Hopp til hovedinnhold

Hva betyr nytt lovverk for deg som er personvernombud?

I mai 2018 får Norge nytt personvernregelverk når EUs forordning trer i kraft. Det nye regelverket har egne bestemmelser om personvernombud.

Med forordningen får vi den største endringen i den europeiske personvernlovgivningen på over 20 år.

En av hovedgrunnene til innføringen av personvernombudsordningen er å sikre lik lovgivning i alle EU og EØS/EFTA-land. Mye av innholdet i de nye reglene, blant annet når det gjelder personvernombud, vil være kjent for oss i Norge.

Noe nytt, men mye kjent

Ombudets oppgaver og rolle er stort sett de samme, med ombudets uavhengighet og posisjon i virksomheten styrkes i den nye loven. I tillegg stilles det strengere krav til ombudets faglige kunnskap og evne til å utføre oppgavene sine. Det sistnevnte vil føre til et økt behov for utdanning og kompetanse innen personvern. Datatilsynet vurderer for tiden ulike løsninger for å dekke dette behovet.

Flere ombud

Den største endringen fra dagens regelverk er at en del virksomheter blir pålagt å ha personvernombud. Endringen vil sannsynligvis føre til en betydelig økning i antall ombud i Norge. Når forordningen trer i kraft er det ikke lenger nødvendig med Datatilsynets godkjennelse av personvernombud. I stedet opprettes det en registreringsordning der virksomheter selv registrerer sitt personvernombud.

Plikt til å ha ombud

Dagens personvernombudsordning er frivillig. Etter 2018 vil mange virksomheter plikte til å ha personvernombud. De som ikke må ha ombud, kan likevel velge å følge ordningen på frivillig basis. Følgende virksomheter må utnevne personvernombud:

  • offentlige virksomheter (unntatt domstolene)
  • virksomheter hvis kjerneaktivitet består i å regelmessig og systematisk overvåke personer i stort omfang
  • virksomheter som behandler sensitive personopplysninger i stort omfang

Innen utgangen av 2016 vil EU legge frem retningslinjer som kan hjelpe med å definere omfanget av kategoriene listet over, slik at det er lettere for virksomheter å vite om de er berørt.

Regelverket krever at virksomheten velger personvernombud ut fra faglig kvalitet, ekspertise innen personvernrett og evne til utføre oppgavene. Ombudet kan være ansatt i virksomheten eller en profesjonell tredjepart.

Reglene om hvem som må ha personvernombud følger av forordningens artikkel 37 (engelsk, ekstern lenke).

Personvernombudets rolle

Det nye regelverket gir følgende føringer for personvernombudets rolle:

  • Ombudet skal involveres i alle saker som handler om behandling av personopplysninger i virksomheten. Ombudet skal inkluderes i prosessen både tidlig nok og på en god nok måte til at hun eller han kan utføre sin rolle.
  • Virksomheten har ansvar for at ombudet har tilstrekkelige ressurser og mulighet til å utføre sine oppgaver og opprettholde sin ekspertise.
  • Ombudet skal være uavhengig. Det er virksomhetens ansvar å sørge for at personvernombudet ikke mottar instruksjoner om hvordan han eller hun skal utføre arbeidet sitt.Ombudet kan ikke avskjediges eller straffes for å utføre sine oppgaver.
  • Personvernombudet skal rapportere til virksomhetens øverste ledelse.Ombudet skal være bundet av taushetsplikt eller konfidensialitet under utførelsen av sine plikter. Så lenge det ikke fører til noen interessekonflikt, kan ombudet også utføre andre oppgaver i virksomheten.
  • Ombudet skal være kontaktpunkt for de registrerte. Det betyr at alle registrerte som har spørsmål eller krav knyttet til behandlingen av deres personopplysninger, skal kunne ta direkte kontakt med personvernombudet.

Disse reglene følger av forordningens artikkel 38 (engelsk, ekstern lenke).

Personvernombudets oppgaver

Ombudet skal, i tillegg til å være kontaktpunkt for de registrerte:

  • informere og gi råd til virksomheten og de ansatte i saker som handler om personvern
  • bidra til etterlevelse av forordningen og virksomhetens personvernpolitikk
  • gi råd om og delta i vurderinger av personvernkonsekvenser
  • fungere som kontaktpunkt mellom Datatilsynet og virksomheten

Disse reglene følger av forordningens artikkel 39 (engelsk, ekstern lenke).

Les mer på vår samleside om de nye personvernreglene

Til toppen