Advokat Roy Nordli i Økonomiadvokat har sett på saken. EUs forordning for personvern (GDPR-Forordningen) blir norsk lov i 2018 og medfører nye regler for personvern i Norge. Det nye GDPR-regelverket gir virksomheter nye plikter og enkeltpersoner flere rettigheter.

Virksomheten får økt ansvar etter nytt GDPR-regelverk

Det nye personvernregelverket/GDPR-regelverket legger vekt på ansvarlighet og internkontroll hos virksomheten fremfor forhåndskontroll hos Datatilsynet.

Kravene til avviksbehandling, varsling av berørte, og kontinuerlig arbeid med informasjonssikkerhet skjerpes i det nye regelverket.

Mange virksomheter pålegges et personvernombud - internt eller eksternt

I dag har vi en frivillig personvernombudsordning. Med den nye forordningen får mange virksomheter plikt til å opprette personvernombud. De som ikke må opprette ombud, kan selvsagt også velge å følge ordningen på frivillig basis.

Følgende virksomheter må utnevne personvernombud iht. GDPR:

1. Offentlige virksomheter

2. Virksomheter hvis kjerneaktivitet består i å regelmessig og systematisk overvåke personer i stort omfang

3. Virksomheter som behandler sensitive opplysninger i stort omfang

Konserner eller offentlige myndigheter med underliggende etater kan ha ett felles ombud, forutsatt at ombudet er lett tilgjengelig for alle konsernets etableringer.

Etter forordningen vil det ikke lenger være nødvendig med Datatilsynes godkjennelse av personvernombudet. I stedet vil det opprettes en registreringsordning der virksomheter selv kan registrere sitt personvernombud.

Ombudet kan være ansatt i virksomheten eller en profesjonell tredjepart.

Personvernombudet skal velges ut fra faglig kvalitet, ekspertise innen personvernrett og evne til utføre oppgavene. Forordningen stiller altså krav til ombudets fagkunnskap.

Et personvernombud iht. GDPR-forordningen

• Skal være uavhengig

• Skal ikke motta instruksjoner om hvordan han eller hun skal utføre arbeidet sitt.

• Kan ikke avskjediges eller straffes for å utføre sine oppgaver

• Skal rapportere til øverste ledelsesnivå i virksomheten

• Skal informere og gi råd til virksomheten og de ansatte

• Bidra til etterlevelse av forordningen og virksomhetens personvernpolitikk

• Gir råd om og delta i konsekvensanalyser

• Fungere som kontaktpunkt mellom Datatilsynet og virksomheten

Ansvarsområdet til et personvernombud iht. GDPR-forordningen:

Personvernombudet kan enten være ansatt internt i virksomheten eller være en ekstern kvalitetsrevisor. Personvernombudet har som oppgave å:

1. Føre oversikt over virksomhetens behandlinger av personopplysninger

2. Passe på at ledelsen i virksomheten har etablert et system for internkontroll

3. Bistå personer som er registrert hos virksomheten (kunder/leverandører)

4. Besvare spørsmål om personvern internt i virksomheten

5. Være rådgiver for den ansvarlige for behandlingen av personopplysningene

6. Peke på brudd på personopplysningsloven overfor ledelsen

7. Være en kontaktperson ved henvendelser fra Datatilsynet

8. Holde seg orientert om utviklingen innen personvern

Ønsker du innleie av eksternt personvernombud?

Ved å velge våre sertifiserte kvalitetsrevisorer til å utføre jobben som personvernombud får du mer tid til din kjernevirksomhet. Du slipper også opplæring og kursing av eget personvernombud, og slipper å utarbeide egen dokumentasjon på etterlevelse av regelverket. Det tar vi oss av!

Dersom du bare ønsker bistand til rådgiving for å sikre etterlevelse av nytt regelverk, lovpålagte risikovurderinger knyttet til personvernlovgivningen, eller lovpålagt revisjon av regelverket, er også dette tjenester vi leverer.