GDPR: Trenger kursvirksomheten din et personvernombud?
- Hva er et personvernombud?
- Hvorfor opprette eget personvernombud?
- Hva gjør et personvernombud?
- Hvem må ha personvernombud?
- Må din kursvirksomhet ha personvernombud?
- Ombudsveilederen
- Dokumentasjon av vurderinger er viktig
- Ikke pålagt personvernombud? Opprett et ombud likevel!
Hva er personvernombud?
Et personvernombud er en person som har som oppgave å bidra til at den behandlingsansvarlige følger personopplysningsloven med forskrift. Ombudet utpekes av den behandlingsansvarlige selv og er godkjent av Datatilsynet.
I den foreløpige oversettelsen av forordningen til de nye personvernreglene, blir begrepet «personvernrådgiver» brukt om det som i dagens regelverk blir kalt «personvernombud». Hvilket begrep som vil bli brukt når Stortinget vedtar den nye loven, er enda usikkert. Datatilsynet bruker begrepet «personvernombud» frem til noe annet er bestemt. Vi velger derfor å gjøre det samme.
Hvorfor opprette eget personvernombud?
Mange kursvirksomheter opplever GDPR som overveldende og føler at de har mye arbeid foran seg for å kunne overholde GDPR. Nettopp derfor er ordningen med personvernombud gunstig på en rekke områder. Det å opprette et personvernombud er:
- Ressursbesparende. Ombudet kjenner til virksomhetens behandling av persondata og fungerer som kontaktperson både internt i bedriften og for Datatilsynet.
- Omdømmebyggende. Ved å opprette et personvernombud, viser kursvirksomheten at dere tar personvern på alvor.
- Gir fritak fra meldeplikten. Å ha personvernombud gir fritak fra den lovpålagte meldeplikten til Datatilsynet.
- Fører til kompetanseheving og nettverksbygging. Personvernombudet får opplæring i aktuelle temaer og bygger nettverk med Datatilsynet og andre ombud gjennom kurs arrangert av Datatilsynet.
Hva gjør et personvernombud?
Et personvernombud kan enten være ansatt internt i kursvirksomheten eller være en ekstern ressursperson. Ombudet skal utpekes på grunnlag av faglige kvalifikasjoner, dybdekunnskap om personvernlovgivning og evne til å utføre oppgavene sine. Les mer om kravene til et personvernombud her.
Oppgavene til ombudet vil kunne variere avhengig av driften, men typiske oppgaver et ombud vil ha, er å:
- Besvare spørsmål om personvern internt i virksomheten og være kontaktperson for Datatilsynet dersom virksomheten får henvendelser fra dem.
- Påse at behandlingsansvarlig har et system for internkontroll som tilfredsstiller kravene i loven
- Påpeke brudd på personopplysningsloven overfor ledelsen
- Holde seg oppdatert på utviklingen innen personvern og rådgi den som er ansvarlig for behandling av personopplysninger i kursvirksomheten
- Føre oversikt over kursvirksomhetens behandlinger av persondata
Du kan lese mer om ombudets rolle og arbeidsoppgaver i Datatilsynets veileder her.
Hvem må ha personvernombud?
I følge artikkel 37 i forordningen, skal behandlingsansvarlige og databehandlere utpeke et personvernombud dersom:
- Databehandlingen utføres av et offentlig organ eller en offentlig myndighet.
- Den behandlingsansvarlige eller databehandlerens hovedvirksomhet består av behandlingsaktiviteter som på grunn av sin art, formål og/eller omfang krever regelmessig og systematisk monitorering i stor skala av de registrerte, eller
- Hovedvirksomheten til den behandlingsansvarlige eller databehandleren består av behandling i stor skala av særlige kategorier av opplysninger som er sensitive (artikkel 9) eller personopplysninger knyttet til straffedommer og straffbare forhold (Artikkel 10).
Med «hovedvirksomhet» i punktene nevnt ovenfor, menes det kjerneaktiviteter som er nødvendig for å oppnå virksomhetens mål. Dersom behandlingen av personopplysninger er uløselig forbundet med virksomhetens produkter eller tjenester, skal det ses på som en hovedvirksomhet.
Må din kursvirksomhet ha personvernombud?
Fordi de aller fleste kurstilbydere er nødt til å samle inn personinformasjon om sine deltakere for å kunne drive kursvirksomheten, vil det være naturlig å anse dette som en kjerneaktivitet. Dermed vil mange kursvirksomheter kunne være pålagt å ha personvernombud.
To eksempler der kursvirksomheten kan være pålagt å ha personvernombud:
- En kursvirksomhets hovedvirksomhet er å tilby sertifisert sikkerhetsopplæring som fører til kompetansebevis for deltakeren. Da er virksomheten nødt til å samle inn personopplysninger om deltakeren for å kunne levere tjenestene sine.
- En kursvirksomhet holder matkurs og trenger opplysninger om deltakeres matallergier. Informasjon om matallergier er informasjon om helseforhold, som tilhører kategorien sensitive personopplysninger.
Ombudsveilederen
Usikker på om kursvirksomheten din har plikt til å opprette personvernombud etter det nye regelverket? Vi har laget en forenklet trinn-for-trinn-veiledning som gjør det enklere for deg å finne svaret.
OBS: Dersom kursvirksomheten er en del av annen virksomhet, må vurderingen gjøres av hele virksomheten og ikke bare kursvirksomheten alene.
Dokumentasjon av vurderinger er viktig
Med mindre det er helt opplagt at kursvirksomheten ikke er pålagt å ha et personvernombud, anbefaler Datatilsynet alle virksomheter å dokumentere de vurderingene som blir gjort dersom det ikke opprettes et ombud. Dette er for at dere skal kunne vise at dere har gjennomført en reell vurdering der dere har vurdert alle relevante faktorer. Nye vurderinger bør gjøres dersom kursvirksomheten starter med nye behandlinger av personopplysninger.
Ikke pålagt å ha personvernombud? Opprett et ombud likevel!
Selv om ikke alle virksomheter er pålagt av loven å opprette et personvernombud, anbefaler Datatilsynet alle virksomheter å opprette et personvernombud. Årsaken til dette er at Datatilsynet har sett at det å ha en person med kunnskap om og fokus på personvern kan gjøre en stor forskjell på hvordan persondata behandles i en virksomhet. Dessuten har vi tidligere i dette blogginnlegget sett på hvordan ombudsordningen kan komme kursvirksomheten til gode på flere områder.
Dette blogginnlegget kan brukes som veiledning i din kursvirksomhets GDPR-arbeid, men er ikke å betrakte som juridiske rådgivning.