Etter dagens regelverk er det frivillig å ha personvernombud i virksomheten. Personvernombudets hovedoppgave er å sikre at den behandlingsansvarlige følger personvernlovgivningen.

I 2018 innføres det ny personvernlovgivning på bakgrunn av EUs personvernforordning (GDPR). Det nye regelverket vil styrke ordningen med personvernombud. Blant annet vil mange virksomheter ha en plikt til å oppnevne et personvernombud. I personvernforordning brukes begrepet personvernrådgiver i stedet for personvernombud. Hvilket begrep som blir videreført er ennå ikke avklart. I det følgende vil begrepet «personvernrådgiver» benyttes.

Når er virksomheten pliktig til å oppnevne en personrådgiver?

Virksomheten er pliktig til å oppnevne en personrådgiver når:

  • Behandlingen av personopplysninger utføres av en offentlig myndighet eller et offentlig organ.
  • Virksomheten består av systematisk eller regelmessig monitorering av personer.
  • Hovedvirksomheten består i behandling i stor skala av sensitive opplysninger eller opplysninger om straffedommer og lovovertredelser.

Det er ennå ikke avklart hvordan «offentlig myndighet eller offentlig organ» skal avgrenses. Mest sannsynlig vil dette gjelde for staten, fylkeskommunen og kommunen. I enkelte tilfeller vil også private virksomheter omfattes. I tillegg kan virksomheter på frivillig basis opprette en personvernrådgiver.

Et konsern kan oppnevne én felles personrådgiver forutsatt at alle virksomhetene har enkel tilgang til vedkommende. Flere offentlige myndigheter eller organer kan også utnevne et felles ombud, hvis dette er forsvarlig ut fra struktur og størrelse.

Hvilke oppgaver har en personvernrådgiver?

Bedriften skal sikre at personvernrådgiveren på riktig måte og til rett tid involveres i alle spørsmål som gjelder vern av personopplysninger, og at personvernrådgiveren skal ha de ressurser som er nødvendige for å utføre sine pålagte oppgaver.

Av pålagte arbeidsoppgaver kan det blant annet nevnes at rådgiveren skal:

  • Informere og gi råd til virksomheten om forpliktelsene som følger av personvernlovgivningen.
  • Kontrollere overholdelsen av personvernlovgivningen og eventuelt internt regelverk.
  • Gjennomføre holdningsskapende tiltak og opplæring av personellet som behandler personopplysninger.
  • Gi råd om vurderingen av personvernkonsekvenser og kontrollere gjennomføring av konsekvensutredning.
  • Samarbeide med Datatilsynet og fungere som kontaktpunkt for Datatilsynet ved henvendelser.
  • Rapportere direkte til høyeste ledelsesnivå hos virksomheten.

Personvernrådgiveren skal ikke motta instrukser om utførelsen av sine oppgaver og skal ikke kunne avskjediges eller straffes av arbeidsgiver for å utføre sine arbeidsoppgaver. Rådgiveren vil etter det nye regelverket også bli pålagt en særegen taushetsplikt.

Hvem kan være personvernrådgiver?

Rådgiveren skal være en uavhengig ressursperson. Vedkommende kan være ansatt i virksomheten, eller så kan virksomheten engasjere en ekstern profesjonell part til å opptre som personvernrådgiver.

Det stilles ikke krav til noe utdanning for å bli personvernrådgiver. Men det følger av forordningen at personvernrådgiveren skal utpekes på grunnlag av faglige kvalifikasjoner og særlig på grunnlag av dybdekunnskap om personvernlovgivningen, samt evne til å utføre oppgavene som følger av personvernlovgivningen.

Rådgiveren bør ha en god forståelse av behandlingen av personopplysninger innen virksomheten, herunder hvordan IT-systemene fungerer, personvernbehovet og informasjonssikkerheten i virksomheten. Det er en fordel at rådgiveren innehar visse personlige egenskaper som sterk integritet og evnen til å gjøre etiske vurderinger.

I tiden fremover bør det være stort fokus på å kurse personvernrådgivere slik at de blir rustet til å utføre de lovpålagte pliktene. Det må presiseres at det er virksomhetens ansvar at rådgiveren er kvalifisert og det er også virksomheten som blir ansvarlig dersom rådgiveren ikke kan håndtere sine oppgaver.

 

Henriette Cecilie S. Breilid
ADV.FLM. HENRIETTE C. S. BREILID