17 Personvernombud
17.1 Gjeldende rett
Personvernombudsordningen i dagens personopplysningsregelverk er basert på frivillighet for den behandlingsansvarlige og er åpen for behandlingsansvarlige i både privat og offentlig sektor. Det eksisterer i dag ingen plikt i norsk rett til å ha personvernombud.
Behandlingsansvarlige som oppnevner personvernombud, får etter gjeldende rett enkelte administrative fordeler. For det første medfører oppnevning av personvernombud at det kan gjøres unntak fra den behandlingsansvarliges meldeplikt til Datatilsynet, jf. personopplysningsforskriften § 7-12. For det andre er behandling av personopplysninger i forbindelse med et forskningsprosjekt på nærmere vilkår unntatt fra konsesjonsplikt dersom prosjektet er tilrådd av personvernombud, jf. personopplysningsforskriften § 7-27.
Personvernombudets oppgaver fremgår av personopplysningsforskriften § 7-12. Det følger av § 7-12 at personvernombudet skal sikre at den behandlingsansvarlige følger personopplysningsloven med forskrift, og det er særskilt bestemt at personvernombudet skal føre en oversikt over opplysningene som nevnt i personopplysningsloven § 32. Det følger videre av forskriften § 7-12 at personvernombudet skal være uavhengig, men bestemmelsen konkretiserer ikke nærmere hva som ligger i kravet til uavhengighet.
Personvernregelverket inneholder ikke egne regler om taushetsplikt for personvernombudet, men ellers gjeldende regler om taushetsplikt vil kunne komme til anvendelse. For eksempel vil et personvernombud for et offentlig organ være underlagt forvaltningslovens taushetspliktsbestemmelser, mens et ombud i privat sektor vil kunne være underlagt lovbestemt taushetsplikt i kraft av sektorlovgivningen for det aktuelle rettsområdet. I tillegg vil avtalebestemt taushetsplikt kunne være aktuelt.
Ordningen med personvernombud er formalisert gjennom regulering i politiregisterloven, jf. § 63. Personvernombud er der benevnt personvernrådgiver. Ordningen med personvernrådgiver videreføres med enkelte endringer i direktiv (EU) 2016/680 som gjennomføres i politiregisterloven med tilhørende forskrifter.
17.2 Forordningen
Forordningens regler om personvernombud innebærer en betydelig utvidelse av ordningen sammenlignet med gjeldende norsk rett. Behandlingsansvarlige og databehandlere får på nærmere vilkår en plikt til å utpeke personvernombud. Videre oppstiller forordningen detaljerte regler om personvernombudets oppgaver og uavhengige posisjon.
Artikkel 37 nr. 1 pålegger den behandlingsansvarlige og databehandleren en plikt til å utpeke personvernombud når vilkårene i bokstav a til c er oppfylt, det vil si når behandlingen utføres av en offentlig myndighet eller et offentlig organ, jf. bokstav a, når kjernevirksomheten består av behandlingsaktiviteter som på grunn av sin art, omfang eller formål krever regelmessig eller systematisk monitorering av registrerte i stor skala, jf. bokstav b, og i tilfeller der den behandlingsansvarliges kjernevirksomhet består i behandling i stor skala av særlige kategorier av personopplysninger eller opplysninger om straffedommer og lovovertredelser, jf. bokstav c.
Det følger av artikkel 37 nr. 4 at det i nasjonal rett kan fastsettes en plikt til å utpeke personvernombud også i andre tilfeller enn de som følger av artikkel 37 nr. 1. Videre følger det av artikkel 37 nr. 4 at behandlingsansvarlige og databehandlere som ikke har plikt til å utpeke personvernombud, likevel har adgang til dette.
Artikkel 37 nr. 2 bestemmer at et konsern kan utnevne ett personvernombud forutsatt at alle virksomhetene har enkel tilgang til vedkommende. Videre bestemmer artikkel 37 nr. 3 at offentlige myndigheter eller offentlige organer kan utpeke ett personvernombud under hensyn til deres organisasjonsstruktur og størrelse. Artikkel 37 nr. 6 bestemmer at personvernombudet kan være ansatt hos den behandlingsansvarlige eller databehandleren eller utføre sine oppgaver på grunnlag av en tjenesteavtale.
Den som utpekes til personvernombud, må inneha visse kvalifikasjoner. Artikkel 37 nr. 5 bestemmer at personvernombudet skal utpekes på grunnlag av faglige kvalifikasjoner og særlig på grunnlag av dybdekunnskap om personvernlovgivningen, samt evne til å utføre oppgavene som følger av forordningen artikkel 39.
