Mange virksomheter må opprette personvernombud

Dagens personvernombudsordning er frivillig. Med den nye forordningen får mange virksomheter en plikt til å opprette personvernombud. De som ikke må opprette ombud, kan selvsagt også velge å følge ordningen på frivillig basis.

Hvem ha personvernombud?

Følgende virksomheter må utnevne personvernombud:

  1. offentlige virksomheter (unntatt domstolene)
  2. virksomheter hvis kjerneaktivitet består i å regelmessig og systematisk overvåke personer i stort omfang
  3. virksomheter som behandler sensitive personopplysninger i stort omfang

Personvernombudet skal velges ut fra faglig kvalitet, ekspertise innen personvernrett og evne til utføre oppgavene. Forordningen stiller altså krav til ombudets fagkunnskap.

Konserner eller offentlige myndigheter med underliggende etater kan ha ett felles ombud, forutsatt at ombudet er lett tilgjengelig for alle konsernets etableringer. Ombudet kan være ansatt i virksomheten eller en profesjonell tredjepart.

Etter forordningen vil det ikke lenger være nødvendig med Datatilsynets godkjennelse av personvernombudet. I stedet vil det opprettes en registreringsordning der virksomheter selv kan registrere sitt personvernombud.

Reglene om hvem som må ha personvernombud følger av forordningens artikkel 37.

Personvernombudets stilling

Personvernombudet skal involveres i alle saker som handler om behandling av personopplysninger. Personvernombudet skal inkluderes i prosessen både tidlig nok og på en god nok måte til at hun eller han kan utføre sin rolle. I tillegg skal ombudet være kontaktpunkt for de registrerte. Det betyr at alle registrerte som har spørsmål eller krav knyttet til behandlingen av deres personopplysninger skal kunne ta direkte kontakt med personvernombudet.

Virksomheten har ansvar for at ombudet har tilstrekkelige ressurser og adganger til å utføre sine oppgaver og opprettholde sin ekspertise.

Personvernombudet skal være helt uavhengig. Det er virksomhetens ansvar å sørge for at personvernombudet ikke mottar instruksjoner om hvordan han eller hun skal utføre arbeidet sitt. Ombudet kan ikke avskjediges eller straffes for å utføre sine oppgaver. Personvernombudet skal rapportere til øverste ledelsesnivå i virksomheten.

Ombudet skal være bundet av taushetsplikt eller konfidensialitet under utførelsen av sine plikter. Så lenge det ikke fører til noen interessekonflikt, kan ombudet også utføre andre oppgaver i virksomheten.

Disse reglene følger av forordningen artikkel 38.

Personvernombudets oppgaver

Ombudet skal, i tillegg til å være kontaktpunkt for de registrerte:

  1. informere og gi råd til virksomheten og de ansatte
  2. bidra til etterlevelse av forordningen og virksomhetens personvernpolitikk
  3. gi råd om og delta i konsekvensanalyser
  4. fungere som kontaktpunkt mellom Datatilsynet og virksomheten

For Norges del er reglene langt på vei en kodifisering av eksisterende praksis.

Disse reglene følger av forordningen artikkel 39.

Personvernombud

Les mer om personvernombudsordningen på vår samleside. Her finner du utfyllende informasjon om hva ordningen går ut på, pliktene et ombud har, datoer for kurs og seminar vi arrangerer, samt kontaktinformasjon.

Personvernombud