EUs personvernforordning (GDPR) blir norsk rett gjennom ny personvernlov senest 25. mai 2018. Det er et omfattende regelsett som følger med de nye reglene (se her for oversikt), og for virksomheter som bl.a. behandler spesielt mye personopplysninger, er det en plikt til å ha kompetanse på personvernreglene internt ved å ha en personvernrådgiver (personvernombud). Gjelder dette din virksomhet?
Det er beregnet at det er nødvendig med 28.000 personvernombud i Europa for å overholde personvernforordningen. Datatilsynet i Norge regner med at det er behov for 3-4.000 personvernombud i Norge. Personvernforordningen er ikke bare den største endringen innenfor personvernlovgivning på 20 år, men vil også få omfattende virkning i de enkelte virksomheter. Virksomheter som i spesiell grad behandler personopplysninger, som behandler spesielle kategorier(sensitive) personopplysninger og kommuner, fylkeskommuner og staten vil måtte ha personvernombud.
Hva er et personvernombud?
Et personvernombud er en person som er utpekt av en behandlingsansvarlig eller databehandler i tilknytning til behandling av personopplysninger. Personen har til oppgave å bidra til at den behandlingsansvarlige eller databehandleren overholder reglene om behandling av personopplysninger.
Personvernforordningen bruker ikke betegnelsen personvernombud, men bl.a. «databeskyttelsesrådgiver» (på dansk) og «Data Protection Officer» (på engelsk), og nå benyttes det personvernrådgiver i den (foreløpige uoffisielle) norske oversettelsen av personvernforordningen. Det benyttes derfor personvernrådgiver i det følgende.
Hvilke virksomheter skal ha personvernrådgiver?
Virksomheter som må ha personvernrådgiver er virksomheter (både behandlingsansvarlige og databehandlere) som enten:
- Er offentlig myndighet eller behandler personopplysninger for offentlig myndighet. Med dette menes de offentlige myndigheter som er omfattet av offentlighetsloven § 2 bokstav a) i følge høringsforslaget til ny personopplysningslov, som er staten, fylkeskommunene og kommunene. Mer viktig er trolig de som ikke trenger å ha personvernrådgiver, som følger av bokstav b) til d), som er: «b) andre rettssubjekt i saker der dei gjer enkeltvedtak eller utferdar forskrift,c) sjølvstendige rettssubjekt der stat, fylkeskommune eller kommune direkte eller indirekte har ein eigardel som gir meir enn halvparten av røystene i det øvste organet i rettssubjektet, og d) sjølvstendige rettssubjekt der stat, fylkeskommune eller kommune direkte eller indirekte har rett til å velje meir enn halvparten av medlemmene med røysterett i det øvste organet i rettssubjektet.»
- Har hovedvirksomhet som overvåker eller krever overvåkning av et stort antall registrerte. Datatilsynet går gjennom hva som vil anses å være «overvåking av et stort antall registrerte» i sin veileder, og det vises derfor til denne.
- Har hovedaktivitet som involverer behandling av spesielle kategorier (sensitive) opplysninger i stort omfang. Med dette vil være helseforetak, virksomheter som driver med forskning mv. Merk at behandling av opplysninger om straff og lovovertredelser er ikke å anse som spesielle kategorier opplysninger, men slike opplysninger kan kun behandles under kontroll av offentlig myndighet, se artikkel 10.
I forordningen åpnes det også for at det kan pålegges personvernrådgiver i andre tilfelle etter nasjonal rett, så det kan være at flere virksomheter enn de som faller innenfor nevnte kriterier skal ha personvernrådgiver. Siden ovennevnte er noe uklart, vil det bli laget retningslinjer fra EU på hvilke virksomheter som skal ha personvernrådgiver. Datatilsynet har også laget en god veileder om personvernrådgiver. Merk at Datatilsynet anbefaler at det opprettes en personvernrådgiver uavhengig av om man har plikt til dette, og det er noe som bør vurderes i enhver virksomhet som behandler personopplysninger som en del av virksomheten. Det er også viktig å merke seg at Datatilsynet anbefaler at man dokumenterer vurderingen dersom man kommer til at man ikke skal ha personvernrådgiver.
