Vi benytter cookies på DN.no til analyseformål, tilpasning av innhold og annonser og for å videreutvikle våre tjenester.Les mer her.

Eva Jarbekk, partner i Advokatfirmaet Føyen Torkildsen, mener det begynner å haste med å få utdannet nok personvernombud før den nye personvernloven trer i kraft. Foto: Mikaela Berg
Eva Jarbekk, partner i Advokatfirmaet Føyen Torkildsen, mener det begynner å haste med å få utdannet nok personvernombud før den nye personvernloven trer i kraft. Foto: Mikaela Berg les mer

Jus

Innen et halvt år må flere tusen norske bedrifter ha en ny stilling på plass

Fra mai neste år må flere tusen norske bedrifter ha et eget personvernombud. Tiden begynner å renne ut, mener advokat.

Artikkelen er lagt til i din leseliste.

25. mai 2018 trer den nye felleseuropeiske personvernloven i kraft, også i Norge. General Data Protection Regulation (GDPR), får store konsekvenser for norske bedrifter som håndterer personopplysninger. For forbrukere betyr det langt større kontroll over egne personopplysninger og hvordan de blir brukt.

En av de forordningene som skaper mest usikkerhet i næringslivet er kravet til et eget personvernombud i en del foretak.

– Alle offentlige virksomheter skal ha et personvernombud. I tillegg skal private selskaper som håndterer sensitive opplysninger eller har som hovedvirksomhet å monitorere personopplysninger ha et personvernombud, sier seniorrådgiver Kari Laumann i Datatilsynet.

Personvernombud

Krav til egne personvernombud i offentlig sektor og en del private foretak er en av de nye reglene i General Data Protection Regulation (GDPR).

  • Offentlige virksomheter, selskaper som håndterer sensitive opplysninger som helseinformasjon eller opplysninger om straffbare forhold, selskaper som har som hovedvirksomhet å monitorere personer og adferd, for eksempel i et fordelsprogram, sporing av nettaktivitet eller handlemønster, eller driver kameraovervåkning, skal ha eget personvernombud.
  • Personvernombudet skal være en uavhengig ressursperson som passer på at bedriften overholder personvernreglene.
  • Personvernombudet skal bli hørt av bedriftens beslutningstagere og kunne gi råd om personvernmessige konsekvenser i alle avgjørelser.
  • Skal ha dyptgående kjennskap til regelverket.
  • Skal ha god innsikt i personopplysningene bedriften forvalter.
  • Skal være kontaktperson for myndigheter, kunder og ansatte i personvernspørsmål.
  • Det er ingen krav til formell bakgrunn eller sertifisering, men loven skisserer at ombudet skal ha inngående kunnskap om og forståelse for personvernreglene.
  • Ombudet skal være en fysisk person, ikke en juridisk person eller en avdeling.
  • Direkte kontaktinformasjon til ombudet skal være lett tilgjengelig for interne og eksterne personer, samt registreres hos Datatilsynet.
  • Brudd på reglene i GDPR kan bøtelegges med inntil 4 prosent av foretakets årsomsetning, inntil 20 millioner euro.
  • Datatilsynet har en egen veileder for spørsmål om ombudsordningen.
(Kilde: Datatilsynet)
Vis mer

Datatilsynet anslår at det trengs 1500 personvernombud i offentlig sektor. I dag har rundt 500 private norske foretak et personvernombud, men fra neste år blir tallet langt høyere. Trolig trengs det mellom tre og fire tusen personvernombud totalt.

Bedrifter som oppbevarer personopplysninger til faktureringsformål eller som rene kunderegister ikke trenger personvernombud. Driver man derimot med profilering av kunder for rettet reklame eller overvåkning av innkjøp i kundeklubber og lignende er man dekket av kravet.

– Butikker og kjeder med egne medlemsklubber er et typisk eksempel på selskaper som må ha et personvernombud, sier direktør Bjørn Erik Thon i Datatilsynet.

«Begynner å haste»

Partner Eva Jarbekk i i advokatfirmaet Føyen Thorkildsen er bekymret for den korte tiden som gjenstår til å få personvernombudene på plass.

– Å være personvernombud stiller strenge krav til kompetanse på personvernfeltet og krever ofte kompetanseheving og kursing. Det er reell knapphet på folk med tilstrekkelig kunnskap om personvern, så nå begynner det å haste, sier Jarbekk.

