Hvem må ha personvernombud (iStock).jpg
Også bedrifter som ikke er pålagt å ha eget personvernombud bør sørge for at en eller flere har et særlig ansvar for å sikre at virksomheten til enhver tid er i samsvar med personvernreglene.
Personvern / GDPR

Hvem må ha personvernombud?

Hvordan følge personvernlovgivningen? •

En kommunalt eller offentlig eid bedrift som ikke regnes som forvaltningsorgan, vil som utgangspunkt ikke ha plikt til å ha eget personvernombud.

Fra og med 1. juli 2018 gjelder nye personvernregler i Norge. Med dette har mange virksomheter plikt til å opprette personvernombud. Artikkel 37 i GDPR-forordningen sier at virksomheten skal utpeke et personvernombud dersom:

  1. databehandlingen utføres av en offentlig myndighet eller et offentlig organ,
  2. hovedvirksomheten består av aktiviteter som krever regelmessig og systematisk overvåkning i stor skala av personer, eller:
  3. hovedvirksomhet består av behandling av sensitive personopplysninger i stor skala, eller opplysninger om straffbare forhold.

Er virksomheten omfattet av minst ett av punktene over, så inntrer plikt til å ha personvernombud i virksomheten. Regelverket fastsetter nærmere hvilken rolle og hvilke oppgaver personvernombudet skal ha.

Når det gjelder punkt 1, så har regjeringen lagt til grunn at alle forvaltningsorganer, dvs. et hvert organ for stat eller kommune, må ha personvernombud.

Kommunalt eide bedrifter vil i de fleste sammenhenger ikke regnes som et forvaltningsorgan etter forvaltningsloven. Som utgangspunkt vil disse bedriftene ikke ha plikt til å ha eget personvernombud. Det er imidlertid gitt en forskriftshjemmel i den nye personopplysningsloven som kan gi grunnlag for å utvide plikten.

Dersom bedriften faller inn under punkt 2 eller 3, for eksempel at den driver regelmessig og systematisk overvåkning av personer, eller i stor grad behandler sensitive personopplysninger, vil den ha plikt til å opprette personvernombud. Det er lite sannsynlig at kommunalt eide bedrifter som er organisert i Samfunnsbedriftene driver denne type aktivitet. Men det er likevel viktig at bedriften selv gjør en vurdering av egen virksomhet for å sjekke om den kan omfattes av punktene over.

Selv om bedriften ikke oppretter personvernombud, er det hensiktsmessig en eller flere som får et særlig ansvar for å sikre at virksomheten til enhver tid er i samsvar med personvernreglene.

Daglig leder vil fortsatt ha det formelle og overordnede ansvaret for at reglene overholdes.

Datatilsynet har informasjon på sine nettsider om personvernombudets rolle og oppgaver, som kan være nyttig og relevant for det interne personvernarbeidet i bedriften. 

Dersom dere har spørsmål om plikten til å ha personvernombud, eller andre personvernspørsmål, så ta gjerne kontakt med oss.