Personvernombud avtale Norge

Personvernombud avtale i Norge er det formelle dokumentet som utnevner personvernombudet (DPO) og fastlegger ombudets mandat etter personvernforordningen (GDPR) artiklene 37 til 39. Personvernforordningen (GDPR) gjelder i Norge gjennom EØS-avtalen og er gjennomført i norsk rett ved personopplysningsloven (2018) § 6. Personvernombudet er den personen i en virksomhet som har ansvar for å overvåke overholdelsen av personvernregelverket og fungere som kontaktpunkt for Datatilsynet og de registrerte.

Utnevnelse av personvernombud er obligatorisk for tre kategorier av virksomheter etter personvernforordningen (GDPR) artikkel 37 nr. 1: (a) offentlige myndigheter og organer, med unntak for domstoler som handler i sin rettslige kapasitet; (b) virksomheter som som ledd i sin kjernevirksomhet utfører behandlingsaktiviteter som etter sin art, omfang eller formål krever regelmessig og systematisk overvåkning av de registrerte i stor skala; og (c) virksomheter som som ledd i sin kjernevirksomhet behandler særlige kategorier av personopplysninger etter artikkel 9 eller personopplysninger om straffedommer og lovovertredelser etter artikkel 10 i stor skala. Datatilsynet har utgitt veiledning om tolkningen av disse kriteriene.

Personvernombudet kan være en internt ansatt person eller en ekstern konsulent eller tjenesteleverandør etter personvernforordningen (GDPR) artikkel 37 nr. 6. I begge tilfeller gjelder de samme kravene til faglig kvalifikasjoner, uavhengighet og ressurser. Ombudet skal ha faglig ekspertise på personvernlovgivning og -praksis etter artikkel 37 nr. 5, og særlig kunnskap om det spesifikke sektoren virksomheten opererer i.

Personvernombudets oppgaver er uttømmende regulert i personvernforordningen (GDPR) artikkel 39: å informere og gi råd om personvernforpliktelsene; å overvåke overholdelsen av forordningen og virksomhetens egne retningslinjer; å gi råd om personvernkonsekvensvurderinger (DPIA) etter artikkel 35; å samarbeide med Datatilsynet; og å fungere som kontaktpunkt for Datatilsynet. Personvernombudet er ikke personlig ansvarlig for virksomhetens overholdelse — det ansvaret hviler på den behandlingsansvarlige etter artikkel 24.

Personvernombudets uavhengighet er en hjørnestein i GDPR-systemet. Etter personvernforordningen (GDPR) artikkel 38 nr. 3 kan virksomheten ikke gi ombudet instrukser i utførelsen av dets oppgaver, og kan ikke avskjedige eller sanksjonere ombudet for utøvelsen av funksjonen. Ombudet rapporterer direkte til virksomhetens øverste ledernivå. Denne uavhengigheten er viktig for at ombudet kan utøve kritiske og kontrollerende funksjoner uten å være under press fra ledelsens interesser.

Virksomheten er etter personvernforordningen (GDPR) artikkel 37 nr. 7 forpliktet til å registrere personvernombudet hos Datatilsynet og offentliggjøre ombudets kontaktopplysninger. Datatilsynet kan og bør kontaktes direkte av personvernombudet. De registrerte — det vil si kundene, ansatte og andre hvis personopplysninger behandles — skal enkelt kunne ta kontakt med ombudet for å utøve sine rettigheter etter kapittel 3.

Forholdet mellom personvernombud avtalen og beslektede dokumenter er sentralt. Databehandleravtalen etter artikkel 28 regulerer forholdet mellom virksomheten og dens databehandlere, mens personvernombudsavtalen regulerer ombudets rolle innad i virksomheten. DPIA-malen etter artikkel 35 er et arbeidsverktøy ombudet bruker i sin rådgivende funksjon. forms-legal.com biblioteket tilbyr maler for disse tilgrensende dokumentene.

Personvernombud avtale i Norge er nødvendig i alle situasjoner der en virksomhet er rettslig forpliktet eller frivillig velger å utnevne et personvernombud etter personvernforordningen (GDPR) artikkel 37.

Offentlige myndigheter og organer. Alle offentlige myndigheter og organer i Norge er etter personvernforordningen (GDPR) artikkel 37 nr. 1 bokstav a forpliktet til å utnevne personvernombud, med unntak for domstoler som handler i sin rettslige kapasitet. Dette inkluderer statlige etater, fylkeskommuner, kommuner, helseforetak, universiteter og høyskoler, politi og påtalemyndighet, Nav og alle andre offentlige organer. Personvernombudsavtalen formaliser utnevnelsen og mandatet for disse virksomhetene.