Rundt 500 bedrifter har allerede hatt personvernombud i flere år. Men etter innføringen av GDPR vil rollen defineres annerledes.

Personvernombudet skal være en uavhengig ressursperson som passer på at bedriften overholder personvernreglene.

– Jeg ser at næringslivet trenger hjelp til å finne ut av hvor de skal begynne og hva de skal prioritere. Vi opplever et stort press fra næringslivet om GDPR og ombudsordningen. Dessverre vil nok mange som er gode på personvern allerede, ikke kunne fortsette som ombud under GDPR, sier partner Eva Jarbekk i Føyen Thorkildsen.

Hun sier at for mange små og mellomstore bedrifter vil kravet til uavhengighet hos personvernombudet føre til løsninger som ikke er optimale for personvernet.

– Mange av dagens kompetente rådgivere og personvernombud vil ikke kunne fortsette i rollen fordi de også er med og tar daglige avgjørelser for hvordan bedriften bruker personopplysninger. Det har ikke ombudet lov til under GDPR, som er mye mer prinsipiell på rolleforståelse for ombudene enn hva nåværende praksis er. Det vil føre til at mange av ressurshensyn vil bruke eksterne personvernombud som ikke alltid har den nødvendige kjennskapen til bedriftens daglige drift, sier Jarbekk.

Datatilsynet sier at det er fullt mulig å leie inn eksterne personvernombud eller å ha rollen som en del av en annen stilling, men at det stemmer at beslutningstagere i en bedrift ikke bør ha rollen.

– Ofte vil behovet stå i stil med hvor stor oppgaven er. I mindre bedrifter vil rollen som personvernombud fint kunne kombineres med en annen stilling. I større selskaper hvor oppgavene til ombudet er mer omfattende vil det som oftest også være ressurser til å ha et eget ombud, sier Thon i Datatilsynet.

Ingen formell sertifisering

GDPR definerer ikke noen spesifikke krav til bakgrunn for hvem som kan bli personvernombud og det finnes ingen sertifiseringsordning som kvalifiserer et ombud.

– Man må ikke bestå en prøve for å bli personvernombud, men GDPR stiller krav til inngående kjennskap til personvernreglene og ha evne til å utføre de oppgavene som kreves. Det er bedriftens ansvar å sørge for at ombudet er kvalifisert og det er også bedriften som blir ansvarlig dersom ombudet ikke kan håndtere oppgavene sine, sier Laumann.

Datatilsynet utfører selv kursing av blivende personvernombud nå, men avvikler kursvirksomheten når den nye personvernloven trer i kraft i mai. Da blir dette overlatt til foretakene selv.

– Vi har ikke kapasitet til å få nok personer kurset i tide, men heldigvis finnes det flere andre som holder gode kurs. Når man har utnevnt et personvernombud må det registreres hos oss, men vi vurderer ikke om den registrerte personen er kvalifisert, sier Laumann.

«Uavhengigheten er viktigst»

Kjetil Rognsvåg er nylig ansatt som personvernombud i Telenor. Han er utdannet elektroingeniør, men har jobbet med personvern i Telenor siden 2002. Han mener de nye reglene for personvernombud er gode.

– Tidligere var ombudsrollen en avtale mellom Datatilsynet og enkeltselskaper. Nå blir rollen lovfestet, med mange av de samme kravene. Og aller viktigst er uavhengigheten ombudet skal ha i bedriften, sier Rognsvåg, som også var personvernombud for Telenor Norge mellom 2006 og 2011.

Han er enig med advokat Jarbekk i at det kan bli utfordrende for mindre bedrifter å håndtere rollen.

– Omfanget til rollen vil jo variere i mange bedrifter. Å bruke et eksternt ombud kan være nødvendig, men vil også være krevende for den eksterne parten fordi kjennskap til bedriften prosjekter og internkultur er avgjørende for ombudsrollen, sier Rognsvåg.(Vilkår)

TELENOR ASA

Omsetning Vis alle regnskapstall

Les mer

Kilde: Proff.no

  • Populære Søk:
  • Siste stillinger
  • Lederstillinger
Vis alle stillinger
Personvern GDPR Personvernombud Bjørn Erik Thon Eva Jarbekk Jus
Bli Varslet

Ikke gå glipp av noe!

Du kan få en epost hver gang vi skriver om dette.

Anbefalte videoer