Personvernombud er pålagt for større firma og kommuner i Norge. Økonomiadvokat kommenterer.

GDPR-Forordningen gir virksomheter nye plikter og regulerer rett til å omsette personlige opplysninger om deg. Personvernadvokat Roy Nordli har holdt GDPR kurs siden 2017, og forklarer her mer om GDPR-forordningen.

GDPR-forordningen pålegger alle kommuner å ha Personvernombud som skal være uavhengig av resten av organisasjonen.  Advokat Roy Nordli forklarer kravene.
Data Protection Officer, eller Personvernombud, er pålagt i alle kommuner og større virksomheter.

Virksomheten får økt ansvar etter nytt GDPR-regelverk


Det nye personvernregelverket/GDPR-regelverket legger vekt på ansvarlighet og internkontroll hos virksomheten fremfor forhåndskontroll hos Datatilsynet.


Kravene til avviksbehandling, varsling av berørte, og kontinuerlig arbeid med informasjonssikkerhet skjerpes i det nye regelverket.

Mange virksomheter pålegges et personvernombud - internt eller eksternt


I dag har vi en frivillig personvernombudsordning. Med den nye forordningen får mange virksomheter plikt til å opprette personvernombud. De som ikke må opprette ombud, kan selvsagt også velge å følge ordningen på frivillig basis.

Følgende virksomheter må utnevne personvernombud iht. GDPR:

  1. Offentlige virksomheter

  2. Virksomheter hvis kjerneaktivitet består i å regelmessig og systematisk overvåke personer i stort omfang

  3. Virksomheter som behandler sensitive opplysninger i stort omfang


Konserner eller offentlige myndigheter med underliggende etater kan ha ett felles ombud, forutsatt at ombudet er lett tilgjengelig for alle konsernets etableringer.

Etter forordningen vil det ikke lenger være nødvendig med Datatilsynes godkjennelse av personvernombudet. I stedet vil det opprettes en registreringsordning der virksomheter selv kan registrere sitt personvernombud.

Ombudet kan være ansatt i virksomheten eller en profesjonell tredjepart.

Personvernombudet skal velges ut fra faglig kvalitet, ekspertise innen personvernrett og evne til utføre oppgavene. Forordningen stiller altså krav til ombudets fagkunnskap.


Et personvernombud iht. GDPR-forordningen

  • Skal være uavhengig

  • Skal ikke motta instruksjoner om hvordan han eller hun skal utføre arbeidet sitt.

  • Kan ikke avskjediges eller straffes for å utføre sine oppgaver

  • Skal rapportere til øverste ledelsesnivå i virksomheten

  • Skal informere og gi råd til virksomheten og de ansatte

  • Bidra til etterlevelse av forordningen og virksomhetens personvernpolitikk

  • Gir råd om og delta i konsekvensanalyser

  • Fungere som kontaktpunkt mellom Datatilsynet og virksomheten

Ansvarsområdet til et personvernombud iht. GDPR-forordningen:

Personvernombudet kan enten være ansatt internt i virksomheten eller være en ekstern kvalitetsrevisor. Personvernombudet har som oppgave å:

  1. Føre oversikt over virksomhetens behandlinger av personopplysninger

  2. Passe på at ledelsen i virksomheten har etablert et system for internkontroll

  3. Bistå personer som er registrert hos virksomheten (kunder/leverandører)

  4. Besvare spørsmål om personvern internt i virksomheten

  5. Være rådgiver for den ansvarlige for behandlingen av personopplysningene

  6. Peke på brudd på personopplysningsloven overfor ledelsen

  7. Være en kontaktperson ved henvendelser fra Datatilsynet

  8. Holde seg orientert om utviklingen innen personvern

Ønsker du innleie av eksternt personvernombud?

Ved å velge en sertifiserte kvalitetsrevisor til å utføre jobben som personvernombud får du mer tid til din kjernevirksomhet. Du slipper også opplæring og kursing av eget personvernombud, og slipper å utarbeide egen dokumentasjon på etterlevelse av regelverket.

Personvernadvokat Roy Nordli har siden 2018 tilbudt Grunnkurs i GDPR og Personvern


Alle som behandler personopplysninger plikter å gjennomføre lovpålagt opplæring i personvern jf. GDPR artikkel 24, 25, 28, 32 og 39 (1) b.


Vårt grunnkurs i GDPR og personvern tilfredsstiller kravene til personvernopplæring, og avsluttes med GDPR-kompetanse test. Kursbevis ved gjennomført kurs.


Innhold i kurset:

• Hva er personvern?

• Formålet med GDPR-forordningen

• Alminnelige bestemmelser, formål, geografisk virkeområde og definisjoner

• Prinsipper for behandling av personopplysniger

• Hjemmel og vilkår for å behandle personopplysninger

• Vilkår for at mindreårige kan samtykke

• Behandling av sensitive personopplysninger

• Registrertes rett til informasjon

• Registrertes rett til korrigering og sletting

• Behandlingsansvarliges rolle og oppgaver

• Personvernombudets rolle og oppgaver

• Databehandlers rolle og oppgaver

• Krav til gjennomføring av risikovurderinger

• Krav til internkontroll og avviksbehandling

• Krav til GDPR internkontrollsystem

• GDPR og samsvar med NS-EN ISO 9001:2015 Ledelsessystemer for kvalitetolke og anvende reglene i GDPR

• GDPR-sjekkliste med beregning av virksomhetens GDPR-Score

• Hvordan tolke og anvende reglene i GDPR

• Ansvar for styre og daglig leder ved brudd på GDPR


Kursansvarlig: Økonomiadvokat & Diplomøkonom Roy Nordli

Roy Nordli har 20 års erfaring som advokat med bl.a. personvern og arbeidsrett som spesialfelt, og er i tillegg sertifisert Kvalitetsleder, Revisjonsleder og Risk Manager fra Norsk Sertifisering.


Les mer om GDPR-kurset her.

40 visninger