Store behandlere av helsedata og sensitive opplysninger. Sykehus, legesentre, apotek, psykologkontorer, NAV-kontorer og andre virksomheter som behandler særlige kategorier av personopplysninger etter personvernforordningen (GDPR) artikkel 9 (helseopplysninger, genetiske data, biometriske data, opplysninger om seksuell orientering m.m.) i stor skala, er forpliktet til å utnevne personvernombud. Stor skala vurderes ut fra antall berørte personer, behandlingens omfang og varighet.

Virksomheter med systematisk overvåkning. Virksomheter som som ledd i sin kjernevirksomhet utfører regelmessig og systematisk overvåkning av de registrerte i stor skala, trenger personvernombud. Eksempler er telekommunikasjonsselskaper, forsikringsselskaper, banker og finansinstitusjoner, e-handelsbedrifter med adferdssporing, og virksomheter som driver kameraovervåkning i stor skala.

Frivillig utnevnelse. Virksomheter som ikke er rettslig forpliktet, men som ønsker å demonstrere god personvernpraksis og styrke de registrertes tillit, kan frivillig utnevne personvernombud etter personvernforordningen (GDPR) artikkel 37 nr. 4. Slike virksomheter er ikke underlagt alle forpliktelsene etter artiklene 38 og 39, men Datatilsynet anbefaler likevel at den frivillige utnevnelsen dokumenteres i en avtale.

Virksomheter i særlig regulerte sektorer. Finansforetak under Finanstilsynets tilsyn, forsikringsselskaper under forsikringsvirksomhetsloven (2005), og helseinstitusioner under helseregisterloven (2014) og helsepersonelloven (1999) har sektorspesifikke krav som supplerer GDPR-kravene. For disse virksomhetene er personvernombudet et sentralt element i etterlevelsesarbeidet.

Konsernselskaper og felles personvernombud. Et konsern eller en gruppe virksomheter kan utnevne ett felles personvernombud etter personvernforordningen (GDPR) artikkel 37 nr. 2, forutsatt at ombudet er lett tilgjengelig fra hvert etableringssted. Personvernombudsavtalen bør i slike tilfeller klarlegge for hvilke selskaper og behandlingsaktiviteter ombudet gjelder.

Når ombudet skiftes. Ved skifte av personvernombud bør det inngås ny personvernombudsavtale, og Datatilsynet må oppdateres om den nye ombudspersonen etter personvernforordningen (GDPR) artikkel 37 nr. 7. Det bør gjennomføres en overlapping og overlevering mellom avgående og ny ombudsperson.

En komplett Personvernombud avtale Norge inneholder følgende nøkkelelementer for å oppfylle kravene i personvernforordningen (GDPR) artiklene 37 til 39 og personopplysningsloven (2018).

Identifikasjon av partene. Avtalen skal identifisere virksomheten med navn, organisasjonsnummer og kontaktopplysninger, og personvernombudet med fullt navn, stilling og kontaktopplysninger (e-post og telefon). Kontaktopplysningene til personvernombudet er særlig viktige, da de skal gjøres tilgjengelig for Datatilsynet og de registrerte etter personvernforordningen (GDPR) artikkel 37 nr. 7.

Formelt utnevnelsesdokument. Avtalen skal inneholde en klar og formell utnevnelse av personvernombudet med angivelse av startdato og avtalens varighet. Dette dokumenterer at virksomheten har oppfylt utnevnelsesplikten etter personvernforordningen (GDPR) artikkel 37 og gir ombudet det formelle mandatet som er nødvendig for å utøve funksjonene.

Ombudets oppgaver etter GDPR artikkel 39. Avtalen skal angi ombudets oppgaver i samsvar med personvernforordningen (GDPR) artikkel 39: rådgivning, overvåkning av overholdelse, DPIA-råd, samarbeid med Datatilsynet og kontaktpunktfunksjon. Oppgavelisten bør tilpasses virksomhetens art og størrelse, men kan ikke innskrenke de lovpålagte oppgavene.

