
Dataskydd är inte en administrativ fråga. Det är en tydlig markering att DPO:ns oberoende är en strukturellt skyddad funktion.
Vad har EDPS egentligen beslutat?
De nya reglerna innebär att en institution som vill skilja en DPO från uppdraget måste:
lämna in en motiverad och dokumenterad begäran till EDPS
ge DPO:n ges rätt att yttra sig och
skälen prövas externt
EDPS bedömer om avskedandet riskerar att undergräva oberoendet. På detta vis görs den oberoendeprincip avseende DPO, som redan finns i lagstiftningen, verifierbar.
Det är inte en formalitet. Det är ett strukturellt skydd för funktionen.
Vad säger den nya vägledningen om DPO-rollen?
Den nya vägledningen klargör hur DPO-rollen ska fungera i praktiken. Vägledningen framhäver tydlig organisatorisk placering, direkt tillgång till ledningen, tillräckliga resurser och skydd mot intressekonflikter. Budskapet är att rollen som DPO ska vara en aktiv kontrollfunktion i styrningen, inte en symbolisk roll för compliance.
Varför är detta relevant för privata företag?
Även om dessa regler formellt gäller EU-institutioner är signalvärdet betydande för privata företag. Utvecklingen visar hur tillsynsmyndigheter ser på dataskydd, som en fråga om bolagsstyrning, ansvarsfördelning och dokumenterad riskhantering.
För företag finns här en särskilt viktig lärdom.
Det är inte förbjudet att gå emot en DPO:s rekommendation. Ledningen har alltid det yttersta ansvaret och måste väga samman juridiska, affärsmässiga och strategiska överväganden. Men att gå emot DPO:s rekommendation utan dokumentation medför en betydande risk.
Om ett företag väljer en annan väg än den DPO:n föreslår bör det finnas en saklig och proportionerlig motivering och dokumentation som visar att frågan har behandlats på rätt beslutsnivå. Vid en tillsyn är det inte ovanligt att tillsynsmyndigheten (IMY) tittar på just det här.
De senaste åtgärderna från EDPS tydliggör att GDPR handlar inte om att säga att man gör rätt utan det handlar om att visa att man gör rätt.
Budskapet är därför tydligt. Det räcker inte att ha en DPO för att uppfylla lagens krav. Man måste också ha en struktur för hur råd och rekommendationer från DPO tas emot, dokumenteras och hanteras. Om rekommendationerna inte följs, ska detta dokumenteras på ett motiverat och försvarbart sätt.
Det är där skillnaden mellan formell efterlevnad och konkret dataskyddsstyrning blir tydlig. En DPO är i mångt och mycket IMY:s förlängda arm, det är dags att behandla rollen mindre som en papperstiger och förstå vikten av att ha någon i företaget som inte är rädd för att peka på faktiska risker och konkret försöka skapa en mer konkurrenskraftig, säker och robust organisation.
Fondia hjälper er att ligga steget före
Om ni vill höra mer om vår tjänst DPOaaS så hör av er, vi är inte passiva utan vi skapar ett faktiskt värde.
Kontakta Fondia för affärsnära juridisk rådgivning.