Hvem må ha personvernombud?

I personvernforordningen er det definert noen klare retningslinjer for hvem personvernombudsordningen er obligatorisk for. Her er en gjennomgang av reglene, men Datatilsynet oppfordrer alle virksomheter til å opprette personvernombud, uavhengig om de er pålagt å ha det eller ikke.

Behandlingsansvarlige og databehandlere skal utpeke et personvernombud dersom:

  1. behandlingen utføres av en offentlig myndighet eller et offentlig organ, bortsett fra domstoler som handler innenfor rammen av sin domsmyndighet
  2. den behandlingsansvarliges eller databehandlerens hovedvirksomhet består av behandlingsaktiviteter som på grunn av sin art, sitt omfang og/eller formål krever regelmessig og systematisk monitorering i stor skala av registrerte, eller
  3. den behandlingsansvarliges eller databehandlerens hovedvirksomhet består av behandling i stor skala av særlige kategorier av opplysninger i henhold til artikkel 9 (sensitive personopplysninger) eller personopplysninger knyttet til straffedommer og straffbare forhold som er nevnt i artikkel 10.

Vi har laget en forenklet trinn-for-trinn-veiledning som du kan gå gjennom dersom du er usikker på om virksomheten har plikt til å opprette personvernombud. Dersom du fortsatt er usikker, kan du kontakte vår kontaktperson for personvernombudsordningen.

Med mindre det er helt opplagt at en virksomhet ikke er pålagt å ha ombud anbefaler Datatilsynet at virksomheten dokumenterer de vurderingene som har blitt gjort dersom personvernombud ikke blir opprettet. Dokumentasjonen er nødvendig for å kunne vise at dere har gjennomført en reell vurdering, der alle relevante faktorer har blitt tatt med. Vurderingene bør oppdateres ved behov, for eksempel hvis dere starter nye behandlinger av personopplysninger som kan være omfattet av de tre punktene over.

Alle virksomheter står fritt til å utpeke et personvernombud, selv om de ikke er pålagt å ha ombud etter kriteriene beskrevet over. Vær da oppmerksom på at de tre artiklene 37, 38 og 39 i personvernforordningen som regulerer personvernombudsordningen vil gjelde fullt ut, tilsvarende som i virksomheter hvor personvernombudsordningen er obligatorisk.

Erfaringsmessig har Datatilsynet sett at det å ha en person med kunnskap om og fokus på personvern i en virksomhet kan gjøre en stor forskjell. Vi oppfordrer derfor alle virksomheter til å opprette personvernombud, uavhengig om de er pålagt å ha det eller ikke.

Hva faller innenfor «offentlig myndighet og organ»?

Forarbeidene til personopplysningsloven presiserer at vi i Norge definerer «offentlig myndighet og organ» etter forvaltningsloven § 1 i denne konteksten. Det vil si et hvert organ for stat eller kommune.

Hvem innen privat sektor må ha ombud?

Virksomheter som har som hovedvirksomhet å gjøre følgende i stor skala må opprette personvernombud:

  • Regelmessig og systematisk monitorering av personer.
  • Behandling av særlige kategorier (sensitive) personopplysninger eller opplysninger om straffbare forhold (artikkel 9 og 10, lovdata.no).

Når virksomhetene skal vurdere om disse kriteriene gjelder dem, er det viktig å se totalbildet; hvor sensitive opplysninger er det snakk om, hvor omfattende er behandlingen av personopplysninger, og hva er de mulige personvernkonsekvensene for de registrerte?

Her forklarer vi nærmere hvordan de ulike begrepene kan tolkes:

Hovedvirksomhet

Dette er kjerneaktiviteter som er nødvendig for å oppnå virksomhetens mål eller som er en sentral del av det virksomheten gjør. Hvis monitoreringen er av et visst omfang vil den sannsynligvis telle som en hovedvirksomhet. Hvis behandling av personopplysninger er uløselig forbundet med virksomhetens produkter eller tjenester skal det ses på som en hovedvirksomhet.

Personaladministrasjon og vanlig IT-støtte er standard i alle virksomheter og blir i denne sammenheng ikke sett på som hovedvirksomhet. Dermed utløses ikke kravet om å ha personvernombud.

Stor skala

Forordningen definerer ikke hva som ligger i begrepet stor skala. Følgende faktorer bør imidlertid tas med i en vurdering av om en behandling er i stor skala, eller ikke:

  • antallet personer det behandles opplysninger om
  • mengden og omfanget av personopplysningene som blir behandlet
  • varigheten av behandlingen
  • det geografiske omfanget av behandlingen

Eksempler på aktører som foretar behandling av personopplysninger i stor skala er sykehus, offentlige transportsystemer i en by, banker, forsikringsselskaper, søkemotorer på internett og internett- og teletilbydere.

Eksempler på aktører som ikke vil komme inn under begrepet som stor skala er fastleger eller advokater som kun behandler opplysninger for et begrenset antall pasienter eller kunder.

Regelmessig og systematisk

Heller ikke her gir forordningen en definisjon, men følgende punkter bør legges til grunn i en vurdering:

Regelmessig

  • Behandlingen av personopplysninger skjer løpende eller jevnlig i en bestemt periode
  • Behandlingen gjentas på bestemte tidspunkter

Systematisk

  • Behandlingen av personopplysninger skjer etter et system
  • Behandlingen er forhåndsbestemt, organisert eller metodisk
  • Behandlingen skjer som en del av en generell plan for datainnhenting
  • Behandlingen skjer som en del av en strategi

Monitorering

Dette beskrives nærmere i fortalepunkt nummer 24 (lovdata.no) («fortale» er en innledende forklaring til de enkelte paragrafene i lovteksten):

Oppsummert omfatter «monitorering» i denne sammenhengen alle former for sporing og profilering av personer.

Eksempler på aktiviteter som kan komme inn under begrepet monitorering er:

  • persontilpasset reklame på internett
  • drift av et telekommunikasjonsnettverk
  • målrettet e-postreklame
  • profilering og vurdering i forbindelse med kredittvurdering
  • sporing av lokasjon i mobilapplikasjoner
  • monitorering ved bruk av helsearmbånd
  • kundeklubber eller lojalitetsprogrammer
  • kameraovervåking
  • bruk av internettilknyttede enheter, som for eksempel smarte biler, automatiske strømmålere, smarthus og lignende

Et «vanlig» kunderegister som brukes til å sende ut varer og faktura vil ikke regnes som monitorering i denne konteksten. Men hvis dere for eksempel bruker kunderegisteret til å profilere kundene for å sende dem tilpasset reklame basert på kjøpshistorikk og klikk på nett, vil det sannsynligvis kunne defineres som monitorering.

Særlige kategorier (sensitive) personopplysninger:

  • rasemessig eller etnisk opprinnelse
  • politisk oppfatning
  • religiøs eller filosofisk overbevisning
  • fagforeningsmedlemskap
  • behandling av genetiske opplysninger og biometriske opplysninger med det formål å entydig identifisere en fysisk person
  • helseopplysninger
  • opplysninger om en fysisk persons seksuelle forhold eller seksuelle legning

Straffbare forhold:

  • personopplysninger i forbindelse med straffedommer og straffbare forhold eller tilknyttede sikkerhetstiltak