Søk

Hvem må ha personvernombud?

Behandling av personopplysninger kan kreve personvernombud

Mann som ser på dataskjerm.
Daglig leder har det overordnede ansvaret for at personvernforordningen følges. Foto: Magnus Olsson / Unsplash
|
Publisert:
6. januar 2022

Om din virksomhet behandler personopplysninger, kan dere ha plikt til å utnevne et personvernombud. For få sikkerhetstiltak kan føre til gebyr.

Da personvernforordningen fra EU (GDPR – General Data Protection Regulation) ble gjort til norsk lov i 2018, var dette et tiltak for å styrke personvernet. Særlig det siste tiåret har teknologien utviklet seg raskt. Når innhenting, lagring og systematisering av data er blitt enkelt tilgjengelig, må virksomheter forholde seg mer aktivt og aktsomt til sammenhengen mellom digitalisering og personvern enn før. Dersom man ikke gjør det, løper det risiko for å bli ilagt overtredelsesgebyr fra datatilsynet.
Til eksempel ble Bergen kommune ilagt et overtredelsesgebyr på 3 millioner kroner i 2019. Dette var fordi kommunen ikke «hadde gjennomført tekniske og organisatoriske tiltak for å oppnå eit godt nok sikkerheitsnivå, og for ikkje å ha sikra vedvarande konfidensialitet og integritet.»
Eksemplet viser at det kan få betydelige konsekvenser for virksomheten dersom man ikke er bevisst de digitale risiko – og sårbarhetselementer ved virksomheten sin og de pliktene man er pålagt i kraft av å være databehandler.
Behandler man f.eks. personopplysninger - som ofte vil være tilfellet for stat, kommune eller et organ for disse, følger det med forholdsvis omfattende plikter. Én av flere plikter kan være å oppnevne et personvernombud.

Er din virksomhet et forvaltningsorgan?

Plikten til å utnevne personvernombud for offentlige virksomheter er hjemlet i personvernforordningen avsnitt 4, art. 37 (her avgrenset til bokstav a):
«Den behandlingsansvarlige og databehandleren skal utpeke et personvernombud når:
  1. Behandlingen utføres av en offentlig myndighet eller et offentlig organ, bortsett fra domstoler som opptrer innenfor rammen av sin domsmyndighet.»
En «behandlingsansvarlig» eller «databehandler» kan eksempelvis være alt fra et enkeltpersonsforetak, et konsern, til en offentlig eller privat virksomhet. Definisjonene av disse er nærmere gjengitt i personvernforordningen art.7 nr. 7 og nr. 8. Det sentrale en skal merke seg er at man ikke kan fraskrive seg plikten til å oppnevne et personvernombud grunnet organisasjonsform.
Dette stadfestes også tydelig i forarbeidene:
«[a]rtikkel 37 nr. 1 pålegger den behandlingsansvarlige og databehandleren en plikt til å utpeke personvernombud når vilkårene i bokstav a til c er oppfylt, det vil si når behandlingen utføres av en offentlig myndighet eller et offentlig organ, jf. bokstav a»
Videre i forarbeidene står det at et offentlig organ
«(…) vil være de organer som er omfattet av forvaltningsloven § 1 annet punktum, som etter artikkel 37 nr.1 bokstav a plikter å ha personvernombud. Forvaltningsloven § 1 annet punktum definerer forvaltningsorganer som et hvert organ for stat eller kommune.» jf. Prop. 56 LS (2017-2018) s.127.

Kriteriene som må vurderes

Hvorvidt virksomheten er ansett som et forvaltningsorgan vurderes blant annet etter: graden av offentlig eierskap og kontroll, finansieringen av virksomheten samt hvilke oppgaver som utføres.
Det må gjøres en bred og helhetlig vurdering av disse forholdene. Daglig leder vil ha det formelle, overordnede ansvaret for at pliktene knyttet til GDPR overholdes.
Samfunnsbedriftene har hjulpet medlemmer med vurderinger knyttet til overnevnte og andre problemstillinger knyttet til GDPR.
Informasjon om personvernregelverket hos Datatilsynet
Dersom dere har spørsmål om plikten til å ha personvernombud, eller andre personvernspørsmål knyttet til virksomheten, så ta gjerne kontakt med oss.

Les mer om

Hold deg oppdatert!

Meld deg på våre nyhetsbrev for å motta siste nytt om politikk, arbeidsliv, juss og møteplasser.
© 2022 Samfunnsbedriftene.
Fakturaadresse
EHF:
Samfunnsbedriftene er registrert i ELMA-registeret med organisasjonsnummer 912868222.
Vi ønsker fortrinnsvis å motta fakturaer i EHF-format.
Dersom dette ikke er mulig, benyttes e-post til følgende adresse: samfb@faktura.poweroffice.net
Besøksadresse
Haakon VIIs gate 9
0161 Oslo
Postadresse
Postboks 1378 Vika
0114 Oslo
Org.nr 912868222
E-postadresse
post@samfunnsbedriftene.no
Gå til toppen
Personvern