Viktige telefon nummer:

110

112

113

Legevaktthumb lov rett1

Rollen som Personvernombud...

 

Flere saker i media har satt søkelys på rollen som personvernombud. Det leses om ansatte som raser mot virksomhetens personvernombud og om ombud som blir omplassert.

Hva er egentlig et personvernombud og hvorfor kan denne rollen være krevende å inneha?


Mange bedrifter og organisasjoner behandler daglig store mengder personopplysninger. Disse virksomhetene kan være lovpålagt å oppnevne et personvernombud. Hensikten med ordningen er å styrke virksomhetens evne til å etterleve regelverket for behandling av personopplysninger og å sørge for at virksomheten har den nødvendige kompetansen for å håndtere personopplysninger i tråd med regelverket.


Hvilke virksomheter må oppnevne personvernombud?

Virksomheter som behandler personvernopplysninger i et større omfang plikter å oppnevne et personvernombud. Personvernforordningen artikkel 37 fastslår at alle offentlige virksomheter, med unntak av domstoler, er pålagt å utnevne et personvernombud. I tillegg skal virksomheter, hvor hovedaktiviteten består i regelmessig og systematisk å overvåke personer i stort omfang (bokstav b), eller virksomheter som behandler sensitive opplysninger i stort omfang (bokstav c), oppnevne personvernombud. Hvem som er virksomhetens ombud skal meldes til Datatilsynet.

Virksomhetens ledelse er øverste ansvarlig for behandlingen av personopplysninger og defineres som den behandlingsansvarlige.

Databehandleren er den som behandler personopplysninger på vegne av en behandlingsansvarlig.

Hvem kan være personvernombud?

Forordningen fastsetter ikke noen formelle krav til hvem som kan være personvernombud. Dette innebærer som utgangspunkt at alle kan oppnevnes til rollen. Forordningen artikkel 37 (5) stiller imidlertid tydelige krav til at den som oppnevnes har faglig kvalifikasjoner, kjenner godt til personvernregelverket og praksis, samt har evne til å utføre oppgavene. Den som har ombudsrollen skal bidra til å sikre at personvernspørsmål får tilstrekkelig oppmerksomhet i virksomhetene og at virksomheten har den kompetansen som er nødvendig for å håndtere den risikoen som behandling av personopplysninger innebærer.

For å kunne fungere godt i rollen er det en forutsetning at den som oppnevnes har kunnskap om organisasjonen og virksomheten. Dette for å kunne sette seg inn i og forstå hvordan personopplysninger behandles.

Bare fysiske personer kan inneha rollen. Den behandlingsansvarlige, kan ikke utnevne seg selv som personvernombud. Datatilsynet fraråder at den som er sikkerhetsansvarlig også påtar seg rollen som verneombud da disse rollene ofte kan ha motstridende interesser.

Det er viktig å merke seg at personvernombudet har taushetsplikt, jf. artikkel 35 (5).

Personvernombudets oppgaver

Personvernombudets lovpålagte oppgaver følger av personvernforordningen artikkel 39. Sentrale gjøremål er blant annet å gi råd i egen organisasjon, til ansatte og til behandlingsansvarlig eller databehandler. Videre skal ombudet følge med på at egen virksomhet etterlever personvernregelverket. Ombudet skal gi råd om vurderingen av personvernkonsekvensene og kontrollere gjennomføringen. Personvernombudets arbeid skjer i stor grad internt i egen organisasjon. Ombudet skal fungere som kontaktperson utad til de som virksomheten behandler personopplysninger om ( de registrerte) og samarbeide med tilsynsmyndigheten. Personvernombudet kan også utføre andre personvernrelaterte oppgaver i virksomheten enn det som følger av forordningen.

Arbeidsgiver plikter å stille nødvendige ressurser til rådighet for personvernombudet slik sy ombudet får oppfylt sine lovpålagte oppgaver. Dette innebærer blant annet at ombudet skal gis mulighet til å gå på nødvendig kurs, fag-samlinger eller annet for å opprettholde sin dybdekunnskap, jf. artikkel 38 (2).

Interessekonflikt mellom personvern og virksomhetens øvrige formål

Et personvernombud skal opptre uavhengig og gi ledelsen råd som er objetive og kvalifiserte ut i fra personvernhensyn. Det er forbud å instruere ombudet om hvordan denne skal utføre sine lovpålagte oppgaver. Det er behandlingsanvarlig eller databehandlers oppgave å ivareta ombudets uavhengighet  og støtte opp om dets arbeid. Personvernombudet har i oppgave å gir råd samt å kontrollere etterlevelse  av relevant regelverk. Det er imidlertid ledelsen, som behandlingsansvarlig, som har har ansvaret for at personvern-lovgivningen følges. Ledelsen vil ha ansvaret for at virksomheten opptrer i samsvar med øvrig lovgivning, samt treffer de endelige beslutningene. I denne prosessen vil et personvernombud kunne oppleve at ledelsen går imot ombudets råd. For å minimere ombudets utsatte posisjon er det viktig å skille mellom dets rådgivende funksjon og hvem som faktisk tar beslutningene. Dette innebærer at ledelsen må ha kompetanse til å forstå og vurdere de råd ombudet gir, og å avveie disse mot virksomhetens øvrige behov. For å minimere risikoen for at ombudet i kraft av sin rolle kommer i en utsatt posisjon, bør enhver virksomhet gjøre nødvendige rolleavklaringer og videreformidle disse nedover i organisasjonen.

Avslutningsvis minner Juristforbundets advokatkontor om at det er forbudt å iverksette formelle og uformelle sanksjoner mot et ombud som utfører sine oppgaver, jf. artikkel 38 (3). Sanksjoner kan for eksempel være tap av goder som ansatte vanligvis nyter godt av, forbigåelser ved karriereopprykk og/ eller lønnsforhøyelser.

Advokatkontoret kan kontaktes dersom du som ombud opplever negative handlinger knyttet til rollen som personvernombud.


Artikkelen er funnet i bladet "Juristen - nr. 2 / 2019"  - Utgiver er Juristforbundet.

Ansvarlige bak råd i denne utgaven (nr.2 / 2019) er: Helene Dorans - Advokat, Erik Graff - Spesialrådgiver, Rikke Ringsrød - fagsjef, Thea Larsen Normann - Advokatfullmektig og Ragnhild Bø Raugland - Advokat.

Forbehold om lovendringer mm.

Pr. dato kan Juristforbundet nås via nettsiden: www.juristen.no og e-mail / e-post finnes nederst på den nettsiden.

Infoklikk.no

Hjelper deg med å finne ressurser.

Dagens dato:

Infoklikk.no kan ikke på noen måte gjøres ansvarlig for innholdet på eksterne nettsteder som er linket på eller til Infoklikk.no sine sider. / Infoklikk.no - can not be held responsible for any content on any external website linked on or to the Infoklikk.no website.