Personvernforordningen - flere må ha personvernombud

EUs personvernforordning trer i kraft i mai 2018, og dette innebærer blant annet at flere virksomheter får krav om å ha personvernombud. For mange er dette helt nytt og ukjent.

Publisert:
Kai-Runar Bang personvernombud Sticos.jpg
Artikkelen er skrevet av jurist Kai Runar Bang, personvernombud i Sticos.

Denne artikkelen trykkes også i juniutgaven av tidsskriftet Revisor informerer.

Et personvernombud er etter dagens regler en frivillig ordning administrert av Datatilsynet. Tilsynet omtaler personvernombudet som en «ressursperson som styrker virksomhetens kunnskap og kompetanse om personvern». Ombudet pekes ut av virksomheten selv og godkjennes av Datatilsynet.

Hvem må ha ombud?

Den største endringen i reglene om personvernombud er at det ikke lenger vil være en rent frivillig ordning. De som ikke har plikt til å ha ombud, kan likevel velge å ha det, og for mange virksomheter vil det være en positiv ressurs å ha med på laget for å forsikre seg om at man overholder regelverket.

De nye reglene bestemmer at følgende virksomheter må utnevne et personvernombud:

  • Offentlige virksomheter, bortsett fra domstoler
  • Virksomheter som har en kjerneaktivitet som består i regelmessig og systematisk overvåking av personer i stort omfang
  • Virksomheter som behandler sensitive personopplysninger i stort omfang
Illustrasjon personvernlovgivning.jpg
Personvernombudet skal styrke virksomhetens kunnskap og kompetanse om personvern.

Offentlige virksomheter

Forordningen beskriver ikke hva som skal anses å være «offentlig virksomhet». Dette vil i stor grad måtte defineres av norske myndigheter selv. Det vil være uproblematisk for de klart offentlige virksomhetene, som f.eks. kommuner, men på privatiserte eller delprivatiserte områder vil det kunne bli en vanskeligere vurdering. EUs arbeidsgruppe som jobber med tolkning av reglene, den såkalte Artikkel 29-gruppen, anbefaler som god praksis at alle virksomheter som behandler data for en gruppe som, på lik linje som hos offentlig myndighet, har lite eller intet valg om hvordan personopplysningene behandles, bør ha personvernombud.

Virksomheter der kjerneaktiviteten er å overvåke i stort omfang

Med «kjerneaktivitet» menes at overvåkningen er uløselig knyttet til aktiviteten i selskapet. Dette vil være særlig relevant for regnskapsbransjen. Regnskapsførere har svært ofte som oppdrag å ha ansvar for den praktiske behandlingen av lønn for en stor mengde personer, og kan ikke levere en tjeneste uten å behandle disse opplysningene. Dette vil dermed anses for å være uløselig knyttet til aktiviteten, og er da en kjerneaktivitet.

Arbeidet utføres også regelmessig og systematisk, men det er mer tvilsomt om regnskapsfører faller inn under begrepet «overvåkning». Regnskapsfører har gjerne oversikt over opplysninger som timelister, tidspunkt og omfang av fravær, tidspunkt og omfang av ferier og avspasering, og lignende. Disse opplysningene blir også jevnlig behandlet over lang tid, noe som kan tale for at det er å anse som overvåkning. Like fullt så er nok dette i beste tilfelle i yttergrensen av hva som kan kalles overvåkning.

De samme vurderingene må gjøres for andre bransjer. Et helseforetak vil ha som hovedaktivitet å tilby helsetjenester. Dette lar seg ikke gjøre uten å kartlegge store mengder helseopplysninger og følge utviklingen hos pasienter. Behandlingen blir dermed en kjerneaktivitet. Det samme gjelder f.eks. et sikkerhetsselskap som har kameraovervåkning på et kjøpesenter. Oppgaven er sikkerhet, men overvåkningen er knyttet til å sikre kjøpesenteret. 

EUs arbeidsgruppe opplyser at det gjelder et unntak for behandlinger som alle gjør i forbindelse med f.eks. lønn og alminnelige IT-verktøy. Dette kan da tale for at slik behandling ellers ville vært ansett for «overvåkning» etter forordningens betydning, og da at en regnskapsfører som gjør dette for flere virksomheter, vil falle inn under bestemmelsen.

Uansett har dette sannsynligvis begrenset praktisk betydning, da regnskapsførere gjerne behandler sensitive opplysninger som omtalt nedenfor.

Behandling av sensitive opplysninger i stort omfang

Sensitive personopplysninger er opplysninger om rase, etnisitet, politisk tilknytning, filosofisk eller religiøs oppfatning, helseforhold, seksuelle forhold og medlemskap i fagforeninger. Også opplysninger om kriminelle forhold er inkludert i vurderingen av om man må ha ombud, selv om dette ikke anses for å være sensitivt i den nye forordningen. Bestemmelsen vil gjerne gjelde for bedriftshelsetjenester, forsikringsselskap, og lignende virksomheter, men her vil det også for regnskapsførere raskt komme til at man faller innenfor reglene. Regnskapsførere behandler i stor grad informasjon om sykefravær og sykepenger, og utfører fagforeningstrekk, noe som fører til krav om ombud.

«Stort omfang»

Hva som anses som «stort omfang» er vanskelig å tallfeste. Direktivet sier ikke noe om det, så her må det utarbeides en praksis over tid. Man må vurdere hvor mange individer som behandles, hvor mye informasjon man har, og hvor ofte man behandler opplysningene. EUs arbeidsgruppe antyder at en enkeltstående advokat som kun behandler opplysninger om egne klienter, faller utenfor betegnelsen «stort omfang». Dette vil også kunne være sammenlignbart med revisor. Man kan tenke seg at det er naturlig å utlede at en enkeltstående regnskapsfører med begrenset oppdragsmengde også vil falle utenfor kravet om personvernombud på grunn av at omfanget ikke er stort. Men, dette er ikke selvsagt. Også en enkeltstående regnskapsfører eller revisor kan være i regelmessig befatning med store mengder ansattopplysninger, så her må man vurdere egen situasjon helt konkret. Inntil videre er det dessverre noe uklart hvor grensene går.

Regnskapsførers krav til ombud

Samlet sett fremstår de nye reglene slik at regnskapsfører som hovedregel vil ha krav om personvernombud. Det er tenkelig at man gjennom en konkret skjønnsmessig vurdering av egne forhold kommer til en konklusjon om at man ikke har behov. Dette kan være aktuelt for eksempel for en enkeltstående regnskapsfører med begrenset behandling av ansattopplysninger. Dersom man kommer til dette, er det viktig at man kan vise til at man har tatt en grundig vurdering før man har konkludert, og det er nok også en god idé å ta en samtale med en rådgiver på området eller kontakte Datatilsynet for å drøfte konklusjonen.

Forordningen åpner for at man har eksterne personvernombud. For mindre selskaper vil dette være en god løsning. For de større virksomhetene er det å anbefale å ha et eget ombud. Dette gir nødvendig kompetanse i selskapet, er ressurssparende da et internt ombud kjenner aktiviteten i virksomheten godt, og man kan lettere få raske avklaringer på personvernspørsmål. For kunder vil det også fremstå som betryggende at man har en intern ressurs.