Uavhengighetsgarantier. Et sentralt element er garantiene for ombudets uavhengighet etter personvernforordningen (GDPR) artikkel 38 nr. 3: forbud mot instrukser om utførelse av oppgavene, forbud mot avskjedigelse og sanksjoner, og direkte rapporteringslinje til øverste ledernivå. Disse garantiene er ikke bare formelle — Datatilsynet vil undersøke om de etterleves i praksis.

Ressurser og fasiliteter. Virksomheten skal etter personvernforordningen (GDPR) artikkel 38 nr. 2 sikre at personvernombudet mottar de nødvendige ressursene for å utføre sine oppgaver. Avtalen bør spesifisere konkret hva dette innebærer: kontorplass, tilgang til systemer og dokumentasjon, tid til faglig oppdatering og deltakelse i relevante møter, og administrativ støtte.

Intern varsling og rapportering. Avtalen bør angi internett varslingsfrist ved potensielle personvernbrudd og krav til periodisk skriftlig rapportering til virksomhetens ledelse. Rapporteringsplikten er ikke uttrykkelig regulert i personvernforordningen (GDPR), men er god praksis og styrker virksomhetens etterlevelsesarbeid. Disse elementene understøttes av forms-legal.com bibliotekets DPIA- og avviksmeldingsmaler.

Interessekonflikter. Avtalen skal adressere potensielle interessekonflikter etter personvernforordningen (GDPR) artikkel 38 nr. 6. Ombudet kan ikke inneha oppgaver der det fastlegger formålene med og midlene for behandlingen, da dette ville skape en interessekonflikt med dets tilsynsrolle. Virksomheten er ansvarlig for å organisere ombudets funksjoner slik at slike konflikter ikke oppstår.

Lovvalg og tvisteløsning. Avtalen skal angi at norsk rett gjelder, og en tvisteløsningsmekanisme. For interne ombuder som er ansatt i virksomheten, vil arbeidsmiljølovens (2005) regler supplere avtalen. For eksterne ombuder er det viktig å regulere ansvar, erstatning og oppsigelse i avtalen.

Å fylle ut en Personvernombud avtale Norge korrekt krever at man følger trinnene nedenfor, slik at avtalen oppfyller kravene i personvernforordningen (GDPR) artiklene 37 til 39 og personopplysningsloven (2018).

Trinn 1 — Vurder om utnevnelse er obligatorisk. Vurder om virksomheten er forpliktet til å utnevne personvernombud etter personvernforordningen (GDPR) artikkel 37 nr. 1: er det en offentlig myndighet, behandler det særlige kategorier av opplysninger i stor skala, eller driver det regelmessig og systematisk overvåkning i stor skala? Datatilsynet har publisert veiledning om vurderingen på datatilsynet.no. Dokumenter vurderingen skriftlig uavhengig av konklusjon.

Trinn 2 — Identifiser riktig person. Velg en person med faglig ekspertise på personvernlovgivning og -praksis etter personvernforordningen (GDPR) artikkel 37 nr. 5. Det kreves ikke en bestemt utdannelse, men ombudet bør ha solid kunnskap om GDPR, personopplysningsloven (2018) og sektorspesifikke krav. For mange virksomheter er en jurist med personvernspesialisering, en IT-sikkerhetsleder med personvernkompetanse, eller en ekstern personvernkonsulent aktuelle kandidater.

Trinn 3 — Avklar om ombudet er intern eller ekstern. Interne ombuder er ansatt i virksomheten og har et ordinært arbeidsforhold, men utøver ombudsfunksjonen uavhengig. Eksterne ombuder er konsulenter eller tjenesteleverandører engasjert på tjenesteavtalebasis etter personvernforordningen (GDPR) artikkel 37 nr. 6. For eksterne ombuder bør det inngås en separat tjenesteavtale i tillegg til personvernombudsavtalen.

Trinn 4 — Angi kontaktopplysninger. Fyll inn ombudets e-postadresse og telefonnummer. Disse opplysningene skal gjøres offentlig tilgjengelig på virksomhetens nettsted og meldes til Datatilsynet etter personvernforordningen (GDPR) artikkel 37 nr. 7. Velg gjerne en funksjonell e-postadresse (for eksempel [email protected]) fremfor en personlig adresse, slik at ombudet enkelt kan skiftes uten å endre publiserte kontaktpunkter.

