Når må du ansatte Personvernombud etter GDPR/personvern loven? Økonomiadvokat kommenterer.

Alle virksomheter og offentlig forvaltning er underlagt kravene i personvernloven og GDPR-forordningen, som bl.a. stiller krav til et Personvernombud, eller Personvernrådgiver som er den rikige oversettelsen av Data Protection Officer. Advokat Roy Nordli har siden 2017 vært kursholder i personvern/GDPR, og kommenterer her kravene til Personvernombud.


Datatilsynet skriver følgende om dette temaet på deres hjemmesider:

Datatilsynet oppfordrer alle virksoheter til  ha en Data Protection Officer, uavhengig av om det er pålagt. Advokat Roy Nordli kommenterer.
Personvernombud er oversettelse av Data Protection Officer.

Styrkingen av personvernombudets rolle er godt nytt for personvernet.

Erfaringsmessig har Datatilsynet sett at det å ha en person med kunnskap om og fokus på personvern i en virksomhet kan gjøre en stor forskjell.

Datatilsynet oppfordrer derfor alle virksomheter til å opprette personvernombud, uavhengig om de er pålagt å ha det eller ikke.

Artikkel 37 i forordningen sier at både behandlingsansvarlige og databehandlere skal utpeke et personvernombud dersom:

  1. behandlingen utføres av en offentlig myndighet eller et offentlig organ, bortsett fra domstoler som handler innenfor rammen av sin domsmyndighet

  2. den behandlingsansvarliges eller databehandlerens hovedvirksomhet består av behandlingsaktiviteter som på grunn av sin art, sitt omfang og/eller formål krever regelmessig og systematisk monitorering i stor skala av registrerte, eller

  3. den behandlingsansvarliges eller databehandlerens hovedvirksomhet består av behandling i stor skala av særlige kategorier av opplysninger i henhold til artikkel 9 (sensitive personopplysninger) eller personopplysninger knyttet til straffedommer og straffbare forhold som er nevnt i artikkel 10.


Dersom du er usikker på om din virksomhet er pålagt å ha å ha et Personvernombud, anbefaler vi at du tar vår Online sjekkliste (se link under). Når du har fylt ut sjekklisten vil du få en anbefaling av oss mht. plikt til Personvernombud og GDPR-system.

Hvem bør ha et GDPR-system?

Brudd på GDPR blir sanksjonert med bøter på inntil 400 millioner kroner, og blir endelig fastsatt av EUs nye GDPR vaktbikkje.

Bøter kan ikke vurderes av politisk ledelse i Norge, og kan heller ikke nedsettes av norske domstoler.


Bøtenivået skal derved harmoniseres med alle land i EU, som Norge har forpliktet seg til å følge gjennom EØS-avtalen, og som nå blir ny norsk lov. Forkortet til GDPR.

Dersom en virksomhet eller kommune behandler personopplysninger av et visst omfang og kompleksitet, vil det være nødvendig med et GDPR-system iht. ISO 9001:2015 Ledelsessystem for kvalitet, og for noe mindre virksomheter et internkontrollsystem som minimum etterlever kravene i til HMS og internkontrollforskriften.

Et GDPR-system bør kunne ivareta følgende funksjoner:

  • Dokumentasjon av rutiner som ivaretar kravene i GDPR

  • Automatisert system for kommunikasjon med registrerte

  • System for anonyme tilbakemeldinger

  • System for elektonisk bekreftelse av informasjon

  • Være prosessorientert

  • Avvikshåndtering

  • Risikovurdering

  • Sjekklister

  • Årshjul med automatisk oppfølging av lovpålagte aktiviteter

Gjennom samarbeid med landsdekkende IT-firmaer kan vi levere GDPR-internkontrollsystemer tilpasset små virksomheter, små og mellomstore virksomheter, samt alle kommuner og andre offentlige myndigheter.

Basert på vår unike GDPR-sjekkliste, kan du allerede i dag få avklart om du er pålagt å ha et Personvernombud eller ikke, og evt. om du bør ha et GDPR-internkontrollsystem.


GDPR-forordningen kan du lese her.


Advokat Roy Nordli forklarer at bøter for brudd på GDPR ilagt av Datatilsynet kan være på titalls millioner kroner. Du kan lese mer om størrelsen på ilagte gebyrer her.


Personvernadvokat Roy Nordli har siden 2018 tilbudt Grunnkurs i GDPR og Personvern


Alle som behandler personopplysninger plikter å gjennomføre lovpålagt opplæring i personvern jf. GDPR artikkel 24, 25, 28, 32 og 39 (1) b.


Vårt grunnkurs i GDPR og personvern tilfredsstiller kravene til personvernopplæring, og avsluttes med GDPR-kompetanse test. Kursbevis ved gjennomført kurs.


Innhold i kurset:

• Hva er personvern?

• Formålet med GDPR-forordningen

• Alminnelige bestemmelser, formål, geografisk virkeområde og definisjoner

• Prinsipper for behandling av personopplysniger

• Hjemmel og vilkår for å behandle personopplysninger

• Vilkår for at mindreårige kan samtykke

• Behandling av sensitive personopplysninger

• Registrertes rett til informasjon

• Registrertes rett til korrigering og sletting

• Behandlingsansvarliges rolle og oppgaver

• Personvernombudets rolle og oppgaver

• Databehandlers rolle og oppgaver

• Krav til gjennomføring av risikovurderinger

• Krav til internkontroll og avviksbehandling

• Krav til GDPR internkontrollsystem

• GDPR og samsvar med NS-EN ISO 9001:2015 Ledelsessystemer for kvalitetolke og anvende reglene i GDPR

• GDPR-sjekkliste med beregning av virksomhetens GDPR-Score

• Hvordan tolke og anvende reglene i GDPR

• Ansvar for styre og daglig leder ved brudd på GDPR


Kursansvarlig: Økonomiadvokat & Diplomøkonom Roy Nordli

Roy Nordli har 20 års erfaring som advokat med bl.a. personvern og arbeidsrett som spesialfelt, og er i tillegg sertifisert Kvalitetsleder, Revisjonsleder og Risk Manager fra Norsk Sertifisering.


Les mer om GDPR-kurset her.


Beregn din GDPR-score her.

Les mer om advokat GDPR/personvern her.

104 visninger