Er din virksomhet forpliktet til å ha personvernombud når personvernforordningen trer i kraft?

EUs personvernforordning blir norsk rett 25. mai 2018 (eller tidligere avhengig av ny personopplysningslov). Manglende overholdelse av reglene vil kunne medføre meget omfattende bøter. Blant annet vil visse virksomheter være forpliktet til å ha et personvernombud. Gjelder dette din virksomhet?

Det er beregnet at det er nødvendig med 28.000 personvernombud i Europa for å overholde personvernforordningen. Personvernforordningen er ikke bare den største endringen innenfor personvernlovgivning på 20 år, men vil også få omfattende virkning i de enkelte virksomheter. Virksomheter som i spesiell grad behandler personopplysninger, vil måtte ha et personvernombud.

Hva er et personvernombud? 

Et personvernombud er en person som er utpekt av en behandlingsansvarlig eller databehandler i tilknytning til behandling av personopplysninger. Personen har til oppgave å bidra til at den behandlingsansvarlige eller databehandleren overholder reglene om behandling av personopplysninger. Personvernombudet skal godkjennes av Datatilsynet

Personvernforordningen bruker ikke betegnelsen personvernombud, men bl.a. «databeskyttelsesrådgiver» (på dansk) og «Data Protection Officer» (på engelsk). Hvilken betegnelse som vil bli benyttet under norsk rett, som f.eks. «personvernombud» eller «personvernrådgiver» er uklart, så derfor benyttes det relativt innarbeidede begrepet «personvernombud» her.

Hvilke virksomheter skal ha personvernombud? 

Virksomheter som må ha personvernombud er virksomheter (både behandlingsansvarlige og databehandlere) som enten:

  • Er offentlig myndighet eller behandler personopplysninger for offentlig myndighet,
  • har hovedvirksomhet som overvåker eller krever overvåkning av et stort antall registrerte, eller
  • har hovedaktivitet som involverer behandling av sensitive opplysninger i stort omfang

I forordningen åpnes det også for at det kan pålegges personvernombud i andre tilfelle etter nasjonal rett, så det kan være at flere virksomheter enn de som faller innenfor nevnte kriterier skal ha personvernombud. Siden ovennevnte er noe uklart, vil det bli laget retningslinjer fra EU på hvilke virksomheter som skal ha personvernombud innen utgangen av 2016. Disse retningslinjene kommer på Teknologirett. 

Krav til personvernombudet

Det er krav til kvalifikasjonene for personvernombudet i forordningen, ved at vedkommende skal ha ekspertise innenfor personvernrett og tilhørende praksis samt evne å utføre de oppgaver som pålegges vedkommende, se artikkel 37 nr. 5. Disse oppgavene er opplistet i forordningens artikkel 39 (her fra den danske teksten):

1. Databeskyttelsesrådgiveren har som minimum følgende opgaver:
a) at underrette og rådgive den dataansvarlige eller databehandleren og de ansatte, der behandler personoplysninger, om deres forpligtelser i henhold til denne forordning og anden EU-ret eller national ret i medlemsstaterne om databeskyttelse
b) at overvåge overholdelsen af denne forordning, af anden EU-ret eller national ret i medlemsstaterne om databeskyttelse og af den dataansvarliges eller databehandlerens politikker om beskyttelse af personoplysninger, herunder fordeling af ansvar, oplysningskampagner og uddannelse af det personale, der medvirker ved behandlingsaktiviteter, og de tilhørende revisioner
c) at rådgive, når der anmodes herom, med hensyn til konsekvensanalysen vedrørende databeskyttelse og overvåge dens opfyldelse i henhold til artikel 35
d) at samarbejde med tilsynsmyndigheden
e) at fungere som tilsynsmyndighedens kontaktpunkt i spørgsmål vedrørende behandling, herunder den forudgående høring, der er omhandlet i artikel 36, og at høre tilsynsmyndigheden, når det er hensigtsmæssigt, om eventuelle andre spørgsmål.
2. Databeskyttelsesrådgiveren tager under udførelsen af sine opgaver behørigt hensyn til den risiko, der er forbundet med behandlingsaktiviteter, under hensyntagen til den pågældende behandlings karakter, omfang, sammenhæng og formål.

