Personvernombud etter nytt regelverk

Publisert:

Etter de nye reglene vil mange virksomheter bli pålagt å opprette et personvernombud. Dette gjelder både behandlingsansvarlige og databehandlere. Ombudet kan være ansatt i virksomheten eller engasjert fra et eksternt firma.

To medarbeidere jobber på et kontor

Personvernombudet skal gi råd til virksomheten og de ansatte om de forpliktelsene som følger av personvernreglene. Personvernombudet skal også samarbeide med Datatilsynet og fungere som et kontaktpunkt for tilsynet ved spørsmål. Ved behov skal ombudet også rådføre seg med tilsynet.

Både behandlingsansvarlige og databehandlere skal utpeke et personvernombud dersom:

  1. Behandlingen utføres av offentlig myndighet eller et offentlig organ, bortsett fra domstoler som handler innenfor rammen av sin domsmyndighet
  2. Hovedvirksomheten består av behandlingsaktiviteter som på grunn av art, omfang og/eller formål krever regelmessig og systematisk monitorering i stor skala av registrerte, eller
  3. Hovedvirksomheten består av behandling i stor skala av sensitive personopplysninger eller personopplysninger knyttet til straffbare forhold.

Dersom det ikke opprettes et personvernombud bør virksomheten dokumentere de vurderingene som er foretatt, med mindre det er helt opplagt at virksomheten ikke har en slik plikt. Dokumentasjonen er nødvendig for å vise at det er foretatt en reell vurdering ut fra de relevante kriteriene.

Datatilsynet anbefaler at det opprettes et personvernombud i alle virksomheter som behandler personopplysninger i stor skala, eller som behandler sensitive personopplysninger. Dette gjelder også de som ikke er pålagt å gjøre det.

Datatilsynet har laget en veileder om personvernombud etter nytt regelverk. Veilederen inneholder nærmere informasjon om hvem som må ha et personvernombud, hvilke kvalifikasjoner ombudet må ha, ombudets plikter mv.