Trinn 5 — Angi ressurser. Beskriv konkret de ressursene virksomheten stiller til rådighet for ombudet etter personvernforordningen (GDPR) artikkel 38 nr. 2. Generelle formuleringer bør unngås; spesifiser tilgang til systemer, dokumentasjon, møter og kursbudsjettet. Dette er ikke bare en formalitet — Datatilsynet kan undersøke om ressursene faktisk er tilstrekkelige.

Trinn 6 — Fyll inn rapporteringslinjer og varslingsfrist. Angi eksplisitt hvem ombudet rapporterer til. Etter personvernforordningen (GDPR) artikkel 38 nr. 3 skal dette være «det øverste ledernivå» — i praksis administrerende direktør, styret eller tilsvarende. Angi den interne varslefristen ved potensielle brudd, for eksempel 24 timer etter at ombudet er gjort kjent med forholdet.

Trinn 7 — Registrer ombudet hos Datatilsynet. Etter undertegning av avtalen skal virksomheten registrere personvernombudet hos Datatilsynet via datatilsynet.no. Registreringen krever navn og kontaktopplysninger til ombudet. Datatilsynet publiserer ikke en offentlig liste over registrerte ombuder, men bruker registreringen som kontaktbase.

Trinn 8 — Gjennomgå avtalen regelmessig. Personvernombudsavtalen bør gjennomgås minst en gang i året og ved vesentlige endringer i virksomhetens behandlingsaktiviteter, organisasjon eller gjeldende regelverk. Ved skifte av ombudet skal ny avtale inngås og Datatilsynet oppdateres.

Personvernombud avtale Norge er underlagt et regelverk i personvernforordningen (GDPR), personopplysningsloven (2018) og tilgrensende lovgivning som fastlegger kravene til utnevnelse, mandat og uavhengighet.

Obligatorisk utnevnelse etter personvernforordningen (GDPR) artikkel 37. Etter personvernforordningen (GDPR) artikkel 37 nr. 1 er tre kategorier av virksomheter forpliktet til å utnevne personvernombud: offentlige myndigheter og organer; virksomheter som som ledd i sin kjernevirksomhet utfører behandlingsaktiviteter som krever regelmessig og systematisk overvåkning av de registrerte i stor skala; og virksomheter som behandler særlige kategorier av personopplysninger etter artikkel 9 eller straffedommer etter artikkel 10 i stor skala. Manglende utnevnelse der dette er påkrevd, er et brudd på personvernforordningen (GDPR) som Datatilsynet kan reagere mot med overtredelsesgebyr.

Personopplysningsloven (2018) § 6. Personopplysningsloven (2018) § 6 gjennomfører personvernforordningens (GDPR) bestemmelser om personvernombud i norsk rett. Loven tillegger Datatilsynet myndighet til å pålegge virksomheter å utnevne personvernombud der dette er nødvendig for å ivareta de registrertes interesser. Datatilsynet har utgitt veiledning om tolkning og gjennomføring av reglene.

Kravene til personvernombudets kvalifikasjoner og posisjon etter GDPR artiklene 37–38. Ombudet skal ha faglig ekspertise på personvernlovgivning og -praksis etter artikkel 37 nr. 5, og kunnskap om virksomhetens sektorspesifikke krav. Virksomheten skal involvere ombudet på hensiktsmessig måte og i tide i alle spørsmål om beskyttelse av personopplysninger etter artikkel 38 nr. 1. Ombudet skal nyte full uavhengighet etter artikkel 38 nr. 3, og kan ikke avskjediges eller sanksjoneres for utøvelsen av sine oppgaver.

Personvernombudets oppgaver etter GDPR artikkel 39. Oppgavene er uttømmende regulert i artikkel 39: informasjon og rådgivning, overvåkning av overholdelse, DPIA-råd, samarbeid med Datatilsynet og kontaktpunktfunksjon. Virksomheten kan utvide ombudets oppgaver, men kan ikke innskrenke de lovpålagte.

Registrering hos Datatilsynet etter GDPR artikkel 37 nr. 7. Virksomheten skal offentliggjøre personvernombudets kontaktopplysninger og meddele dem til Datatilsynet. Datatilsynet kan kontakte personvernombudet direkte i alle saker som gjelder behandlingen av personopplysninger, inkludert klagesaker og tilsynssaker. Ombudet er bundet av taushetsplikt etter artikkel 38 nr. 5 og kan ikke avsløre identiteten til den som rapporterte et mulig brudd.