Personvernombudet har altså et vesentlig selvstendig ansvar for sikre at forordningens regler overholdes ved kontroll på overholdelse, fordele ansvar, opplæring, opplysning, revisjoner mv.

I tillegg skal personvernombudet informere den behandlingsansvarlige eller databehandleren og de ansatte om endringer i regelverket, rådgi om konsekvensanalyser og samarbeide med tilsynsmyndigheter. Personvernombudet skal involveres tilstrekkelig og rettidig i alle spørsmål vedrørende beskyttelse av personopplysninger, se artikkel 38 nr. 1, som viser at personvernombudet skal ha en sentral plass i den behandlingsansvarlige eller databehandlerens organisasjon hva gjelder spørsmål knyttet til behandling av personopplysninger. Det fremgår ikke klart av forordningen, men det må også tilligge personvernombudet til en databehandler å ha et tett samarbeid og kontakt med den behandlingsansvarlige, herunder den behandlingsansvarliges personvernombud om denne har dette, og motsatt. De registrerte kan også kontakt personvernombudet for spørsmål knyttet til behandlingen, jf. artikkel 38 nr. 4.

Personvernombudet kan dermed være en egen ansatt, eller en ekstern innleid tredjepart (som konsulent eller advokat). 

Organiseringen av personvernombudet

Personvernombudet kan være ansatt hos den behandlingsansvarlige eller databehandleren, eller innleid for å utføre tjenestene, jf. artikkel 37 nr. 6. Et konsern kan utnevne et personvernombud for alle konsernets selskaper, jf. artikkel 37 nr. 2. Personvernombudet rapporterer til det øverste ledelsesnivå hos den behandlingsansvarlige eller databehandleren, som vil være daglig leder/administrerende direktør (ikke styrets leder), eller konsernsjef i konsernforhold. Personvernombudet skal ikke instrueres av sin arbeids- eller oppdragsgiver om utførelse av sine oppgaver, se artikkel 38 nr. 3. Personvernombudet har således en selvstendig stilling, og personvernombudet kan ikke sies opp, avskjediges, kontraktsforholdet termineres eller straffes (hvilket trolig også må omfatte erstatningsansvar for uaktsomme handlinger) for utførelse av sine oppgaver. Personvernombudet kan ha andre oppgaver ved siden av oppgavene som personvernombud, såfremt disse oppgavene ikke medfører en interessekonflikt med oppgavene som personvernombud, jf. artikkel 38 nr. 6.

Taushetsplikt

Personvernombudet har taushetsplikt, jf. artikkel 38 nr. 5, men det er uklart hvem denne taushetsplikten gjelder overfor, dvs. om databehandlerens personvernombud gjelder overfor behandlingsansvarlige og motsatt. I personvernombudets kontakt med registrerte og med tilsynsmyndigheten, vil personvernombudet trolig ikke være pålagt å gi tilsynsmyndigheten mer informasjon enn databehandleren er pålagt etter forordningen eller nasjonal lovgivning.

Kontaktopplysninger

Databehandleren skal offentliggjøre kontaktopplysningene for personvernombudet (f.eks. på nettsidene til selskapet) og informere tilsynsmyndigheten (som Datatilsynet) om utnevnelsen, jf. artikkel 37 nr. 7.

Du finner personvernforordningen her (pdf).

Mer informasjon om personvernombud finnes på Datatilsynets sider om personvernombud.

Bli den første til å kommentere på "Er din virksomhet forpliktet til å ha personvernombud når personvernforordningen trer i kraft?"

Legg inn en kommentar

Ikke gå glipp av noe!

Motta nyhetsbrev fra Teknologirett: