Trenger jeg å utnevne et personvernombud (DPO)?
Svaret finner du ved å svare på spørsmålene i vårt interaktive flytskjema!
*Domstoler som opptrer i sin juridiske kapasitet er unntatt!Vi behandler sensitive opplysninger eller opplysninger knyttet til straffedommer og lovbrudd
Dette gjør vi i stor skala
Vi gjennomfører regelmessig og systematisk monitorering av enkeltpersoner
Kjerneaktivitetene våre krever behandling av
sensitive opplysninger eller opplysninger knyttet til straffedommer og lovbrudd
Dette gjør vi i stor skala
Mine kjerneaktiviteter krever regelmessig og systematisk overvåking
Trenger jeg å utnevne et personvernombud?
Ja, utnevnelsen av et personvernombud er obligatorisk
Trenger jeg å utnevne et personvernombud?
Nei, utnevnelsen av personvernombud er frivillig.
Men det er oppfordret.
Hva er et personvernombud og trenger din organisasjon ett?
Hva er et personvernombud og hva gjør det?
Et personvernombud (PVO), fra engelsk «Data Protection Officer (DPO), er en personvernekspert som gir virksomheten råd om etterlevelse av personvernregelverket.
Personvernombudet skal på en ordentlig måte og til riktig tid være involvert i alle saker som er knyttet personvern.
I henhold til GDPR er minimumsoppgavene til personvernombudet:
- å informere og gi råd til virksomheten og dens ansatte om overholdelse av personvernregelverket;
- å følge med på overholdelsen av personvernregelverket;
- å gi råd om vurdering av personvernkonsekvenser (DPIA);
- å fungere som kontaktpunkt for den nasjonale tilsynsmyndigheten (DPA) og samarbeide med denne tilsynsmyndigheten;
- å fungere som kontaktpunkt for enkeltpersoner.
Personvernombudets tilstedeværelse er generelt anbefalt når beslutninger med personvernkonsekvenser tas. Personvernombudet skal også umiddelbart konsulteres når et databrudd eller en annen uønsket hendelse har inntruffet.
I praksis har ofte den behandlingsansvarlige eller databehandleren også tildelt personvernombudet oppgaven å føre protokoll over behandlingsaktiviteter.
Trenger min virksomhet et personvernombud?
Utnevnelsen av personvernombud er obligatorisk i følgende tre tilfeller:
- virksomheten er en offentlig myndighet som behandler personopplysninger;
- kjerneakvititetene består av regelmessig og systematisk overvåking av enkeltpersoner i stor skala, for eksempel geolokasjon via en mobilapplikasjon, eller overvåking av kjøpesentre og offentlige rom ved bruk av fastmonterte kamera;
- kjerneaktivitetene består av behandling av sensitive personopplysninger i stor skala.
Begrepene "kjerneaktiviteter", "regelmessig og systematisk overvåking" og "stor skala" er viktige for å avgjøre om en virksomhet skal utnevne et personvernombud eller ikke.
Med «kjerneaktivitet» menes det at behandlingsaktivitetene er avgjørende for at den behandlingsansvarlige eller databehandler skal nå sine mål. Herunder inngår alle aktiviteter der behandlingen av personopplysninger utgjør en uadskillelig del av den behandlingsansvarliges eller databehandlerens aktivitet.
Hva som regnes som "stor skala" avhenger av ulike faktorer, for eksempel mengden opplysninger som behandles, antall berørte personer — enten et konkret antall personer eller som en andel av antall berørte personer, behandlingens varighet og det geografiske omfanget av behandlingen.
«Regelmessig og systematisk overvåking» omfatter alle former for sporing og profilering på internett. Dette inkluderer atferdsbasert markedsføring. Begrepet «overvåking» er imidlertid ikke begrenset til digitale flater.
I praksis
- Kjerneaktiviteter
Her er et eksempel på en kjerneaktivitet: Hovedvirksomheten til en klinikk er å tilby helsetjenester til enkeltpersoner. I dette tilfellet bør behandlingen av helseopplysninger, for eksempel pasientjournaler, betraktes som en del av virksomhetens kjerneaktiviteter
Imidlertid utfører alle virksomheter visse støtteaktiviteter, for eksempel utbetaling av lønn til sine ansatte eller utføring av vanlig IT-støtte . Dette er eksempler på nødvendige støttefunksjoner for virksomhetens kjerneaktiviteter eller hovedvirksomhet. Selv om disse aktivitetene er nødvendige eller essensielle, anses de vanligvis som tilleggsfunksjoner, ikke kjerneaktiviteter.
- Stor skala
Eksempler på storskala behandling inkluderer blant annet:
- behandling av pasientopplysninger som en del av den daglige driften til et sykehus;
- behandling av kundedata i forbindelse med den daglige driften til et forsikringsselskap eller en bank;
- behandling av data om nåværende lokasjon for kunder i en internasjonal hurtigmatkjede til statistiske formål. Behandlingen gjennomføres av en underleverandør som spesialiserer seg på slike tjenester;
- behandling av personopplysninger for atferdsbasert markedsføring fra en søkemotor;
- telefon- og internettjenesteleverandørers behandling av opplysninger (innhold, flyt, lokasjon).
Eksempler på behandling som ikke vurderes som storskala:
- en allmennleges behandling av pasientopplysninger;
- en advokats behandling av personopplysninger knyttet til domfellelser og lovbrudd.
