Regelverket stiller ingen spesifikke krav når det kommer til utdanningsbakgrunn eller sertifiseringer, men det stilles tydelige krav til kompetanse og egnethet. Ombudet skal velges på grunnlag av:

• Faglige kvalifikasjoner. Ombudets faglige kvalifikasjoner bør stå i forhold til hvor omfattende behandling av personopplysninger virksomheten har, og hvor sensitive og komplekse opplysningene er. Hvis en virksomhet behandler store mengder personopplysninger eller overfører data i stor skala til tredjeland er det ekstra viktig å utnevne et personvernombud med sterk faglig tyngde.
• Dybdekunnskap om personvernlovgivning og praksis på området. Personvernombudet forventes å ha oversikt over, og å gi råd om, rammene for etterlevelse av både forordningen og annet personvernrelevant regelverk med betydning for virksomheten. Behovet for dybdekunnskap om tilstøtende regelverk vil naturlig nok variere. I noen tilfeller vil det ikke være annet relevant regelverk, mens det i andre vil det være sektorspesifikk lovgivning som kan ha bestemmelser av betydning for personvernet. Det er også en fordel at ombudet har erfaring fra og kjennskap til sektoren. Ombudet bør også ha en god forståelse av behandlingsaktivitetene, IT-systemene, informasjonssikkerhet og personvernbehovene i virksomheten.
• Evne til å utføre oppgavene sine. Dette referer både til personlige egenskaper og kunnskap, men også til ombudets posisjon i virksomheten. Når det kommer til personlige egenskaper er det relevant å vurdere integritet og evne til å gjøre etiske vurderinger, samt evnen til å stimulere resten av virksomheten til å behandle personopplysninger i tråd med regelverket.

Hva slags utdanningsbakgrunn bør personvernombudet ha?

Regelverket setter ingen krav til hva slags type utdanningsbakgrunn et personvernombud skal ha. I dagens ordning ser vi at ombudene kommer fra mange ulike slags bakgrunner. Men det er kanskje en overvekt av jurister, IT-rådgivere, HR-personell, revisorer og personell som jobber med compliance, organisasjonsstruktur, sikkerhet og regelverketterlevelse.

Som nevnt over er det viktig at personvernombudet har en god forståelse av behandlingsaktivitetene, IT-systemene, informasjonssikkerhet og personvernbehovene i virksomheten. I tillegg er god forståelse av regelverket avgjørende. Et godt personvernombud trenger ikke nødvendigvis å være ekspert på alle disse feltene. Det viktige her er at det er en person som evner å tilknytte seg de personene og den kunnskapen hun eller han trenger i organisasjonen.

Hva slags kurs eller utdanning trenger et personvernombud?

Noen nye personvernombud vil ha med seg personvernrelevant erfaring fra tidligere, mens andre ombud vil være helt ferske og kanskje ikke ha noen erfaring med personvern. Virksomheten og ombudet må sammen se på hva slags kompetanseheving og kursing ombudet trenger for å kunne ivareta oppgavene sine på en god måte.

Vi anbefaler alle personvernombud å ta kurs eller utdanning som er relevant for sin oppgave. De aller fleste vil trenge det, eller i hvert fall ha stor glede av denne måten å tilegne seg kunnskap på. I dag er den mange som tilbyr kurs eller seminarer, med ulik profil og med ulik varighet. Kanskje finnes det også samlinger eller kurs som er spesifikk rettet mot en ønsket bransje, eller mot en bruk av personopplysninger som er særlig relevant for deres virksomhet?

Det viktige er at den enkelte finner en vei som passer dem samt utfordringen som virksomheten står overfor i sin bruk av personopplysninger. For noen er det naturlig å ta litt av gangen, eller å kombinere forskjellige kurs. For andre vil det beste være å finne en generell opplæring av en varighet som gjør det mulig å gå mer i dybden, typisk et større kurs som er ment for å gi et god fundament for personvernombud. For de som stiller på bar bakke kunnskapsmessig, anbefaler vi å ta kurs utover en dag eller to for å få kunnskapen og oversikten som trengs for å utføre ombudsoppgavene.

