Behandling av personopplysninger kan kreve personvernombud

Da personvernforordningen fra EU (GDPR – General Data Protection Regulation) ble gjort til norsk lov i 2018, var dette et tiltak for å styrke personvernet. Særlig det siste tiåret har teknologien utviklet seg raskt. Når innhenting, lagring og systematisering av data er blitt enkelt tilgjengelig, må virksomheter forholde seg mer aktivt og aktsomt til sammenhengen mellom digitalisering og personvern enn før. Dersom man ikke gjør det, løper det risiko for å bli ilagt overtredelsesgebyr fra datatilsynet.

Til eksempel ble Bergen kommune ilagt et overtredelsesgebyr på 3 millioner kroner i 2019. Dette var fordi kommunen ikke «hadde gjennomført tekniske og organisatoriske tiltak for å oppnå eit godt nok sikkerheitsnivå, og for ikkje å ha sikra vedvarande konfidensialitet og integritet.»

Eksemplet viser at det kan få betydelige konsekvenser for virksomheten dersom man ikke er bevisst de digitale risiko – og sårbarhetselementer ved virksomheten sin og de pliktene man er pålagt i kraft av å være databehandler.

Behandler man f.eks. personopplysninger - som ofte vil være tilfellet for stat, kommune eller et organ for disse, følger det med forholdsvis omfattende plikter. Én av flere plikter kan være å oppnevne et personvernombud.

Plikten til å utnevne personvernombud for offentlige virksomheter er hjemlet i personvernforordningen avsnitt 4, art. 37 (her avgrenset til bokstav a):

En «behandlingsansvarlig» eller «databehandler» kan eksempelvis være alt fra et enkeltpersonsforetak, et konsern, til en offentlig eller privat virksomhet. Definisjonene av disse er nærmere gjengitt i personvernforordningen art.7 nr. 7 og nr. 8. Det sentrale en skal merke seg er at man ikke kan fraskrive seg plikten til å oppnevne et personvernombud grunnet organisasjonsform.

Dette stadfestes også tydelig i forarbeidene:

Videre i forarbeidene står det at et offentlig organ

«(…) vil være de organer som er omfattet av forvaltningsloven § 1 annet punktum, som etter artikkel 37 nr.1 bokstav a plikter å ha personvernombud. Forvaltningsloven § 1 annet punktum definerer forvaltningsorganer som et hvert organ for stat eller kommune.» jf. Prop. 56 LS (2017-2018) s.127.

Hvorvidt virksomheten er ansett som et forvaltningsorgan vurderes blant annet etter: graden av offentlig eierskap og kontroll, finansieringen av virksomheten samt hvilke oppgaver som utføres.

Det må gjøres en bred og helhetlig vurdering av disse forholdene. Daglig leder vil ha det formelle, overordnede ansvaret for at pliktene knyttet til GDPR overholdes.

Samfunnsbedriftene har hjulpet medlemmer med vurderinger knyttet til overnevnte og andre problemstillinger knyttet til GDPR.

Dersom dere har spørsmål om plikten til å ha personvernombud, eller andre personvernspørsmål knyttet til virksomheten, så ta gjerne kontakt med oss.