Krav til personvernrådgiver
Det er krav til kvalifikasjonene for personvernrådgiveren i forordningen, ved at vedkommende skal ha ekspertise innenfor personvernrett og tilhørende praksis samt evne å utføre de oppgaver som pålegges vedkommende, se artikkel 37 nr. 5. Disse oppgavene er opplistet i forordningens artikkel 39. Personvernrådgiveren har et vesentlig selvstendig ansvar for sikre at forordningens regler overholdes ved kontroll på overholdelse, fordele ansvar, opplæring, opplysning, revisjoner mv.
I tillegg skal personvernrådgiveren informere den behandlingsansvarlige eller databehandleren og de ansatte om endringer i regelverket, rådgi om konsekvensanalyser og samarbeide med tilsynsmyndigheter. Personvernrådgiveren skal involveres tilstrekkelig og rettidig i alle spørsmål vedrørende beskyttelse av personopplysninger, se artikkel 38 nr. 1, som viser at personvernrådgiveren skal ha en sentral plass i den behandlingsansvarlige eller databehandlerens organisasjon hva gjelder spørsmål knyttet til behandling av personopplysninger. Det fremgår ikke klart av forordningen, men det må også tilligge personvernrådgiveren til en databehandler å ha et tett samarbeid og kontakt med den behandlingsansvarlige, herunder den behandlingsansvarliges personvernrådgiver om denne har dette, og motsatt. De registrerte kan også kontakt personvernrådgiveren for spørsmål knyttet til behandlingen, jf. artikkel 38 nr. 4.
Personvernrådgiveren kan dermed være en egen ansatt, eller en ekstern innleid tredjepart (som konsulent eller advokat).
Organiseringen av personvernrådgiveren
Personvernrådgiveren kan være ansatt hos den behandlingsansvarlige eller databehandleren, eller innleid for å utføre tjenestene, jf. artikkel 37 nr. 6. Et konsern kan utnevne et personvernrådgiver for alle konsernets selskaper, jf. artikkel 37 nr. 2, eller flere kommuner kan ha felles personvernrådgiver, jf. artikkel 37 nr. 3. Personvernrådgiveren rapporterer til det øverste ledelsesnivå hos den behandlingsansvarlige eller databehandleren, som vil være daglig leder/administrerende direktør (ikke styrets leder), eller konsernsjef i konsernforhold. Personvernrådgiveren skal ikke instrueres av sin arbeids- eller oppdragsgiver om utførelse av sine oppgaver, se artikkel 38 nr. 3. Personvernrådgiveren har således en selvstendig stilling, og personvernrådgiveren kan ikke sies opp, avskjediges, kontraktsforholdet termineres eller straffes (hvilket trolig også må omfatte erstatningsansvar for uaktsomme handlinger) for utførelse av sine oppgaver. Personvernrådgiveren kan ha andre oppgaver ved siden av oppgavene som personvernrådgiveren, såfremt disse oppgavene ikke medfører en interessekonflikt med oppgavene som personvernrådgiver, jf. artikkel 38 nr. 6.
Taushetsplikt
Personvernrådgiveren har taushetsplikt, jf. artikkel 38 nr. 5, men det er uklart hvem denne taushetsplikten gjelder overfor, dvs. om databehandlerens personvernrådgiver gjelder overfor behandlingsansvarlige og motsatt. I personvernrådgivers kontakt med registrerte og med tilsynsmyndigheten, vil personvernrådgiveren trolig ikke være pålagt å gi tilsynsmyndigheten mer informasjon enn databehandleren er pålagt etter forordningen eller nasjonal lovgivning.
Kontaktopplysninger
Databehandleren skal offentliggjøre kontaktopplysningene for personvernrådgiveren (f.eks. på nettsidene til selskapet) og informere tilsynsmyndigheten (som Datatilsynet) om utnevnelsen, jf. artikkel 37 nr. 7.
Mer informasjon om personvernrådgiver finnes på Datatilsynets sider om personvernrådgiver.