Krav til personvernombud: Hva kan vi lære av Telenor-saken? - Hjort
Hva leter du etter?

Hjem Aktuelt Krav til personvernombud: Hva kan vi lære av Telenor-saken?

Dato 20.03.2025

Krav til personvernombud: Hva kan vi lære av Telenor-saken?

EUs personvernforordning (GDPR) bestemmer at enkelte virksomheter plikter å ha personvernombud (DPO). Personvernombudet skal ha en uavhengig rolle. Nylig fattet Datatilsynet vedtak mot Telenor ASA for brudd på GDPR-reglene knyttet til personvernombudets rolle, og ila selskapet et overtredelsesgebyr på 4 millioner kroner.

Skrevet av

Fagområde

Datatilsynet fant etter et tilsyn at Telenor ASAs hadde organisert personvernombudsrollen på en måte som på flere områder ikke overholdt personvernregelverket. I tillegg fant Datatilsynet flere mangler med selskapets internkontrollsystem, blant annet ved selskapets behandlingsprotokoll og manglende interne retningslinjer.

Personvernombudsrollen

En kjerne i vedtaket er krav til personvernombudets uavhengighet. Personvernombudet hadde stilling som advokatfullmektig, og var organisatorisk plassert i Telenor ASAs juridiske avdeling. Personvernombudsrollen utgjorde kun en del av personens stilling. Datatilsynet framhever i vedtaket at et personvernombud ikke må ha arbeidsoppgaver som medfører interessekonflikt. Dette burde sikres både gjennom stillingsbeskrivelse og interne retningslinjer. Datatilsynet problematiserte også om personvernombudsrollen i det hele tatt er forenelig med en stilling som advokatfullmektig, men konkluderte ikke på dette punktet. Tilsynet drøftet i den forbindelse at en advokatfullmektig står i et avhengighetsforhold knyttet til sin prinsipal, men også i at en advokatfullmektig vil kunne ha et sterkt fokus mot å oppnå advokatbevilling, som kan gå på bekostning av vervet som personvernombud.

Datatilsynet kom også til at personvernombudet ikke var gitt tilstrekkelige ressurser til å gjennomføre sine oppgaver.

Et annet tema i vedtaket var at personvernombudet eide aksjer i Telenor ASA. Datatilsynet påpekte at rådene et personvernombud gir, hvis de følges, kan føre til betydelige endringer i et selskaps forretningsmodell, noe som kan påvirke aksjeverdien. Datatilsynet konkluderte ikke med at å eie aksjer i virksomheten nødvendigvis er uforenelig med rollen som personvernombud, men pekte på at Telenor burde kunne dokumentere at spørsmålet var vurdert.

Etter at tilsynet var gjennomført, anførte Telenor at de ikke var omfattet av plikten til å ha personvernombud, og at personvernombudet var en frivillig ordning. Datatilsynet konkluderte ikke med hensyn til om Telenor ASA plikter å ha personvernombud, men viste til at Telenor ASA for det første ikke hadde dokumentert vurderingen av om de pliktet å ha personvernombud eller ikke, og for det andre at de uansett var forpliktet til å følge reglene som gjelder for personvernombud når de opprettet en slik funksjon, også om dette var frivillig.

Praktiske tips

Vit om du plikter å ha personvernombud eller ikke, og dokumenter vurderingen.

  • Hvis du plikter å opprette personvernombud, eller velger å gjøre det som en frivillig ordning, må det utformes en tydelig stillingsbeskrivelse som sikrer klarhet om hvilke oppgaver som faller under vervet.
  • Personvernombud som også har andre oppgaver bør ha en særskilt e-postkasse som kun brukes til personvernombudsarbeidet.
  • Hvis personvernombudet er advokatfullmektig er det særlig viktig å dokumentere vurderingen av rollens uavhengighet.
  • Hvis personvernombudet har rollen kun i en del av stillingen sin bør den ansatte ikke arbeide med personvern i den resterende delen av stillingen, for å unngå interessekonflikter. Etter vår vurdering bør et personvernombud heller ikke ha en «rest-stilling» der hen fatter beslutninger som kan ha betydning for personvernarbeidet.
  • Personvernombudet må gis tilstrekkelige ressurser til å gjøre oppgavene sine på en forsvarlig måte.
  • Hvis aksjeeierskap er aktuelt: Dokumenter vurderingen av om personvernombudet kan eie aksjer i virksomheten.

Behandlingsprotokoll og internkontroll

Alle virksomheter plikter å ha en protokoll med oversikt over behandling av personopplysninger, som skal være oppdatert og tilgjengelig for Datatilsynet.

Datatilsynet gjennomgikk som del av tilsynet Telenor ASAs behandlingsprotokoll, og fant denne var uoversiktlig og ufullstendig, noe som blant annet førte til uklarheter rundt Telenor ASAs ansvar for enkelte behandlingsaktiviteter, kategorier av personopplysninger og antall registrerte. Disse manglene ble vektlagt i vurderingen av om det skulle gis overtredelsesgebyr, fordi det ved tilsynets avslutning fremdeles var uklarheter knyttet til omfanget av selskapets behandling av personopplysninger, og for hvilken behandling selskapet var behandlingsansvarlig.

Dette underbygger viktigheten av å sikre at virksomheten har en til enhver tid oppdatert behandlingsprotokoll.

Telenor-saken viser at GDPR ikke er et område hvor virksomheter kan ta lett på etterlevelse. Regelverket håndheves aktivt, og manglende dokumentasjon eller uklar organisering kan koste dyrt. Har din virksomhet vurdert om den trenger et personvernombud? Har dere på plass nødvendige rutiner og dokumentasjon for å demonstrere etterlevelse?

For mer informasjon om hvordan din virksomhet kan sikre dokumentert etterlevelse av personvernregelverket, anbefaler vi webinaret GDPR i praksis: Veien til dokumentert etterlevelse. Her deler senioradvokatene Sunniva Jacobsen Øyen og Petter Enholm fra Hjort sine erfaringer og gir praktiske råd om organisering og dokumentasjon av personvernarbeidet.

Kontakt oss for en gjennomgang av din virksomhets GDPR-etterlevelse og råd om hvordan du kan unngå sanksjoner.
Petter Enholm

Senioradvokat

peenh@hjort.no

+47 90 83 99 19

Sunniva Jacobsen Øyen

Senioradvokat

suoye@hjort.no

+47 99 15 09 64

Relaterte artikler