- Regelmessig og systematisk overvåking
Regelmessig og systemisk overvåking dekker blant annet målrettede e-poster; datadrevne markedsføringsaktiviteter; profilering og scoring med henblikk på risikovurdering (f.eks. kredittvurdering, etablering av forsikringspremier, svindelforebygging, påvisning av hvitvasking); lokasjonssporing (for eksempel via mobilapper); lojalitetsprogrammer; atferdsannonsering; overvåking av trenings- og helsedata via bærbare enheter; kameraovervåking; tilkoblede enheter (f.eks. smartmålere), smarte biler, hjemmeautomatisering, osv.
Dermed må en behandlingsansvarlig som har som kjerneaktivitet å tilby nettstedanalysetjenester og assistanse med målrettet annonsering og markedsføring, utnevne et personvernombud.
Du kan alltid utnevne et personvernombud selv om dette ikke er lovpålagt. Vær oppmerksom på at du i så fall må overholde alle bestemmelsene i GDPR som angår personvernombudets oppgaver og stilling. Derfor anbefales det å bare bruke tittelen personernombud om personer med en rolle som samsvarer med beskrivelsen i GDPR.
Hvem kan være personvernombud i min virksomhet?
Personvernombudet må være i stand til å utføre sine plikter og oppgaver på en selvstendig måte. Dette betyr at virksomheten din:
- ikke kan instruere personvernombudet om hvordan vedkommende skal utføre oppgavene sine,
- ikke kan straffe eller avskjedige personvernombudet for å utføre sine oppgaver.
Personvernombudets autonomi innebærer imidlertid ikke at det har beslutningsmyndighet som strekker seg utover sine oppgaver. Virksomheten forblir ansvarlig for overholdelse av personvernlovgivningen og må kunne påvise dette.
Personvernombudet bør være en sparringspartner i virksomheten og ta del i diskusjonene som omhandler behandlingsaktiviteter i virksomheten.
Personvernombudet skal rapportere direkte til den behandlingsansvarliges eller databehandlerens høyeste ledelsesnivå.
Personvernombud kan utføre andre oppgaver i virksomheten, men det kan ikke medføreinteressekonflikter. Dette innebærer at personvernombudet ikke kan ha en posisjon hvis personvernombudet bestemmer formål og midler for behandlingen av personopplysninger. Motstridende funksjoner omfatter hovedsakelig lederstillinger (daglig leder, driftsansvarlig, økonomiansvarlig, HR-ansvarlig, IT-ansvarlig, administrerende direktør), men kan også involvere andre funksjoner som innehar ansvar for fastsettelsen av formål og midler med behandlingsaktiviteter.
I henhold til GDPR er det mulig å inngå en kontrakt med en ekstern leverandør om levering personvernombudtjenester. En slik kontrakt kan inngås med en enkeltperson eller en virksomhet. I sistnevnte tilfelle er det viktig at det ikke oppstår en interessekonflikt for noen av medlemmene i virksomheten som fungerer som personvernombud og at virksomheten er beskyttet mot enhver usaklig oppsigelse av kontrakten. I tillegg må medlemmene i denne virksomheten være beskyttet mot usaklig avskjedigelse.
Virksomheten din skal bistå personvernombudet ved å gi tilgang til samtlige behandlingsaktiviteter, samt til alle personopplysninger som behandles i forbindelse med disse behandlingsaktivitetene. Det er avgjørende at personvernombudet er involvert så tidlig som mulig i alle spørsmål knyttet til personvern. Virksomheten skal stille de nødvendige ressursene til rådighet for personvernombudet slik at personvernombudet kan utføre sine oppgaver (tid, opplæring, utstyr og økonomiske midler).
I praksis
Når et personvern utfører sine oppgaver kan det ikke instrueres om hvordan bestemte saker skal håndteres. For eksempel skal ikke personvernombudet gis instruksjoner om hva resultatet av deres råd skal være, eller om hvordan de skal gå fram for å undersøke en klage fra en enkeltperson, eller om samråd med tilsynsmyndigheten er hensiktsmessig eller obligatorisk. Videre kan ikke personvernombudet instrueres til å ta et bestemt standpunkt i spørsmål knyttet til personvernlovgivningen, for eksempel en bestemt tolkning av loven.
Sjekkliste for å utnevne et personvernombud
- Sjekk om et personvernombuder nødvendig eller ikke: Sjekk om du trenger å utnevne et personvernombud og dokumentér årsakene til at du gjør det eller ikke gjør det hvis du er i tvil.
- Dersom et personvernombud er påkrevd må du:
- Velge mellom internt eller eksternt personvernombud: Hvis et personvernombud er påkrevd må duavgjøre om vedkommende skal være intern i virksomheten din eller om du skal inngå en kontrakt med en ekstern leverandør.
- Verifisere at personvernombudet innehar faglig kompetanse innen personvernlovgivning og -praksis, og evnen til å utføre oppgavene;
- Verifisere krav til uavhengighet: Sjekk om personvernombudet har andre oppgaver som kan kompromittere deres uavhengighet i utførelsen av sine oppgaver (interessekonflikter);
- Utvikle standardrutiner for involvering av personvernombudet innenfor virksomhetens styringssystem.
- Dersom det ikke er behov for et personvernombud:
- Tenk gjennom: Selv om du ikke utnevner et personvernombud i henhold til GDPR, må du fortsatt overholde en rekke krav til personvern. Vi anbefaler deg å utnevne et personvernombud på frivillig basis, eller en person som ikke har tittelen personvernombud men som, selv om de ikke fullt ut utøver oppgavene til et personvernombud, følger med på virksomhetens overholdelse av regelverket og fungerer som kontaktperson for personer som utøver sine rettigheter som registrerte personer.