Datatilsynet tilbyr to dager med kurs for personvernombud i høst – disse er dessverre fullbooket, men vi vurderer å sette opp nye kurs våren 2018. Mer info kommer på Datatilsynets nettsiderdette er endelig bestemt. Våre kurs gir en innføring, men er ikke omfattende nok som fundament for et personvernombud med stort kunnskapsbehov.

Det er i tillegg en rekke personvernkurs på markedet som er relevante for personvernombudene.

Les mer

Vår samleside om personvernombudsordningen

Veiledere og annen informasjon om det nye personvernregelverket

Artikkel 37 i den nye forordningen som kommer fra EU sier at både behandlingsansvarlige og databehandlere skal utpeke et personvernombud dersom:

1. behandlingen utføres av en offentlig myndighet eller et offentlig organ, bortsett fra domstoler som handler innenfor rammen av sin domsmyndighet,
2. den behandlingsansvarliges eller databehandlerens hovedvirksomhet består av behandlingsaktiviteter som på grunn av sin art, sitt omfang og/eller formål krever regelmessig og systematisk monitorering i stor skala av registrerte, eller
3. den behandlingsansvarliges eller databehandlerens hovedvirksomhet består av behandling i stor skala av særlige kategorier av opplysninger i henhold til artikkel 9 (sensitive personopplysninger) eller personopplysninger knyttet til straffedommer og straffbare forhold som er nevnt i artikkel 10.

Med mindre det er helt opplagt at en virksomhet ikke er pålagt å ha ombud, anbefaler Datatilsynet at virksomheten dokumenterer de vurderingene som har blitt gjort dersom personvernombud ikke blir opprettet. Dokumentasjonen er nødvendig for å kunne vise at virksomheten har gjennomført en reell vurdering, der alle relevante faktorer har blitt tatt med. Vurderingene bør oppdateres ved behov, for eksempel hvis virksomheten starter nye behandlinger av personopplysninger som kan være omfattet av de tre punktene over.

Hva faller innenfor «offentlig myndighet og organ»?

Forordningen definerer ikke hva offentlig myndighet og organ betyr i vår sammenheng, og det er opp til hvert land å definere ut i fra sitt lovverk og kontekst. I høringsutkastet fra Justisdepartementet er det foreslått at de organene som omfattes av offentlighetsloven § 2 a skal være pålagt å ha ombud. Det vil i så fall innebære at staten, fylkeskommuner og kommuner har plikt til å opprette personvernombud. Hvordan offentlig sektor defineres vil bli endelig avklart når det nye regelverket vedtas i Stortinget.

Hvem innen privat sektor må ha ombud?

Virksomheter som har som hovedvirksomhet å gjøre følgende i stor skala, må opprette personvernombud:

• regelmessig og systematisk monitorering av personer, eller
• behandling av sensitive personopplysninger, eller
• behandling av opplysninger om straffbare forhold

Nedenfor forklarer vi nærmere hvordan de ulike begrepene kan tolkes.

Hovedvirksomhet «Hovedvirksomhet» er kjerneaktiviteter som er nødvendig for å oppnå virksomhetens mål. Hvis behandling av personopplysninger er uløselig forbundet med virksomhetens produkter eller tjenester, skal det ses på som en hovedvirksomhet.

To eksempler på dette:

• Et sykehus sin hovedvirksomhet er å gjøre folk friske, men sykehuset kan ikke gjøre det uten å behandle personopplysninger i stor skala. Sykehuset er derfor pålagt å ha personvernombud.
• Et sikkerhetsselskap utfører kameraovervåking på flere kjøpesentre. Å sørge for sikkerheten er hovedvirksomheten, men dette forutsetter behandling av personopplysninger. Sikkerhetsselskapet blir derfor pålagt å ha personvernombud.

Personaladministrasjon og vanlig IT-støtte er standard i alle virksomheter, og blir i denne sammenheng ikke sett på som hovedvirksomhet. Dermed utløses ikke pålegget om å ha personvernombud.

Stor skala Forordningen definerer ikke hva som ligger i begrepet «stor skala». Følgende faktorer bør imidlertid tas med i en vurdering av om en behandling er i stor skala, eller ikke:

• antallet personer det behandles opplysninger om
• mengden og omfanget av personopplysningene som blir behandlet
• varigheten av behandlingen
• det geografiske omfanget av behandlingen

Eksempler på aktører som foretar behandling av personopplysninger i stor skala er sykehus, offentlige transportsystemer i en by, banker, forsikringsselskaper, søkemotorer på internett og internett- og teletilbydere.

Eksempler på aktører som ikke vil falle inn under begrepet «stor skala» er fastleger eller advokater som kun behandler opplysninger for et begrenset antall pasienter eller kunder.

Regelmessig og systematisk Heller ikke når det gjelder «regelmessig og systematisk» gir forordningen en definisjon, men følgende punkter bør legges til grunn i en vurdering:

• Regelmessig:
  • Behandlingen av personopplysninger skjer løpende eller jevnlig i en bestemt periode
  • Behandlingen gjentas på bestemte tidspunkter
• Systematisk:
  • Behandlingen av personopplysninger skjer etter et system
  • Behandlingen er forhåndsbestemt, organisert eller metodisk
  • Behandlingen skjer som en del av en generell plan for datainnhenting
  • Behandlingen skjer som en del av en strategi

Monitorering «Monitorering» beskrives nærmere i fortalepunkt nummer 24 («fortale» er en innledende forklaring til de enkelte artiklene i lovteksten):

«For å fastslå om en behandlingsaktivitet kan anses som monitorering av de registrertes atferd bør det bringes på det rene om det skjer sporing av fysiske personer på internett, herunder en mulig påfølgende bruk av teknikker for behandling av personopplysninger som innebærer profilering av en fysisk person, særlig med det formål å treffe avgjørelser om vedkommende eller analysere eller forutsi vedkommendes personlige preferanser, atferd eller holdninger.»

Oppsummert omfatter «monitorering» i denne sammenhengen alle former for sporing og profilering på nettet, inkludert persontilpasset reklame.

Begrepet monitorering begrenses imidlertid ikke bare til aktiviteter på internett. Eksempler på aktiviteter som kan falle inn under begrepet monitorering er:

• drift av et telekommunikasjonsnettverk
• målrettet e-postreklame
• profilering og vurdering i forbindelse med kredittvurdering
• sporing av lokasjon i mobilapplikasjoner
• monitorering ved bruk av helsearmbånd
• kundeklubber eller lojalitetsprogrammer
• kameraovervåking
• bruk av internettilknyttede enheter, som for eksempel smarte biler, automatiske strømmålere, smarthus og lignende

Sensitive opplysninger og straffbare forhold «Særlige kategorier av opplysninger samt personopplysninger knyttet til straffedommer og straffbare forhold» refererer til definisjoner i artikkel 9 og 10:

• Sensitive opplysninger/særlige kategorier av personopplysninger (art. 9):
  • rasemessig eller etnisk opprinnelse
  • politisk oppfatning
  • religiøs eller filosofisk overbevisning
  • fagforeningsmedlemskap
  • behandling av genetiske opplysninger og biometriske opplysninger med det formål å entydig identifisere en fysisk person
  • helseopplysninger
  • opplysninger om en fysisk persons seksuelle forhold eller seksuelle legning
• Straffbare forhold (art. 10):

• personopplysninger i forbindelse med straffedommer og straffbare forhold eller tilknyttede sikkerhetstiltak

Kan virksomheten opprette personvernombud på frivillig basis?

Datatilsynet oppfordrer alle virksomheter som gjør en omfattende innsamling og bruk av personopplysninger, eller som behandler opplysninger som er særlig beskyttelsesverdige, om å opprette et personvernombud. Dette gjelder også de som ikke er pålagt å gjøre det. Vær da oppmerksom på at dersom dere oppretter ombud på frivillig initiativ, vil artiklene 37-39 i forordningen gjelde på lik linje som for lovpålagte ombud.

En virksomhet står selvfølgelig fritt til å ansette eller leie inn arbeidskraft for å ivareta personvernet uten at denne eller disse personene har rollen som personvernombud. I slike tilfeller er det viktig at det kommer tydelig fram, både innad og utad i virksomheten, at tittelen, oppgavene og rollen til disse ikke kan forveksles med et personvernombud.

Må også databehandlere opprette personvernombud?

Både den behandlingsansvarlige og databehandleren er pålagt å ha personvernombud hvis kriteriene i artikkel 37 er oppfylt. Avhengig av hvem som oppfyller kriteriene kan det være enten den behandlingsansvarlige eller databehandleren som er pålagt å ha personvernombud, men det kan også være begge.

Et eksempel:

En liten familiebedrift selger hvitevarer og kjøper tjenester av et webanalysebyrå for å tilby målrettet reklame på nettsiden sin. Familiebedriften sin behandling av personopplysninger er såpass begrenset at det ikke faller inn under begrepet «stor skala». Webanalysebyrået derimot har så mange forskjellige kunder at det til sammen tilsvarer behandling av personopplysninger i stor skala. I dette tilfellet skal webanalysebyrået utnevne personvernombud, mens familiebedriften ikke har den samme plikten.

Et personvernombud som er utnevnt av en databehandler har også ansvar for de øvrige behandlingene som virksomheten er behandlingsansvarlig for (for eksempel IT, personal/HR, logistikk og lignende).

Les mer om personvernombudsordningen

Les mer om personvernombud etter ny forordning

Les mer om den nye forordningen 

Bjørn Erik Thon gav ombudene en oversikt over de viktigste personverntemaene i året som har gått og i året som kommer. Informasjonssikkerhet, omsorgsteknologi, sosiale medier, Snowden, ny terrorlov, biometri og datalagringsdirektivet stod på agendaen.

Ombudene fikk også ferske tall fra personvernundersøkelsen som viser at interessen for personvern har økt, men at mange mener at personvernet må vike når det settes opp mot å avsløre trygdejuks og å avverge terror. Avdelingsdirektør Helge Veum fortalte om hvordan Datatilsynet går fram når vi kommer på tilsyn og hvilke sanksjonsmuligheter vi har når virksomheter ikke følger loven.

Ombudene hadde mulighet til å velge mellom en rekke parallellsesjoner som handlet om personvern i skolen, overvåking i arbeidslivet, personvernerklæringer, digitalisering i offentlig sektor og siste nytt om EUs regler for personvern. En av sesjonene samlet de ombudene som jobber med helse. Her kom ombudene selv med problemstillinger og saker som gruppen diskuterte med seniorrådgiver fra Datatilsynet Ragnhild Castberg.

Helt til slutt delte ombudene fra Telenor, Fredrikstad kommune og Statens vegvesen erfaringer og tips fra sitt arbeid med personvern. Viktigheten av ledelsesforankring og bevissthet og kunnskap blant alle ansatte i bedriften ble trukket fram som suksesskriterier for godt personvern i virksomheten.

Og hva gjør jeg i dag? Jo, jeg er på kurs sammen med 30 ombud. Dagens tema er informasjonsikkerhet og internkontroll – to grunnleggende temaer i arbeidet med godt personvern. Dette er vårens siste kurs, men til høsten kommer det ny runde med ombudskurs.

Hvis virksomheten du jobber i ønsker å få personvernombud, finner du søknadsskjema her.