I vårt digitale samfunn besitter virksomhetene stadig større mengder personopplysninger både om sine kunder og egne ansatte.

Tekst: Øystein Werner, Head of Partner Relations i ICONFIRM

Det kan dreie seg om virksomhetens arkivering av fotografier fra de årlige julebordene, eller om strømselskapet som har et stort kunderegister.   Når EUs personvernforordning erstatter dagens regelverk i mai 2018 står virksomheter som ikke kan demonstrere ivaretagelse av det nye regelverket med en betydelig omdømmemessig og finansiell risiko.

Det siste året har vi hyppigere kunnet lese stillingsutlysninger og avisartikler som dreier seg om personvernombudet. Personvernombudet skal fungere som en ressursperson i virksomheten når det kommer til personvern og på uavhengig måte vurdere regeletterlevelsen i behandling av personopplysninger. Persondata innebærer opplysninger og informasjon som kan knyttes til en enkeltperson. Per i dag er ordningen frivillig, men mange bedrifter vil bli pålagt å engasjere et personvernombud når GDPR trer i kraft i 2018.

Trenger virksomheten et personvernombud?

I sin veileder oppfordrer Datatilsynet alle virksomheter til å opprette personvernombud, uavhengig om de er pålagt å ha det eller ikke. En virksomhet kan også ansette eller engasjere arbeidskraft for å håndtere den praktiske behandlingen av personvernet, uten at dette må forveksles med personvernombudet og dets rolle.

Her kan du skrive ut Datatilsynets veileder for personvernombud etter nytt regelverk.

Personvernombudets ansvar

I følge Deloitte har personvernombudet et uavhengig kontrollansvar for at virksomheten følger reglene. Samtidig er det viktig å være klar over at behandlingsansvarlig (virksomheten ved øverste leder), som alltid vil ha det overordnede ansvaret for hvordan personopplysningene bedriften håndterer blir behandlet.

Noen virksomheter velger å ansette en person med juridisk spisskompetanse, mens det i andre virksomheter er viktigere og riktigere å velge en person som kjenner bedriftens daglig virksomhet bedre. For noen organisasjoner kan det være aktuelt å engasjere et personvernombud som verken er eller blir ansatt i virksomheten. Da er det viktig at virksomheten både internt og eksternt kommuniserer tydelig rundt dette slik at det ikke oppstår forvirring eller forveksling av titler, roller og tilhørende oppgaver. Hovedoppgaven til personvernombudet er å gi råd om hvordan behandlingsansvarlig best mulig kan ivareta personverninteressene.

Hvem kan bli personvernombud?

I følge Datatilsynets veileder skal personvernombudet utpekes på grunnlag av faglige kvalifikasjoner, dybdekunnskap og praksis på området personvernlovgivning, og vedkommendes integritet og evne til å utføre oppgavene. Personvernombudet vil ha et uavhengig ansvar for å følge opp at virksomheten behandler personvernsopplysninger i henhold til det nye regelverket. Stillingen er i mange tilfeller ny og for den som tiltrer i rollen er det først og fremst viktig å få oversikt over hvilke personopplysninger virksomheten håndterer, og hvordan de håndteres per dags dato.

Dette er noen av virksomhetens plikter, beskrevet av datatilsynet:

  • INFORMERE om hvilke personopplysninger som blir samlet inn og hvorfor.
  • HOLDE OVERSIKT over opplysningene som behandles.
  • GI INNSYN til den opplysningene gjelder.
  • KONTROLLERE TILGANGEN til opplysningene.
  • BE OM SAMTYKKE fra dem opplysningene gjelder før opplysningene blir behandlet.
  • BESKYTTE INFORMASJONEN slik at den ikke kommer på avveier.
  • VURDERE RISIKO for sikkerhetsbrudd og konsekvenser.
  • SLETTE personopplysninger det ikke lenger er behov for.

Charlotte Elise Thuen og Bjørn Ofstad fra Deloitte har tidligere blogget for Iconfirm om hvordan samtykkehåndtering bidrar til godt personvern. De presiserer at det nye regelverket er forbrukerorientert i den forstand at det vektlegger enkeltindividets eierskap til sine egne personopplysninger. Derfor er det viktig å be om samtykke allerede ved datafangst, det øyeblikket personopplysningene innhentes og som blir avgjørende for ivaretagelse av personvernet.

Ved hjelp av verktøyet Iconfirm kan virksomheten innhente, dokumentere og administrere personopplysninger på en effektiv måte. Å ta i bruk Iconfirm i virksomheten vil kunne være til uvurderlig hjelp også for den som er engasjert som personvernombud.

Les mer om hvordan Iconfirm kan hjelpe din virksomhet.