Reglene om personvern som kom i juli 2018 (GDPR) innebærer at flere virksomheter enn tidligere må opprette et personvernombud. De nye reglene har også styrket personvernombudets rolle.
Et personvernombud er en ressursperson som skal bidra til at virksomheten følger reglene om personvern. Det er imidlertid virksomhetens ledelse som er ansvarlig for behandlingen av personopplysningene og at lovgivningen følges. Personvernombudet skal kun anses som en ressursperson.
I tillegg til å bidra til at virksomheten etterlever personvernreglene, skal personvernombudet også heve kunnskapen og bevisstheten om personvern internt i virksomheten.
Det er uten betydning om ombudet er ansatt internt i virksomheten eller om det er innhentet en ekstern ressursperson.
Før har ordningen med personvernombud vært frivillig, men med GDPR ble ordningen obligatorisk for mange virksomheter. Du må derfor vurdere om din virksomhet er omfattet av den nye personvernombudsordningen.
Les mer: GDPR - 7 tiltak du bør gjøre nå
Merk at plikten til å opprette personvernombud er uavhengig av om virksomheten er å anse som såkalt databehandler eller behandlingsansvarlig.
Offentlig myndigheter eller andre offentlige organer som behandler personopplysninger vil være forpliktet til å opprette personvernombud. Domstoler er imidlertid unntatt fra reglene når disse handler innenfor rammen av sin domsmyndighet.
Virksomheter som har som «hovedvirksomhet» å behandle personopplysninger på en slik art, omfang og/eller formål, og som krever regelmessig og systematisk monitorering (overvåkning) av personer, vil også være forpliktet til å opprette personvernombud.
Et typisk eksempel som ofte blir nevnt er et vaktselskap som har kameraovervåkning på flere kjøpesentre. Hovedformålet til vaktselskapet er å passe på sikkerheten. Vaktselskapets kameraovervåkning anses som behandling av personopplysninger siden bilder og videoer av personer som kan identifiseres er å anse som personopplysninger. Siden kameraovervåkningen er regelmessig og systematisk samt har et såpass stort omfang, vil vaktselskapet ha plikt til å opprette et personvernombud.
Virksomheter som har som hovedvirksomhet å behandle sensitive personopplysninger og personopplysninger om straffedommer og straffbare forhold i stor skala, må også opprette personvernombud.
Les også: GDPR: Hvordan påvirker personvernreglene din virksomhet?
Personvernombudet har en rekke oppgaver og virksomhetene er ansvarlige for at det blir tilstrekkelig tilrettelagt og at man tilbyr de nødvendige ressursene for at personvernombudet skal kunne utføre arbeidsoppgavene på en god måte.
Oppgavene til personvernombudet innebærer at det er nødvendig at personvernombudet har en viss kunnskap om personvern. Personvernombudet skal derfor utpekes på grunnlag av sine faglige kvalifikasjoner.
Selv om personvernombudet har mange oppgaver og plikter, er det viktig å huske på at det er virksomhetene selv om er ansvarlige for at kravene i personopplysningslovgivningen følges. Virksomhetene har ikke lov til å si opp eller på annen måte straffe personvernombudet for at vedkommende utfører arbeidsoppgavene sine på en mangelfull måte.
Er du usikker på om din virksomhet må opprette personvernombud, er vårt råd å ta kontakt med juridisk rådgivning for å få bistand til å vurdere hvorvidt dere vil være forpliktet til å opprette dette.
Les mer om hva vi kan hjelpe deg med på nettsiden: Personvern og GDPR
Denne artikkelen ble opprinnelig publisert 15. mars 2018. Sist oppdatert august 2022.