Kommunale bedrifter omfattet av forvaltningsloven må ha personvernombud

Kommunale bedrifter som omfattes av forvaltningsloven vil være forpliktet etter GDPR artikkel 37 til å utpeke personvernombud. Personvernreglene åpner likevel for at bedrifter kan dele personvernombud med andre selskap eller kommuner.

Fra 1. juli 2018 trådte nye personvernregler i kraft i Norge. EUs personvernforordning (GDPR) ble i sin helhet tatt inn i norsk rett. Dette medførte at staten, fylkeskommuner, kommuner og de aller fleste virksomheter ble omfattet av nye og strengere krav til behandling av data og personopplysninger for å sikre borgernes personvern.

Mange aktører fikk også plikt til å utpeke personvernombud med et særlig ansvar for å påse at personvernreglene blir fulgt i virksomheten. Artikkel 37 i personvernforordningen sier at virksomheten skal utpeke et personvernombud dersom:

Da GDPR ble innført, la man til grunn at mange kommunale bedrifter trolig ikke måtte utpeke personvernombud. Bakgrunnen for dette standpunktet var at mange av dem ikke driver forvaltningsvirksomhet og saksbehandling i tradisjonell forstand, men i hovedsak organiserer og produserer kommunale fellestjenester.

Synet på når forvaltningsloven gjelder for kommunale bedrifter kan ha endret seg noe de siste årene. I et brev av 7. mai 2021 til Forum for kontroll og tilsyn la det tidligere Kommunal- moderniseringsdepartementet til grunn at et kontrollutvalgssekretariat organisert som et IKS var å regne som et «organ for ... kommune» etter forvaltningsloven § 1 andre punktum, og dermed var omfattet av plikten til å utpeke personvernombud.

Kontrollutvalgssekretariatet utførte utredningsoppgaver for kommunale kontrollutvalg, men hadde ingen vedtaksmyndighet og drev ikke offentlig myndighetsutøvelse. Likevel mente Kommunal- og moderniseringsdepartementet at blant annet det kommunale eierskapet, graden av offentlig styring og kontroll, og oppgavene i virksomheten tilsa at selskapet måtte betraktes som et forvaltningsorgan etter forvaltningsloven. Da måtte selskapet også ha personvernombud, jf. forordningen artikkel 37.

Dersom en tilsvarende (streng) vurdering skal legges til grunn i andre saker, kan det bety at forholdsvis mange kommunalt eide selskaper som i hovedsak utfører lovpålagte kommunale oppgaver er omfattet av forvaltningsloven, og må utpeke personvernombud. Dette selv om de i hovedsak produserer tjenester, og i mindre grad driver saksbehandling eller utøver offentlig myndighet.

Samfunnsbedriftene og NKRF sendte 23. mars 2022 et brev til Justis- og beredskapsdepartementet der vi ba om en nærmere vurdering av forholdet mellom personvernreglene og forvaltningsloven. Vi pekte på at mange kommuner legger ulike tjenester i egne og interkommunale selskap, og at det fremstod som uhensiktsmessig og lite forholdsmessig hvis mindre kommunalt eide virksomheter måtte ha eget personvernombud. Vi ønsket også en nærmere vurdering av muligheten for at virksomheter kunne dele personvernombud.

JD svarte på vår henvendelse 30. juni 2022. Departementet bekreftet at det må gjøres en konkret og selvstendig vurdering av om det selvstendige rettssubjektet/selskapet omfattes av forvaltningsloven. Er man først omfattet av forvaltningsloven, vil virksomheten etter dagens regelverk også være forpliktet til å utpeke personvernombud.

JD pekte videre på at personvernforordningen artikkel 37 nr. 3 åpner for at det kan utpekes ett personvernombud for flere myndigheter eller organer. Da må det gjøres en konkret vurdering av om det er «grunnlag for å utpeke et felles ombud», og det skal i denne sammenheng «tas hensyn til deres organisasjonsstruktur og størrelse»

Samfunnsbedriftene legger til grunn at organisering av kommunale tjenester i henholdsvis egne og interkommunale selskap er vanlig i den norske kommuneforvaltningen.

Det bør på denne bakgrunn, og etter en konkret vurdering av virksomhetenes størrelse og omfang, være adgang til å dele personvernombud mellom for eksempel kommunale selskaper som driver likeartet virksomhet eller mellom selskap og eierkommuner.