Personvernombudets rolle i kommunen

Artikkel

Personvernombudets rolle i kommunen

Et mindretall av norske kommuner har egne personvernombud. Ny lovgivning vil legge større vekt på ordningen

Artikkelen på 15 sekunder: Det er kun fysiske personer som kan være personvernombud i kommunene, men det er ikke et krav om at kommunen må utnevne egne ansatte. Artikkelen tar for seg ordningen ved personvernombud i kommuner, hvilke roller og oppgaver personvernbudet ofte får, samt fordelene ved å innsette et personvernombud i kommunen. 

Kommunene håndterer daglig store mengder personopplysninger som tilhører innbyggerne. Med et skjerpet blikk skal personvernombudet skape trygghet og tillit til kommunens behandling av personopplysninger. Ferske tall fra Datatilsynet viser imidlertid at kun 65 av 428 kommuner i Norge er tilsluttet personvernombudsordningen. En forklaring på det lave antallet er at det finnes relativt mange små kommuner i Norge, som ikke nødvendigvis har behov eller ressurser til et personvernombud. En annen årsak kan være at den behandlingsansvarlige for personopplysninger i kommunen ikke er klar over hva personvernombudsordningen er, og hvilken hensikt ordningen har i kommunen.

Hva er et personvernombud?

Ordningen har sin rettslige forankring i Person-opplysningsforskriften § 7-12, hvor det heter:

"Datatilsynet kan samtykke i at det gjøres unntak fra meldeplikt etter personopplysningsloven § 31 første ledd, dersom den behandlingsansvarlige utpeker et uavhengig personvernombud som har i oppgave å sikre at den behandlingsansvarlige følger personopplysningsloven med forskrift."

Bestemmelsen gir ingen klar beskrivelse av hva et personvernombud er, men den gir noen ledetråder. For det første skal personvernombudet være uavhengig av behandlingsansvarlig (i kommuner vil det være rådmannen). Kravet om uavhengighet må ikke forstås slik at personvernombudet ikke kan være underordnet rådmannens myndighet. Personvernombudet kan med andre ord være ansatt i kommunen. Hensikten er at personvernombudet skal ha et uavhengig kontrollansvar for at kommunen etterfølger lover og regler som gjelder ved behandling av personopplysninger. Uten denne uavhengigheten vil ombudet raskt miste sin tillitsskapende rolle.

Personvernombudsordningen er i dag en frivillig ordning, hvor en virksomhet velger en person med spesielt fokus på personvern i den daglige driften. Hensikten er å styrke den interne bevisstheten og kunnskapen om personvern i virksomheten. Personvernombudet skal samtidig fungere som en ressursperson, og skal raskt og presist kunne håndtere problemstillinger som måtte oppstå i denne sammenheng. Datatilsynet administrerer ordningen, og gir ombudene en egen kontaktperson ved tilslutning til ordningen.

Organisering i kommunene

Det er viktig å være klar over at det kun er fysiske personer som kan være personvernombud, men det er ikke et krav om at kommunen må utnevne egne ansatte. Kommunen kan imidlertid ikke utnevne en virksomhet eller et firma til ombud, da ombudet må være en fysisk person. En advokat eller revisor ansatt i selvstendig firma kan også fungere som ombud. Forutsetningen er imidlertid at det er advokaten eller revisoren som blir utnevnt, ikke firmaet hvor vedkommende er ansatt.

Det kan være fordeler og ulemper med begge deler. Ansatte i kommunen vil som oftest ha best kjennskap til kommunens virksomhet og vil sitte med god oversikt over kommunens behandling av personopplysninger. Et eksternt personvernombud vil på sin side lettere kunne opptre uavhengig av behandlingsansvarlig, og stille nødvendige kritiske spørsmål. En annen fordel med eksternt personvernombud er at kommunen slipper å bruke interne ressurser på dette. Loven stiller ingen bestemte krav til personvernombudets kvalifikasjoner. Personen som velges som personvernombud bør likevel ha god innsikt i kommunens organisasjon og virksomhet, og god kjennskap til relevant regelverk.

Hvorvidt ombudet skal velges blant egne ansatte eller eksterne personer, vil avhenge av flere faktorer, for eksempel størrelsen på virksomheten og omfang av personopplysninger som behandles. Den mest relevante faktoren ved valg av personvernombud er at personen som utnevnes, evner å vurdere at kommunen overholder gjeldende regelverk på området. Det er også mulig for kommunen å dele opp ansvaret, slik at man har flere personvernombud. For eksempel kan ett personvernombud ha ansvaret for behandlinger knyttet til egne ansatte, og ett ombud knytter seg til kommunens utadrettede virksomhet.

Mindre kommuner kan også inngå en samarbeidsavtale med andre kommuner om opprettelse av et felles personvernombud.

Fritak fra meldeplikten

Etter at kommunen har bestemt seg for hvem som skal være personvernombud, opprettes ordningen ved å sende skriftlig søknad til Datatilsynet. Samtidig som ordningen opprettes fritas kommunen fra meldeplikt til Datatilsynet etter Personopplysningsloven § 31, første ledd. Konsesjonspliktige behandlinger må kommunen fremdeles få godkjent av Datatilsynet.

