Må min virksomhet ansette et personvernombud?

Etter de nye reglene vil mange virksomheter – små som store – bli pålagt å opprette et personvernombud.

Del

EUs personvernforordning (GDPR) blir norsk rett gjennom ny personvernlov 25. mai 2018. Etter de nye reglene vil mange virksomheter – små som store - bli pålagt å opprette et personvernombud. Virksomhetene er både opptatt av om de må ansette et personvernombud i sin virksomhet, og om det nærmere innhold i stillingen.

Hva er et personvernombud?

Et personvernombud er en person som er utpekt av en behandlingsansvarlig(virksomheten) eller databehandler(leverandør) i tilknytning til behandling av personopplysninger.

Personvernombudets overordnede oppgave er å bidra til at den behandlingsansvarlige/databehandleren overholder reglene om behandling av personopplysninger. (Merk at personvernforordningen ikke benytter betegnelsen personvernombud. I den foreløpige norske oversettelsen av personvernforordningen brukes i dag betegnelsen personvernrådgiver).

  • Personvernombudet bør ha kunnskap eller mulighet for opplæring innenfor så vel personvernrett som IT. Dette fordi personvernombudet har som oppgave å påse at forordningens regler overholdes gjennom kontroll, opplæring- og opplysningsansvar, avvikshåndtering, risikovurderinger, implementering av rutiner m.m. Videre skal han/hun informere den behandlingsansvarlige/databehandleren og de ansatte om endringer i regelverket og samarbeide med tilsynsmyndighetene (Datatilsynet).
  • Personvernombudet skal ha en sentral plass i den behandlingsansvarlige/databehandlerens organisasjon. Han/hun rapporterer til det øverste ledelsesnivå hos den behandlingsansvarlige/databehandleren, som normalt vil være daglig leder/administrerende direktør eller konsernsjef i konsernforhold.
  • Personvernombudet skal ikke instrueres om utførelse av sine oppgaver idet personvernombudet har en selvstendig og uavhengig stilling, og kan således f.eks. ikke sies opp eller avskjediges for utførelse av sine oppgaver.
  • Personvernombudet kan ha oppgaven som personvernombud ved siden av sin ordinære stilling. Hvis det er tilfelle må virksomheten sikre at de andre oppgavene og pliktene ikke fører til interessekonflikt. Dette må ses i sammenheng med at ombudet skal kunne utføre sine oppgaver på en uavhengig måte. I mange tilfeller vil det føre til interessekonflikter å være personvernombud samtidig som man har en lederstilling. Men dette må i hvert enkelt tilfelle vurderes konkret. Rollen som personvernombud kan også legges til en ekstern tredjepart (f.eks. konsulent eller advokat).
  • Kontaktopplysningene på personvernombudet skal offentliggjøres (de bør være lett tilgjengelige f.eks. publiseres på virksomhetens nettside) og tilsynsmyndigheten skal informeres om selve utnevnelsen. Mer informasjon om personvernombud finnes på Datatilsynets sider om personvernombud , herunder maler og verktøy for personvernombudene.

Må min virksomhet ha et personvernombud?

Både behandlingsansvarlige og databehandlere skal utpeke et personvernombud dersom:

  1. Behandlingen utføres av offentlig myndighet eller et offentlig organ, bortsett fra domstoler som handler innenfor rammen av sin domsmyndighet, eller
  2. Virksomheten har hovedvirksomhet som overvåker eller krever overvåkning av et stort antall registrerte. Datatilsynet går nærmere gjennom hva som vil anses å være "overvåking av et stort antall registrerte" i sin veileder jfr. nedenunder, eller
  3. Hovedvirksomheten består av behandling av sensitive personopplysninger i stor skala eller personopplysninger knyttet til straffbare forhold. Dette vil f.eks. kunne være helseforetak som driver med forskning mv.

I personvernforordningen åpnes det i tillegg for at det etter nasjonal rett kan pålegges personvernombud i andre tilfelle en de som er nevnt over. Virksomheter som faller utenfor nevnte kriterier kan derfor likevel tenkes å måtte engasjere personvernombud.

Dersom det ikke opprettes et personvernombud bør virksomheten dokumentere de vurderingene som er foretatt, med mindre det er helt opplagt at virksomheten ikke har en slik plikt. Dokumentasjonen er nødvendig for å vise at det er foretatt en reell vurdering ut fra de relevante kriteriene.

Datatilsynet og Virke anbefaler at det opprettes et personvernombud i alle virksomheter som behandler personopplysninger i stor skala eller behandler sensitive personopplysninger. Dette gjelder også de som ikke er pålagt å gjøre det.

Datatilsynet har laget en veileder om personvernombud etter nytt regelverk. Veilederen inneholder den nærmere informasjon om hvem som må ha et personvernombud, hvilke kvalifikasjoner ombudet må ha, ombudets plikter mv. I tillegg har Virke en egen side om de nye personvernregler som oppdateres oppdateres.

Denne artikkelen er levert av Hovedorganisasjonen Virke, og inngår i et samarbeid om utveksling av artikler med Regnskap Norge.

Aktuelle kurs

Aktuelle kurs