Personvernombud - trengs det?

Publisert:

Hege Stensland Sveen svarer på våre spørsmål om personvernombud

Det har vært mye snakk om at bedrifter må skaffe seg et personvernombud i forbindelse med at den nye personvernloven trådte i kraft tidligere i sommer. Vi har spurt våre advokater om dette også gjelder frivillig og ideell sektor.

1 - Hva er et personvernombud?

Svar: Personvernombudet har særlige oppgaver knyttet til bedriftens behandling av personopplysninger. Ombudet kan være en ansatt eller en person engasjert fra et eksternt firma. Et personvernombud skal gi råd til bedriften og de ansatte om de forpliktelser som følger av personvernreglene. Personvernombudet skal samarbeide med Datatilsynet og fungere som et kontaktpunkt både mot tilsynet men også mot de som er registrert hos bedriften, f.eks. ved spørsmål fra ansatte, pasienter, medlemmer eller elever om hvordan deres personopplysninger behandles.

2. Hvilke bedrifter trenger et personvernombud og hvorfor? (Trenger ideelle og frivillige organisasjoner å bry seg med dette?)

Svar: En del av våre medlemmer innenfor ideell og frivillig sektor vil trolig være pliktig å ha et personvernombud på grunn av at organisasjonen behandler store mengder personopplysningenes av sensitiv karakter. Det er viktig at slike personopplysninger ikke kommer på avveie og at de behandles i samsvar med lovens krav. Derfor er det nå lovregulert at flere private virksomheter må ha et ombud som passer på dette.

Bedrifter som har som hovedvirksomhet å gjøre følgende i stor skala er pliktig å ha et personvernombud:

  • Regelmessig og systematisk monitorering av personer, dvs. alle former for sporing og profilering av personer. Eksempler er persontilpasset reklame på internett, målrettet e-postreklame og kameraovervåking.
  • Behandling av sensitive personopplysninger eller opplysninger om straffbare forhold

Med hovedvirksomhet menes at det må være bedriftens kjerneaktivitet. Personaladministrasjon og vanlig IT-støtte er ikke hovedvirksomhet og derved utløses ikke en plikt til å ha personvernombud selv om ansatteopplysninger inneholder sensitive personopplysninger.

Regelverket definerer ikke hva som er stor skala. Dette er en skjønnsmessig vurdering som kan være vanskelig å vurdere for mange av våre medlemmer. Her må det blant annet sees på antallet personer og mengden/omfanget av personopplysninger som blir behandlet. Eksempler på aktører som foretar behandling av personopplysninger i stor skala er sykehus, banker og forsikringsselskaper.

Merk at Datatilsynet oppfordrer alle virksomheter til å opprette et personvernombud uavhengig av om de er pålagt å ha det eller ikke.

Mange av våre medlemmer innenfor ideell og frivillig sektor behandler sensitive personopplysninger, men i mindre skala, slik at de ikke er forpliktet etter loven til å ha personvernombud. I slike tilfeller anbefaler vi ofte at organisasjonen likevel oppretter et personvernombud fordi en slik dedikert person med kunnskap og fokus på personvern vil være en viktig ressurs i personvernarbeidet.

3. Hvordan går man fram hvis man vil opprette et personvernombud?

Svar: Det er ikke noen formell valgprosess rundt dette. Regelverket stiller heller ingen spesifikke krav når det gjelder utdanningsbakgrunn eller sertifiseringer. Det stilles imidlertid krav om at ombudet skal utpekes på grunnlag av faglige kvalifikasjoner. Selv om personvernombudet har en rolle i kontroll og etterlevelse av regelverket er det fremdeles organisasjonen som er ansvarlig for at personvernlovgivningen følges. Organisasjonens ledelse bør derfor utpeke den personen som er best egnet og motivert for jobben samt gi denne personen tid og mulighet til å utvikle seg og bygge kompetanse i rollen.