Personvernombudets roller og oppgaver

Hvilke konkrete oppgaver personvernombudet skal ha ansvaret for, bør avklares mellom den behandlingsansvarlige og personvernombudet. Det anbefales at arbeidsoppgavene til ombudet enten kontraktfestes eller nedtegnes i en stillingsbeskrivelse. Helt overordnet skal personvernombudet sikre at personvernet i kommunen ivaretas i samsvar med personopplysningsloven og personopplysningsforskriften. Det er en klar forutsetning for at kommunen skal kunne unntas fra meldeplikten, og herunder har Datatilsynet innfortolket en rekke arbeidsoppgaver for ombudet. Vi gir en kort redegjørelse for ansvarsoppgavene til personvernombudet.

Som nevnt er en konsekvens av personvernombudsordningen at kommunen fritas fra meldeplikten. Alle meldepliktige behandlinger av personopplysninger skal i stedet meldes til personvernombudet. Dette medfører en plikt for personvernombudet til å undersøke og kontrollere at meldingene er i samsvar med de krav som følger av regelverket. Hvor omfattende kontrollen skal være må vurderes fra melding til melding, men som et minimum bør personvernombudet kontrollere hjemmelsgrunnlaget for behandlingen.

Videre skal personvernombudet føre en systematisk og offentlig oversikt over alle innmeldte behandlinger. Oversikten skal inneholde opplysninger som er nevnt i personopplysningsloven § 18 første ledd og kan føres manuelt eller elektronisk. Kravet til offentlighet innebærer ikke at oversikten må publiseres på noen måte, men kun at det skal gis innsyn ved henvendelse fra publikum. Når det gjelder retten til innsyn vil kommunen i tillegg til reglene i personopplysningsloven måtte forholde seg til reglene i offentlighetsloven.

I tillegg vil arbeidet til personvernombudet omfatte følgende:

  • Påse at behandlingsansvarlig har et tilfredsstillende system for internkontroll i kommunen
  • Ivareta registrertes rettigheter
  • Påpeke brudd på regelverket overfor behandlingsansvarlig
  • Gi opplysninger til Datatilsynet og foreta undersøkelser i konkrete saker
  • Holde seg oppdatert på utviklingen innen personvern
  • Gi råd og veiledning til behandlingsansvarlig om behandling av personopplysninger og reglene for dette

Selv om personvernombudet skal gi veiledning om regelverket til behandlingsansvarlig og påpeke eventuelle brudd på regelverket, er det viktig å være klar over at oppnevning av personvernombud ikke fritar den behandlingsansvarlige for sitt juridiske ansvar etter personopplysningsloven. Dette betyr blant annet at det er den behandlingsansvarlige som vil være erstatningsansvarlig dersom det skjer en ulovlig behandling.

Som vi ser av ansvarsoppgavene til personvernombudet, er det helt elementært at personvernombudet har en reell uavhengighet fra behandlingsansvarlig for at ordningen skal fungere. Uten en slik uavhengighet vil det være vanskelig for personvernombudet å håndtere sine arbeidsoppgaver på en tilfredsstillende måte i samsvar med de krav som Datatilsynet stiller. Samtidig
er det viktig at ordningen er godt forankret i ledelses-
gruppen. Uten nødvendige støtte fra ledelsen vil personvernombudet ikke være i stand til å utføre sine arbeidsoppgaver.

Fordeler med personvernombud

Det er flere fordeler for kommunen ved å ha eget personvernombud. I kommuner hvor det behandles store mengder personopplysninger, vil personvernombudet fungere som en diskusjonspartner for kommunens ledelse. Kommunen vil også, som nevnt, fritas fra meldeplikten til Datatilsynet idet personvernombudet kan håndtere dette internt. Sammen med ombudets andre arbeidsoppgaver vil dette gi ombudet god innsikt i kommunens behandling av personopplysninger. Personvernombudet vil derfor raskt kunne håndtere problemstillinger uten å kontakte Datatilsynet. Skulle det være behov for å kontakte Datatilsynet, vil ombudet ha en egen kontaktperson ordningen vil derfor være ressursbesparende for kommunen.

Videre vil ordningen skape tillit til at kommunens behandling av personopplysninger skjer i henhold til gjeldende regelverk. Det minimerer risiko for ulovlig behandling, som igjen vil kunne føre til omdømmetap og erstatningsansvar for kommunen. Det vil legges større vekt på personvernombud og personvernombudsrollen i den nye personvernlovgivningen, og slik vi ser det vil ny lovgivning stille krav til at alle offentlige virksomheter skal ha et eget ombud.

Kontakt oss for opprettelse av personvernombud. Deloitte kan ikke påta seg å være personvernombud for revisorklienter.

Skrevet av:
Petter Schjelderup

Denne artikkelen er en del av Kommunalt Innblikk - et magasin hvor vi ønsker vi å formidle ny kunnskap, nye synspunkter og oversikt over dagsaktuelle temaer som gjelder din kommune og ditt lederansvar.

 

Den 5. utgaven av magasinet, som denne saken er hentet fra, omhandler behandling og sikring av personopplysninger. Du finner resten av artiklene her.

Var denne siden nyttig?