Når plikter virksomheten å ansatte Personvernombud etter GDPR-forordningen?

Datatilsynet skriver følgende om dette temaet på deres hjemmesider:

Styrkingen av personvernombudets rolle er godt nytt for personvernet.Erfaringsmessig har Datatilsynet sett at det å ha en person med kunnskap om og fokus på personvern i en virksomhet kan gjøre en stor forskjell.

Datatilsynet oppfordrer derfor alle virksomheter til å opprette personvernombud, uavhengig om de er pålagt å ha det eller ikke.

Artikkel 37 i forordningen sier at både behandlingsansvarlige og databehandlere skal utpeke et personvernombud dersom:

  1. behandlingen utføres av en offentlig myndighet eller et offentlig organ, bortsett fra domstoler som handler innenfor rammen av sin domsmyndighet

  2. den behandlingsansvarliges eller databehandlerens hovedvirksomhet består av behandlingsaktiviteter som på grunn av sin art, sitt omfang og/eller formål krever regelmessig og systematisk monitorering i stor skala av registrerte, eller

  3. den behandlingsansvarliges eller databehandlerens hovedvirksomhet består av behandling i stor skala av særlige kategorier av opplysninger i henhold til artikkel 9 (sensitive personopplysninger) eller personopplysninger knyttet til straffedommer og straffbare forhold som er nevnt i artikkel 10.


Dersom du er usikker på om din virksomhet er pålagt å ha å ha et Personvernombud, anbefaler vi at du tar vår Online sjekkliste (se link under). Når du har fylt ut sjekklisten vil du få en anbefaling av oss mht. plikt til Personvernombud og GDPR-system.

Hvem bør ha et GDPR-system?

Brudd på GDPR blir sanksjonert med bøter på inntil 400 millioner kroner, og blir endelig fastsatt av EUs nye GDPR vaktbikkje.

Bøter kan ikke vurderes av politisk ledelse i Norge, og kan heller ikke nedsettes av norske domstoler. Bøtenivået skal derved harmoniseres med alle land i EU, som Norge har forpliktet seg til å følge gjennom EØS-avtalen, og som nå blir ny norsk lov. Forkortet til GDPR.

Dersom en virksomhet eller kommune behandler personopplysninger av et visst omfang og kompleksitet, vil det være nødvendig med et GDPR-system iht. ISO 9001:2015 Ledelsessystem for kvalitet, og for noe mindre virksomheter et internkontrollsystem som minimum etterlever kravene i til HMS og internkontrollforskriften.

Et GDPR-system bør kunne ivareta følgende funksjoner:

  • Dokumentasjon av rutiner som ivaretar kravene i GDPR

  • Automatisert system for kommunikasjon med registrerte

  • System for anonyme tilbakemeldinger

  • System for elektonisk bekreftelse av informasjon

  • Være prosessorientert

  • Avvikshåndtering

  • Risikovurdering

  • Sjekklister

  • Årshjul med automatisk oppfølging av lovpålagte aktiviteter

Gjennom samarbeid med landsdekkende IT-firmaer kan vi levere GDPR-internkontrollsystemer tilpasset små virksomheter, små og mellomstore virksomheter, samt alle kommuner og andre offentlige myndigheter.

Basert på vår unike GDPR-sjekkliste, kan du allerede i dag få avklart om du er pålagt å ha et Personvernombud eller ikke, og evt. om du bør ha et GDPR-internkontrollsystem.

Beregn din GDPR-score her.

98 visninger

Copyright © 2017 Roy Nordli. All Rights Reserved

  • Linkedin Eksterngransking
  • Twitter Social Icon