25. mai 2018 trer den nye felleseuropeiske personvernloven i kraft, også i Norge. General Data Protection Regulation (GDPR), får store konsekvenser for norske bedrifter som håndterer personopplysninger. For forbrukere betyr det langt større kontroll over egne personopplysninger og hvordan de blir brukt.

En av de forordningene som skaper mest usikkerhet i næringslivet er kravet til et eget personvernombud i en del foretak.

– Alle offentlige virksomheter skal ha et personvernombud. I tillegg skal private selskaper som håndterer sensitive opplysninger eller har som hovedvirksomhet å monitorere personopplysninger ha et personvernombud, sier seniorrådgiver Kari Laumann i Datatilsynet.

Datatilsynet anslår at det trengs 1500 personvernombud i offentlig sektor. I dag har rundt 500 private norske foretak et personvernombud, men fra neste år blir tallet langt høyere. Trolig trengs det mellom tre og fire tusen personvernombud totalt.

Bedrifter som oppbevarer personopplysninger til faktureringsformål eller som rene kunderegister ikke trenger personvernombud. Driver man derimot med profilering av kunder for rettet reklame eller overvåkning av innkjøp i kundeklubber og lignende er man dekket av kravet.

– Butikker og kjeder med egne medlemsklubber er et typisk eksempel på selskaper som må ha et personvernombud, sier direktør Bjørn Erik Thon i Datatilsynet.

«Begynner å haste»

Partner Eva Jarbekk i i advokatfirmaet Føyen Thorkildsen er bekymret for den korte tiden som gjenstår til å få personvernombudene på plass.

– Å være personvernombud stiller strenge krav til kompetanse på personvernfeltet og krever ofte kompetanseheving og kursing. Det er reell knapphet på folk med tilstrekkelig kunnskap om personvern, så nå begynner det å haste, sier Jarbekk.

Rundt 500 bedrifter har allerede hatt personvernombud i flere år. Men etter innføringen av GDPR vil rollen defineres annerledes.

Personvernombudet skal være en uavhengig ressursperson som passer på at bedriften overholder personvernreglene.

– Jeg ser at næringslivet trenger hjelp til å finne ut av hvor de skal begynne og hva de skal prioritere. Vi opplever et stort press fra næringslivet om GDPR og ombudsordningen. Dessverre vil nok mange som er gode på personvern allerede, ikke kunne fortsette som ombud under GDPR, sier partner Eva Jarbekk i Føyen Thorkildsen.

Hun sier at for mange små og mellomstore bedrifter vil kravet til uavhengighet hos personvernombudet føre til løsninger som ikke er optimale for personvernet.

– Mange av dagens kompetente rådgivere og personvernombud vil ikke kunne fortsette i rollen fordi de også er med og tar daglige avgjørelser for hvordan bedriften bruker personopplysninger. Det har ikke ombudet lov til under GDPR, som er mye mer prinsipiell på rolleforståelse for ombudene enn hva nåværende praksis er. Det vil føre til at mange av ressurshensyn vil bruke eksterne personvernombud som ikke alltid har den nødvendige kjennskapen til bedriftens daglige drift, sier Jarbekk.

Datatilsynet sier at det er fullt mulig å leie inn eksterne personvernombud eller å ha rollen som en del av en annen stilling, men at det stemmer at beslutningstagere i en bedrift ikke bør ha rollen.

– Ofte vil behovet stå i stil med hvor stor oppgaven er. I mindre bedrifter vil rollen som personvernombud fint kunne kombineres med en annen stilling. I større selskaper hvor oppgavene til ombudet er mer omfattende vil det som oftest også være ressurser til å ha et eget ombud, sier Thon i Datatilsynet.

Ingen formell sertifisering

GDPR definerer ikke noen spesifikke krav til bakgrunn for hvem som kan bli personvernombud og det finnes ingen sertifiseringsordning som kvalifiserer et ombud.

– Man må ikke bestå en prøve for å bli personvernombud, men GDPR stiller krav til inngående kjennskap til personvernreglene og ha evne til å utføre de oppgavene som kreves. Det er bedriftens ansvar å sørge for at ombudet er kvalifisert og det er også bedriften som blir ansvarlig dersom ombudet ikke kan håndtere oppgavene sine, sier Laumann.

Datatilsynet utfører selv kursing av blivende personvernombud nå, men avvikler kursvirksomheten når den nye personvernloven trer i kraft i mai. Da blir dette overlatt til foretakene selv.

– Vi har ikke kapasitet til å få nok personer kurset i tide, men heldigvis finnes det flere andre som holder gode kurs. Når man har utnevnt et personvernombud må det registreres hos oss, men vi vurderer ikke om den registrerte personen er kvalifisert, sier Laumann.

«Uavhengigheten er viktigst»

Kjetil Rognsvåg er nylig ansatt som personvernombud i Telenor. Han er utdannet elektroingeniør, men har jobbet med personvern i Telenor siden 2002. Han mener de nye reglene for personvernombud er gode.

– Tidligere var ombudsrollen en avtale mellom Datatilsynet og enkeltselskaper. Nå blir rollen lovfestet, med mange av de samme kravene. Og aller viktigst er uavhengigheten ombudet skal ha i bedriften, sier Rognsvåg, som også var personvernombud for Telenor Norge mellom 2006 og 2011.

Han er enig med advokat Jarbekk i at det kan bli utfordrende for mindre bedrifter å håndtere rollen.

– Omfanget til rollen vil jo variere i mange bedrifter. Å bruke et eksternt ombud kan være nødvendig, men vil også være krevende for den eksterne parten fordi kjennskap til bedriften prosjekter og internkultur er avgjørende for ombudsrollen, sier Rognsvåg.(Vilkår)

Her lærer kronprins Haakon prinsesse Ingrid Alexandra og prins Sverre Magnus å surfe
Kronprinsfamilien på bølgejakt i surfeparadiset Hoddevik
01:58
Publisert: