Personvernombud – JA eller NEI?

Publisert: 20.07.2019

Et personvernombud gir råd om hvordan den behandlingsansvarlige best mulig kan ivareta personverninteressene. Noen virksomheter har plikt til å ha ombud, mens andre kan ha det dersom de ønsker.

Datatilsynet mener at det å ha en person med kunnskap om og fokus på personvern i en virksomhet kan utgjøre en stor forskjell. Tilsynet oppfordrer derfor alle virksomheter til å opprette personvernombud, uavhengig om de er pålagt å ha det eller ikke.

 

Hvem innen privat sektor må ha ombud?

Virksomheter som har som hovedvirksomhet å gjøre følgende i stor skala må opprette personvernombud:

Regelmessig og systematisk monitorering av personer. Det er sporing og profilering av personer og omfatter persontilpasset reklame på internett, målrettet e-postreklame og kundeklubber eller lojalitetsprogrammer

Et «vanlig» kunderegister som brukes til å sende ut varer og faktura vil ikke regnes som monitorering i denne konteksten.

Når virksomheten skal vurdere om kriteriene gjelder dem, er det viktig å se totalbildet; hvor sensitive opplysninger er det snakk om, hvor omfattende behandling av personopplysninger er det snakk om, og hva er personvernkonsekvensene for de registrerte?

Her går vi inn på, og forklarer nærmere noen av begrepene dere må forholde dere til.

Hovedvirksomhet

  • Hvis monitoreringen er av et visst omfang vil den sannsynligvis telle som en hovedvirksomhet.
  • Selskapets hovedvirksomhet er kjerneaktiviteter som er nødvendig for å oppnå virksomhetens mål eller er en sentral del av det virksomheten gjør. Hvis behandling av personopplysninger er uløselig forbundet med virksomhetens produkter eller tjenester skal det ses på som en hovedvirksomhet.
  • Personaladministrasjon og vanlig IT-støtte er standard i alle virksomheter og blir i denne sammenheng ikke sett på som hovedvirksomhet. Dermed utløses ikke pålegget om å ha personvernombud.

Stor skala

 Forordningen definerer ikke hva som ligger i begrepet stor skala. Følgende faktorer bør imidlertid tas med i en vurdering av om en behandling er i stor skala, eller ikke:

  • Antallet personer det behandles opplysninger om
  • Mengden og omfanget av personopplysningene som blir behandlet
  • Varigheten av behandlingen
  • Det geografiske omfanget av behandlingen

Regelmessig

  • Behandlingen av personopplysninger skjer løpende eller jevnlig i en bestemt periode
  • Behandlingen gjentas på bestemte tidspunkter

Systematisk

  • Behandlingen av personopplysninger skjer etter et system
  • Behandlingen er forhåndsbestemt, organisert eller metodisk
  • Behandlingen skjer som en del av en generell plan for datainnhenting
  • Behandlingen skjer som en del av en strategi

Monitorering

Hvis bedriftens kunderegister brukes til å sende kundene tilpasset reklame basert på kjøpshistorikk og klikk på nett, vil det kunne defineres som monitorering.

Her gjengir vi tre eksempler som er svært aktuelle for alle som driver aktiv kundepleie, slik vi gjør i direktesalgsbransjen.

  • Persontilpasset reklame på internett
  • Målrettet e-postreklame
  • Kundeklubber eller lojalitetsprogrammer

Et «vanlig» kunderegister som brukes til å sende ut varer og faktura vil ikke regnes som monitorering i denne konteksten.

Oppsummert blir vår anbefaling å gjøre denne vurderingen:

Med mindre det er helt opplagt at en virksomhet ikke er pålagt å ha ombud anbefaler vi at virksomheten dokumenterer de vurderingene som har blitt gjort dersom personvernombud ikke blir opprettet.

Dokumentasjonen er nødvendig for å kunne vise (bl.a. overfor Datatilsynet) at dere har gjennomført en reell vurdering, der alle relevante faktorer har blitt tatt med. Vurderingene må oppdateres når/om det skjer viktige endringer.

Kilde: datatilsynet.no

Merk:Innholdet i denne artikkelen kan ikke betraktes som juridisk rådgivning men innholdet kan du betrakte som god informasjon.