Sticos Fagstoff

Disse offentlige virksomhetene må ha personvernombud

Disse offentlige virksomhetene må ha personvernombud

GDPR pålegger alle offentlige virksomheter å utnevne et personvernombud, men hvem omfattes av «offentlig myndighet eller et offentlig organ»?

Therese Olsson Storøy, rådgiver i Sticos

Behandlingsansvarlige og databehandlere skal utpeke et personvernombud når behandlingen av personopplysninger utføres av en offentlig myndighet eller et offentlig organ, bortsett fra domstoler som opptrer innenfor rammen av sin domsmyndighet, jf. GDPR art. 37. Forarbeidene til personopplysningsloven legger til grunn at dette gjelder alle som omfattes av forvaltningsloven § 1 annet punktum.

Trenger du hjelp med GDPR? Sticos har personvernombud med ekspertkompetanse til leie 

Virksomheter som har som sin kjernevirksomhet å behandle sensitive personopplysninger i stor skala, samt personopplysninger om straffedommer og lovovertredelser, og virksomheter med kjernevirksomhet som består av regelmessig og systematisk monitorering av registrerte i stor skala må også utpeke et personvernombud.

GDPR pålegger altså alle offentlige og en rekke private virksomheter å utnevne et personvernombud. Personvernombudet skal føre kontroll med virksomhetens etterlevelse av regelverket og gi råd til ledelse og ansatte om personvern.

LES OGSÅ: Nå kan arbeidsgiver nekte deg å laste ned apper på mobilen

Hvem omfattes som «offentlig myndighet eller et offentlig organ»?

Offentlige myndigheter og offentlige organ innebærer kommune, fylkeskommune, regjering, departement, direktorat, tilsyn og andre statlige eller kommunale etater. Kan det være flere?

Forarbeidene til personopplysningsloven legger til grunn at vi i Norge definerer offentlig myndighet og organ etter forvaltningsloven § 1 annet punktum. Det vil si «et hvert organ for stat eller kommune».

Selskaper som er opprettet for å ivareta sentrale forvaltningsoppgaver må anses som «organ for stat eller kommune». Dette betyr at forvaltningsloven, og derfor også plikten til å utpeke et personvernombud, gjelder for alle statlige og kommunale organ, samt statlig eller kommunalt eide aksjeselskaper som ivaretar oppgaver som blir oppfattet som et statlig eller kommunalt ansvar. Det kan være f.eks. vann og kloakk, planarbeid, prosjektering av kommunale anlegg, drift av offentlige institusjoner innen helse-, sosial-, barneverns- eller undervisningssektoren mm. Disse virksomhetene er «organ for stat eller kommune», og er derfor forpliktet til å ha et personvernombud.

TRENGER DU PÅFYLL? Ta vårt nettkurs i GDPR her

Må hver enhet i kommunen ha eget personvernombud?

Nei. Selv om kommunen har mange enheter, kan det utpekes et felles personvernombud for hele kommunen. Flere offentlige myndigheter eller organer kan velge et felles personvernombud, såfremt det tas hensyn til organisasjonsstrukturen og størrelsen. Dette er viktig for at personvernombudet skal kunne ivareta sine oppgaver.

Fortsatt mange som mangler personvernombud

Bjørn Erik Thon, jurist og direktør i Datatilsynet, har skrevet et innlegg på Personvernbloggen om de viktigste hendelsene innen personvern det siste året. Han trekker blant annet frem at mange flere virksomheter må opprette personvernombud. Så langt har 563 ombud registrert seg via Altinn. De registrerte personvernombudene representerer 787 virksomheter, av disse er 195 kommuner og fylkeskommuner. Det er 422 kommuner og 18 fylkeskommuner i Norge, 195 personombud er derfor et veldig lavt antall, da ordningen med personvernombud er obligatorisk for offentlige etater.

Datatilsynet vil i løpet av høsten gjennomføre de første tilsynene, og kontrollere om offentlig etater har utpekt et personvernombud.

Lær GDPR og få en konkret handlingsplan for din virksomhet på én dag. Sammen med en fagekspert fra Sticos får du en engasjerende, morsom og lærerik dag som gjør deg klar til handling. Se mer her!

 

Print

Navn:
E-post:
Emne:
Din melding:
x