Interessekonflikter etter GDPR artikkel 38 nr. 6. Personvernombudet kan inneha andre oppgaver og plikter, men virksomheten skal sikre at slike oppgaver og plikter ikke medfører interessekonflikter. En interessekonflikt oppstår typisk der ombudet er ansvarlig for å fastlegge formålene med og midlene for behandlingen — det vil si utøver behandlingsansvarliges rolle. Typiske stillinger som kan innebære interessekonflikt er daglig leder, IT-direktør og markedssjef.

Sanksjoner etter GDPR artiklene 83–84. For brudd på kravene til personvernombud i artiklene 37 til 39 kan Datatilsynet ilegge overtredelsesgebyr på inntil 10 millioner euro eller 2 prosent av total global årlig omsetning etter det høyeste beløpet, jf. artikkel 83 nr. 4. Datatilsynets vedtak kan påklages til Personvernnemnda etter personopplysningsloven (2018). I tillegg kan den registrerte kreve erstatning etter artikkel 82.

Vanlige feil ved utnevnelse og avtaleregulering av personvernombud i Norge kan undergrave ombudets effektivitet og medføre brudd på personvernforordningen (GDPR).

Feil 1 — Ingen formell avtale eller utnevnelsesbrev. Den vanligste feilen er å utnevne en person til personvernombud uten en formell avtale eller noe annet skriftlig dokument. Plikten til å offentliggjøre og meddele Datatilsynet ombudets kontaktopplysninger etter personvernforordningen (GDPR) artikkel 37 nr. 7 forutsetter at utnevnelsen er dokumentert. Løsning: inngå en formell personvernombudsavtale og registrer ombudet hos Datatilsynet.

Feil 2 — Utnevnelse av person med interessekonflikt. Å utnevne IT-direktøren, daglig leder eller markedssjefen til personvernombud er en typisk interessekonflikt etter personvernforordningen (GDPR) artikkel 38 nr. 6. Disse stillingene innebærer at personen fastlegger formålene med og midlene for behandlingen, noe som er uforenelig med ombudets uavhengige tilsynsrolle. Løsning: velg en person uten slike beslutningsroller, eventuelt et eksternt ombud.

Feil 3 — Manglende ressurser og støtte. Et papirombud som ikke har tid, tilgang til systemer eller støtte fra ledelsen, kan ikke utføre sine oppgaver. Datatilsynet undersøker ved tilsyn om ombudet faktisk har tilstrekkelige ressurser etter personvernforordningen (GDPR) artikkel 38 nr. 2. Løsning: angi konkret i avtalen hvilke ressurser og fasiliteter virksomheten forplikter seg til å stille til rådighet.

Feil 4 — Uklare rapporteringslinjer. Avtaler der ombudet rapporterer til mellomleder fremfor øverste ledernivå, oppfyller ikke kravet i personvernforordningen (GDPR) artikkel 38 nr. 3. Løsning: sørg for at ombudet rapporterer direkte til administrerende direktør, styreleder eller tilsvarende øverste ledernivå, og angi dette eksplisitt i avtalen.

Feil 5 — Ombudet gis instrukser om oppgaveutførelsen. En ledelse som gir ombudet instrukser om hva det skal prioritere, hvilke avvik det skal rapportere eller hvilke tiltak det skal anbefale, krenker ombudets uavhengighet etter personvernforordningen (GDPR) artikkel 38 nr. 3. Løsning: sørg for en klar kultur for ombudets uavhengighet, og dokumenter at ombudet handler uten instrukser i utførelsen av sine GDPR-oppgaver.

Feil 6 — Ombudet ikke registrert hos Datatilsynet. Å unnlate å registrere personvernombudet hos Datatilsynet og offentliggjøre kontaktopplysningene er et brudd på personvernforordningen (GDPR) artikkel 37 nr. 7. Datatilsynet bruker registreringen til å ta kontakt med ombudet i tilsynssaker. Løsning: registrer ombudet umiddelbart etter utnevnelse, og oppdater registreringen ved skifte av ombud.

Feil 7 — Manglende faglig oppdatering for ombudet. Personvernforordningen (GDPR) og rettspraksis fra Datatilsynet, Personvernnemnda og EU-domstolen (CJEU) er i kontinuerlig utvikling. Et ombud som ikke holder seg faglig oppdatert, kan gi feilaktige råd. Løsning: sett av budsjett og tid til kurs, konferanser og faglig oppdatering for personvernombudet, og angi dette som en forpliktelse i avtalen.