2018_02_09

GDPR: Plikter vår virksomhet å ha personvernombud?

De fleste i full gang med forberedelsene til GDPR, men det hersker fortsatt usikkerhet rundt noen ting. Krav om personvernombud er et av punktene Datatilsynet får mange henvendelser om. Spesielt blant bedrifter av mindre størrelse er det en del som lurer på om deres virksomhet er pliktet å ha et personvernombud når den nye loven trer i kraft. Har din virksomhet krav til å ha personvernombud? Her er reglene du må forholde deg til.

Dette er kravene til å ha personvernombud  

1) Alle offentlige virksomheter må ha personvernombud. 

2) Dersom virksomheten driver med en eller flere av disse aktivitetene må selskapet ha personvernombud:

  • Regelmessig eller systematisk overvåker og/eller sporer personer 
  • Behandler sensitive opplysninger, 
  • Behandler opplysninger om straffbare forhold 

3) Dersom behandlingen nevnt i punkt to er en del av hovedvirksomheten 

4) Dersom behandling/innsamling av personopplysninger er i stor skala.  

Dersom man har svart ja på punkt to til tre på et eller flere forhold, har virksomheten plikt til å opprette personvernombud innen mai 2018. For en mer inngående definisjon av de fire stegene henvises det til Datatilsynets veiledning.  

Disse kravene stilles til personvernombudet

Personvernombudet skal inneha faglig kvalitet, ekspertise innen personvernrett og ha evne til å utføre oppgaver knyttet til dette. Videre skal personvernombudet velges ut av en behandlingsansvarlig, men en trenger ikke å godkjennes av Datatilsynet for å inneha en slik posisjon. Det vil i den forbindelse opprettes en registreringsordning der virksomheter selv registrerer sitt personvernombud.  

Personvernombudet kan være ansatt i virksomheten eller være en profesjonell tredjepart, hvor hovedoppgaven er å bidra til at behandlingsansvarlig følger personvernforordningen. For mindre bedrifter kan det være aktuelt å gå sammen om å hente inn en konsulent som personvernombud. Man kan også gå sammen med andre bedrifter om et personvernombud, for eksempel gjennom en bransjeorganisasjon.

Hva er sensitive opplysninger?   

Sensitive personopplysninger er informasjon om etnisk bakgrunn, politisk/filosofisk/religiøs oppfatning, informasjon om at en person har vært mistenkt/siktet/tiltalt/dømt for en straffbar handling, helseforhold, seksuelle forhold og/eller informasjon om en persons medlemskap i fagforening.  

Til slutt: Behandlingsansvarlig – hva er det?  

Et viktig skifte i det nye regelverket er at ansvaret for at reglene blir overholdt nå hovedsakelig ligger hos bedriften, varslingsreglene bortfaller. Behandlingsansvarlig skal blant annet sørge for at sikkerheten er tilstrekkelig, at personopplysninger virksomheten besitter er sikret mot uautorisert eller ulovlig behandling, utilsiktede tap, ødeleggelse eller annen skade.  

 

Datasikkerhet er viktig, kriminelle blir stadig mer utspekulerte. Fakturasvindel på e-post er et økende problem, men du kan unngå det ved å gå over til elektroniske faktura. Les mer om fordelen av elektronisk faktura her.

 

Kilder: Datatilsynet, EU GDPR, Itpro