Foto Magnus Olsson Unsplash
Daglig leder har det overordnede ansvaret for at personvernforordningen følges. (Foto: Magnus Olsson / Unsplash)
Hvem må ha personvernombud?

Behandling av personopplysninger kan kreve personvernombud

Hvordan følge personvernlovgivningen? •

Om din virksomhet behandler personopplysninger, kan dere ha plikt til å utnevne et personvernombud. For få sikkerhetstiltak kan føre til gebyr.

Da personvernforordningen fra EU (GDPR – General Data Protection Regulation) ble gjort til norsk lov i 2018, var dette et tiltak for å styrke personvernet. Særlig det siste tiåret har teknologien utviklet seg raskt. Når innhenting, lagring og systematisering av data er blitt enkelt tilgjengelig, må virksomheter forholde seg mer aktivt og aktsomt til sammenhengen mellom digitalisering og personvern enn før. Dersom man ikke gjør det, løper det risiko for å bli ilagt overtredelsesgebyr fra datatilsynet.

Til eksempel ble Bergen kommune ilagt et overtredelsesgebyr på 3 millioner kroner i 2019. Dette var fordi kommunen ikke «hadde gjennomført tekniske og organisatoriske tiltak for å oppnå eit godt nok sikkerheitsnivå, og for ikkje å ha sikra vedvarande konfidensialitet og integritet.»

Eksemplet viser at det kan få betydelige konsekvenser for virksomheten dersom man ikke er bevisst de digitale risiko – og sårbarhetselementer ved virksomheten sin og de pliktene man er pålagt i kraft av å være databehandler.

Behandler man f.eks. personopplysninger - som ofte vil være tilfellet for stat, kommune eller et organ for disse, følger det med forholdsvis omfattende plikter. Én av flere plikter kan være å oppnevne et personvernombud.

Er din virksomhet et forvaltningsorgan?

Plikten til å utnevne personvernombud for offentlige virksomheter er hjemlet i personvernforordningen avsnitt 4, art. 37 (her avgrenset til bokstav a):

«Den behandlingsansvarlige og databehandleren skal utpeke et personvernombud når:

  1. Behandlingen utføres av en offentlig myndighet eller et offentlig organ, bortsett fra domstoler som opptrer innenfor rammen av sin domsmyndighet.»

En «behandlingsansvarlig» eller «databehandler» kan eksempelvis være alt fra et enkeltpersonsforetak, et konsern, til en offentlig eller privat virksomhet. Definisjonene av disse er nærmere gjengitt i personvernforordningen art.7 nr. 7 og nr. 8. Det sentrale en skal merke seg er at man ikke kan fraskrive seg plikten til å oppnevne et personvernombud grunnet organisasjonsform.

Dette stadfestes også tydelig i forarbeidene:

«[a]rtikkel 37 nr. 1 pålegger den behandlingsansvarlige og databehandleren en plikt til å utpeke personvernombud når vilkårene i bokstav a til c er oppfylt, det vil si når behandlingen utføres av en offentlig myndighet eller et offentlig organ, jf. bokstav a»

Videre i forarbeidene står det at et offentlig organ

«(…) vil være de organer som er omfattet av forvaltningsloven § 1 annet punktum, som etter artikkel 37 nr.1 bokstav a plikter å ha personvernombud. Forvaltningsloven § 1 annet punktum definerer forvaltningsorganer som et hvert organ for stat eller kommune.» jf. Prop. 56 LS (2017-2018) s.127.

Kriteriene som må vurderes

Hvorvidt virksomheten er ansett som et forvaltningsorgan vurderes blant annet etter: graden av offentlig eierskap og kontroll, finansieringen av virksomheten samt hvilke oppgaver som utføres.

Det må gjøres en bred og helhetlig vurdering av disse forholdene. Daglig leder vil ha det formelle, overordnede ansvaret for at pliktene knyttet til GDPR overholdes.

Samfunnsbedriftene har hjulpet medlemmer med vurderinger knyttet til overnevnte og andre problemstillinger knyttet til GDPR.

Det finnes ellers mye nyttig informasjon om personvernregelverket på Datatilsynets hjemmesider.

Dersom dere har spørsmål om plikten til å ha personvernombud, eller andre personvernspørsmål knyttet til virksomheten, så ta gjerne kontakt med oss.