Må din virksomhet ha personvernombud?

Innsikt

Må din virksomhet ha personvernombud?

Ny personvernlovgivning stiller strengere krav til virksomheters behandling av personopplysninger, og flere virksomheter vil bli nødt til å opprette et personvernombud.

Virksomheter behandler stadig større mengder personopplysninger, både opplysninger om egne ansatte og kunder. Når EUs personvernforordning erstatter dagens regelverk mai 2018, vil dette medføre strengere og mer omfattende krav til virksomhetens kontroll over egen behandling av personopplysninger.

Manglende etterlevelse av regelverket kan medføre betydelige bøter for virksomheten.

For å sikre virksomhetens egenkontroll ved behandling av personopplysninger, vil den nye forordningen gjøre det obligatorisk for visse virksomheter å ha personvernombud. Dette i motsetning til dagens regelverk hvor personvernombud er en frivillig ordning.

 

Hva er personvernombud?

Et personvernombud er en person som styrker virksomhetens kunnskap og kompetanse om personvern. Ombudet har et uavhengig kontrollansvar med at virksomheten følger lover og regler som gjelder ved behandling av personopplysninger. Personvernombudet skal dessuten føre en systematisk oversikt over hvilke behandlinger virksomheten utfører. Det er samtidig viktig å få frem at behandlingsansvarlig, virksomheten ved øverste leder, alltid vil ha det overordnede ansvaret for virksomhetens behandling av personopplysninger.

Kravet om uavhengighet må ikke forstås slik at personvernombudet ikke kan være ansatt i virksomheten – men det er viktig for tilliten til ombudet at den ansatte kan utføre kontrollansvar uavhengig av arbeidsgiver. Det er heller ingenting i veien for at virksomheter kan bruke eksterne ressurser som personvernombud.

Personvernombudets ansvar er først og fremst å sikre at virksomheten oppfyller kravene til personvern i den daglige driften. Hensikten er også å styrke den interne bevisstheten og kunnskapen. Et personvernombud skal samtidig fungere som en ressursperson for publikum og registrerte, og skal raskt og presist kunne håndtere aktuelle problemstillinger.

Under dagens regelverk er personvernombud en frivillig ordning som administreres av Datatilsynet. Dersom en virksomhet ønsker å etablere personvernombud, søker man tilsynet. Godkjennes søknaden, fritas virksomheten fra meldeplikten til Datatilsynet og det blir ombudets ansvar å ha oversikt over hvilke behandlinger virksomheten foretar. Når forordningen trer i kraft, kan virksomheten selv registrere personvernombudet i en egen registreringsordning.

Rollen til personvernombudet under den nye forordningen vil langt på vei være den samme som i dag, men enkelte presiseringer gjøres og ombudets uavhengighet er ment å styrkes. Blant annet skal virksomheten nå sørge for at personvernombudet involveres tidlig i alle prosesser rundt behandlingen av personopplysninger. Et ombud skal ikke kunne avskjediges eller på annen måte straffes for å utføre sine oppgaver som personvernombud.  

 

Hvilke virksomheter må ha personvernombud etter den nye forordningen?

Den største endringen fra dagens regelverk, er at en del virksomheter blir pålagt å ha personvernombud som en del av virksomhetens internkontrollsystem. Dette gjelder følgende virksomheter:

  • Offentlige virksomheter.
  • Virksomheter hvor hovedaktiviteten består i å regelmessig og systematisk overvåke personer i stort omfang.
  • Virksomheter som behandler sensitive opplysninger i stort omfang.

Fellesnevneren er at virksomheten i en eller annen forstand må behandle personopplysninger i et større omfang for å omfattes av regelverket. Typisk vil dette kunne være virksomheter som overvåker forbrukeratferd på internett for annonseformål. Et annet eksempel er e-handelsselskaper som kartlegger kunders atferd og handlemønster på egne nettsider. Også virksomheter med mange kunder eller brukere, eller svært mange ansatte, kan falle inn under disse kategoriene.

Ifølge Datatilsynet vil EU utarbeide retningslinjer som skal hjelpe virksomheter å vurdere hvorvidt det er nødvendig med personvernombud. Med hensyn til størrelsen på bøtene, bør aktuelle virksomheter i risikosonen raskt vurdere hvorvidt det er nødvendig med ombud etter den nye forordningen eller ikke.  

Det skal nevnes at forordningen åpner for at nasjonale myndigheter kan pålegge også andre virksomheter å ha personvernombud. Det kan derfor ikke utelukkes at norske myndigheter vil gjøre plikten mer omfattende enn det som følger av forordningen.

 

Hvilke ansvarsoppgaver tillegges personvernombudet i den nye forordningen?

Någjeldende regelverk stiller ingen formelle kvalifikasjonskrav til personvernombudet, og noen slike krav følger heller ikke av den nye forordningen. Det presiseres imidlertid at ombudet skal besitte gode faglige kvalifikasjoner og ekspertise innen personvern. Ombudet skal også evne å utføre ansvarsoppgavene som følger av artikkel 39 i forordningen:

  • Informere og gi råd til virksomheten og de ansatte om rettigheter og forpliktelser ved behandling av personopplysninger.
  • Bidra til etterlevelse av personvernregelverket og virksomhetens personvernpolitikk.
  • Delta i vurderinger av personvernkonsekvenser.
  • Samarbeide med tilsynsmyndighetene og fungere som kontaktpunkt med myndighetene.
  • Kontaktpunkt for personer som får sine personopplysninger behandlet.

Forordningen presiserer at personvernombudet skal ha taushetsplikt ved utførelse av sine oppgaver. Bestemmelsen sier imidlertid lite om hvem denne taushetsplikten skal gjelde overfor, og omfanget av den. For personvernombud som også er ansatt i virksomheten, vil den alminnelige lojalitetsplikten uansett pålegge ombudet taushetsplikt. For eksterne personvernombud er det imidlertid en fordel at plikten fremgår av regelverket, selv om et personvernombuds taushetsplikt med fordel kan fremheves i avtaleform.

 

Valg av personvernombud

Dersom det er sannsynlig at din virksomhet må opprette personvernombud, kan det være fornuftig å allerede nå ta de første skrittene for å etablere dette i din virksomhet. Enten ved å opprette en slik rolle blant virksomhetens egne ansatte, eller tilknyttes en ekstern aktør med spesialkompetanse. Personvernombudet kan bidra med tilrettelegging og implementering av de øvrige krav som forordningen stiller fra mai 2018, så det er ingen grunn til å avvente.

Deloittes personvernadvokater har bred erfaring med håndtering av alle former for problemstillinger innenfor fagområdet personvern og kan fungere som eksternt personvernombud for din virksomhet. Mer informasjon om dette finner du på våre nettsider, eller ved å kontakte en av våre personvernadvokater.

Var denne siden nyttig?