Personvernombud.jpg

Som følge av de nye reglene om personvern (GDPR) som kommer i medio 2018, må flere virksomheter enn i dag opprette et personvernombud. De nye reglene vil også styrke personvernombudets rolle. Vet du om din virksomhet må opprette personvernombud?  

Hva er et personvernombud?

Et personvernombud er en ressursperson som skal bidra til at virksomheten følger reglene om personvern. Det er imidlertid virksomhetens ledelse som er ansvarlig for behandlingen av personopplysningene og at lovgivningen følges. Personvernombudet skal kun anses som en ressursperson.

I tillegg til å bidra til at virksomheten etterlever personvernreglene, skal personvernombudet også heve kunnskapen og bevisstheten om personvern internt i virksomheten.

Det er uten betydning om ombudet er ansatt internt i virksomheten eller om det er innhentet en ekstern ressursperson.

Hvem må ha personvernombud?

Før har ordningen med personvernombud vært frivillig, men med GDPR blir ordningen obligatorisk for mange virksomheter. Du må derfor vurdere om din virksomhet blir omfattet av den nye personvernombudsordningen.

Les mer:  GDPR - 7 tiltak du bør gjøre nå

Merk at plikten til å opprette personvernombud er uavhengig av om virksomheten er å anse som såkalt databehandler eller behandlingsansvarlig.

Følgende virksomheter må opprette personvernombud:

  • Offentlig myndighet eller offentlig organ

Offentlig myndigheter eller andre offentlige organer som behandler personopplysninger vil være forpliktet til å opprette personvernombud. Domstoler er imidlertid unntatt fra reglene når disse handler innenfor rammen av sin domsmyndighet.   

  • Regelmessig og systematisk monitorering

Virksomheter som har som «hovedvirksomhet» å behandle personopplysninger på en slik art, omfang og/eller formål, og som krever regelmessig og systematisk monitorering (overvåkning) av personer, vil også være forpliktet til å opprette personvernombud.

Et typisk eksempel som ofte blir nevnt er et vaktselskap som har kameraovervåkning på flere kjøpesentre. Hovedformålet til vaktselskapet er å passe på sikkerheten. Vaktselskapets kameraovervåkning anses som behandling av personopplysninger ettersom bilder og videoer av personer som kan identifiseres er å anse som personopplysninger. Siden kameraovervåkningen har et såpass stort omfang, samt er regelmessig og systematisk, vil vaktselskapet ha plikt til å opprette et personvernombud.

  • Behandling av sensitive personopplysninger  

Virksomheter som har som hovedvirksomhet å behandle sensitive personopplysninger og personopplysninger om straffedommer og straffbare forhold i stor skala, må også opprette personvernombud.  

Sensitive personopplysninger er opplysninger om:  

  • Rasemessig eller etnisk opprinnelse
  • Politisk oppfatning
  • Religion eller filosofisk overbevisning
  • Genetiske og biometriske opplysninger når formålet med behandlingen er å identifisere en person entydig
  • Helseopplysninger
  • Opplysninger om en persons seksuelle forhold eller seksuelle legning

Les også: GDPR: Hvordan vil de nye personvernreglene påvirke din virksomhet?

Hva er personvernombudets oppgaver?

Personvernombudet har en rekke oppgaver, men virksomhetene er ansvarlige for at det blir tilrettelagt godt nok og at man tilbyr de nødvendige ressursene for at personvernombudet skal kunne utføre arbeidsoppgavene på en god måte.

Personvernombudet skal blant annet:

  • Informere, gi råd og anbefalinger til virksomheten og virksomhetens ansatte
  • Kontrollere overholdelsen av personvernlovgivningen
  • Gi råd om vurderingen av personvernkonsekvenser og kontrollere gjennomføringen av slike konsekvensanalyser
  • Samarbeide med Datatilsynet
  • Fungere som kontaktpunkt for Datatilsynet ved spørsmål om behandlingen i virksomheten
  • Utføre holdningsskapende arbeid i tillegg til opplæring av personer som er involvert i behandlingen av personopplysninger hos virksomheten

Oppgavene til personvernombudet innebærer at det er nødvendig at personvernombudet har en viss kunnskap om personvern. Personvernombudet skal derfor utpekes på grunnlag av sine faglige kvalifikasjoner.

Personvernombudet kan være ansatt i virksomheten eller være innhentet fra en annen virksomhet.

Personvernombudet har ikke ansvaret

Selv om personvernombudet har mange oppgaver og plikter, er det viktig å huske på at det er virksomhetene selv om er ansvarlige for at kravene i personopplysningslovgivningen følges. Virksomhetene har ikke lov til å si opp eller på annen måte straffe personvernombudet for at vedkommende utfører arbeidsoppgavene sine

Usikker på om dere må opprette personvernombud?

Er du usikker på om din virksomhet må opprette personvernombud, er vårt råd å ta kontakt med juridisk rådgivning for å få bistand til å vurdere hvorvidt dere vil være forpliktet til å opprette dette. Den nye personvernforordningen (GDPR) skal etter planen trå i kraft medio 2018 i Norge, og tiden begynner å bli knapp.

Vil du lære mer om GDPR og personvern? Last ned gratis guide her.

Last ned gratis guide GDPR og personvern: En guide for virksomheter som behandler personopplysninger