Personvernombudets rolle i norske virksomheter

| Innsikt

Mange virksomheter er pålagt eller ønsker å utpeke et personvernombud for å sikre etterlevelse av personvernregelverket (GDPR). Det er mulig å velge noen internt, men i mange tilfeller kan det også være en fordel å sette ut rollen til en ekstern og erfaren ressurs.

Hva er et personvernombud?
Mange virksomheter behandler betydelige mengder av personopplysninger som ledd i sin daglige drift. Det påhviler derfor ledelsen et særlig ansvar for å etterleve de strenge kravene etter personvernforordningen (GDPR). Personvernombudet er en ressursperson som skal støtte virksomheten i personvernarbeidet og som skal bistå ledelsen og ansatte i arbeidet med å følge reglene på dette området.

Hvem kan være personvernombud?
Personvernombudet kan enten være en intern ressurs i virksomheten med god personvernkompetanse og erfaring eller, en ekspertressurs utenfor virksomheten.

Rollen og arbeidet som personvernombud kan outsources for eksempel til en advokat med relevant juridisk bakgrunn og med god faglig ekspertise på området.

Hva gjør personvernombudet?
Personvernombudet må ha dybdekunnskap om personvernregelverket og en viss praktisk erfaring på området. Personvernombudet skal som et minimum:

  • Informere og gi råd til ledelsen og ansatte som behandler personopplysninger
  • Kontrollere virksomhetens overholdelse av kravene etter forordningen, samt av virksomhetens egne personvernretningslinjer
  • Bidra til holdningsskaping og opplæring, samt bistå i forbindelse med revisjoner for å sikre effektiv etterlevelse
  • På anmodning gi råd om, og kontrollerer gjennomføring av personvern-konsekvensanalyser (DPIA)
  • Samarbeide med og være et kontaktpunkt for Datatilsynet

Når kreves et personvernombud?
I noen tilfeller krever lovgivningen at virksomheten har et personvernombud. Følgende typer av virksomheter er pålagt å ha et personvernombud:

  • Offentlige virksomheter
  • Virksomheter som behandler store mengder av sensitive personopplysninger
  • Virksomheter som i stor skala foretar systematisk monitorering av enkeltpersoner

For offentlige virksomheter (med noen ganske få unntak) er det et ubetinget krav om personvernombud. Kommuner, fylkeskommuner, departementer, direktorater, tilsyn og andre statlige eller kommunale etater mm. må derfor oppnevne et ombud uavhengig av karakteren eller omfanget av databehandlingsaktivitetene som foretas.

For private foretak oppstår kravet om å ha personvernombud dersom virksomheten enten behandler større mengder av sensitive personopplysninger eller hvis virksomhetens databehandlinger innebærer systematisk monitoring av enkeltpersoner.

Noen typiske eksempler hvor det stilles krav om personvernombud er:

  • leverandører av skytjenester
  • tilbydere av online-tjenester
  • tilbydere av private helsetjenester o.lign.
  • forsikringsselskaper
  • markedsundersøkelsesbyråer
  • tilbydere av søkemotorer og lign.
  • ekomtilbydere
  • rekrutteringsselskaper
  • tilbydere av tjenester for bakgrunnssjekker mv.

Hvorfor er det gjerne en fordel å ha personvernombud, selv om det ikke er et krav?
Personvernombudet er en rolle som allerede var kjent før GDPR. Mange virksomheter valgte å oppnevne et personvernombud på frivillig basis for å sikre lovlig personopplysningsbehandling før ikrafttredelsen av de nye og strengere reglene.

I takt med den digitale utviklingen, med stadig større bruk av ny teknologi og ved behandling av store mengder data, oppstår det gjerne nye og vanskelige spørsmål om hvordan man skal sikre etterlevelse av personvernreglene.

Rollen som personvernombud blir derfor stadig mer aktuell for mange virksomheter og det kan for mange være en fordel å utpeke et ombud selv om dette ikke er krav etter loven. Ved å oppnevne et ombud får virksomheten en god og helhetlig håndtering av personvernarbeidet og sikrer at ledelsen og ansatte har et fast kontaktpunkt å gå til. Dette kan være aktuelt ved løpende og vanskelige spørsmål som oppstår i den daglige driften, eller dersom det kommer henvendelser fra berørte enkeltpersoner, myndigheter eller andre med spørsmål om hvordan virksomheten behandler personopplysninger og sikrer etterlevelse av reglene.

Simonsen Vogt Wiig tilbyr personvernombudstjenester
Våre erfarne personvernrettsadvokater tilbyr personvernombudstjenester. Hvis du outsourcer rollen som personvernombud til en av våre dedikerte ressurser, sørger vi for at din virksomhet har et fast kontaktpunkt som aktivt følger opp og som bistår med utførelsen av oppgaver som kreves etter regelverket.

(For mer informasjon om Simonsen Vogt Wiigs personvernombudstjenester eller for en uforpliktende prat om hva rollen og arbeidet innebærer, kontakt gjerne artikkelens forfatter Malin Tønseth)