Artikkel 38 inneholder bestemmelser om personvernombudets stilling. Den behandlingsansvarlige og databehandleren skal sikre at personvernombudet på riktig måte og til rett tid involveres i alle spørsmål som gjelder vern av personopplysninger, og at personvernombudet skal ha de ressurser som er nødvendige for å utføre sine pålagte oppgaver. Personvernombudet skal ikke motta instrukser om utførelsen av sine oppgaver og skal ikke kunne avsettes eller straffes av den behandlingsansvarlige eller databehandleren for å utføre sine oppgaver. Personvernombudet skal rapportere direkte til det høyeste ledelsesnivået hos den behandlingsansvarlige eller databehandleren.
Artikkel 38 nr. 4 bestemmer at de registrerte kan kontakte personvernombudet angående alle spørsmål om behandling av deres personopplysninger, og om utøvelsen av de rettighetene de har i henhold til forordningen.
Artikkel 38 nr. 5 bestemmer at personvernombudet skal være bundet av taushetsplikt eller en plikt til konfidensiell behandling av opplysninger ved utførelsen av sine oppgaver, i samsvar med unionsretten eller medlemsstatenes nasjonale rett. Det følger av artikkel 38 nr. 6 at personvernombudet også kan utføre andre oppgaver og ha andre plikter, såfremt dette ikke fører til interessekonflikt.
Artikkel 39 pålegger personvernombudet en rekke oppgaver. Etter artikkel 39 nr. 1 bokstav a og b skal personvernombudet informere og gi råd til virksomheten om forpliktelsene som følger av forordningen og annet personopplysningsregelverk og kontrollere overholdelsen av personvernregelverket og eventuelt internt regelverk. Personvernombudet skal også gjennomføre holdningsskapende tiltak og opplæring av personellet som er involvert i behandlingsaktivitetene. Etter artikkel 39 nr. 1 bokstav c skal personvernombudet på anmodning gi råd om vurderingen av personvernkonsekvenser og kontrollere gjennomføringen av vurderingen i henhold til artikkel 35. Artikkel 39 nr. 1 bokstav d og e bestemmer at personvernombudet skal samarbeide med tilsynsmyndigheten og fungere som kontaktpunkt for tilsynsmyndigheten ved spørsmål om behandlingen, herunder forhåndsdrøftingene nevnt i artikkel 36, og ved behov rådføre seg med tilsynsmyndigheten om eventuelle andre spørsmål.
Personvernombudet er omtalt også i en rekke av forordningens øvrige artikler. Etter artikkel 35 nr. 2 skal den behandlingsansvarlige rådføre seg med personvernombudet i forbindelse med vurdering av personvernkonsekvenser. Etter artikkel 33 og 34 skal meldinger om brudd på personopplysningssikkerheten inneholde kontaktopplysningene til personvernombudet. Etter artikkel 30 nr. 1 bokstav a og 30 nr. 2 bokstav a skal personvernombudets navn og kontaktdetaljer fremgå av protokollene over behandlingsaktiviteter. Etter artikkel 13 nr. 1 bokstav b og 14 nr. 1 bokstav b skal kontaktopplysningene til personvernombudet inngå i opplysningene som gis til den registrerte. Etter artikkel 47 nr. 2 bokstav h skal bindende virksomhetsregler angi oppgavene til personvernombudet.
Den såkalte Artikkel 29-gruppen vedtok 5. april 2017 retningslinjene «Guidelines on Data Protection Officers (‘DPOs’)». Der behandles blant annet spørsmål knyttet til vilkårene for oppnevnelse av personvernombudet, samt til ombudets posisjon og oppgaver.
17.3 Forslaget i høringsnotatet
17.3.1 Terminologi – personvernombud
I den norske oversettelsen av forordningen som var vedlagt høringsnotatet, valgte departementet å benytte termen personvernrådgiver. Departementet har, særlig på bakgrunn av de mange høringsuttalelsene om dette, valgt å i stedet benytte termen personvernombud, se nærmere i omtalen under.
17.3.2 Personvernombud i offentlig sektor
Departementet foreslo i høringsnotatet ingen regler om personvernombud i offentlig sektor. Departementet viste til at en alminnelig språklig forståelse av forordningen artikkel 37 nr. 1 bokstav a tilsier at de organer som omfattes av offentleglova § 2 første ledd bokstav a, må ha personvernombud, mens rettssubjektene i offentleglova § 2 første ledd bokstav b til d faller utenfor. Videre viste departementet til at artikkel 37 nr. 3 åpner for at offentlige myndigheter og organer kan ha felles personvernombud. Departementet viste også til at artikkel 37 nr. 6, som åpner for at personvernombudet både kan være ansatt eller utføre sine oppgaver på grunnlag av en tjenesteavtale, gjelder for både offentlige og private rettssubjekter.
17.3.3 Utvidelse av plikten til å utpeke personvernombud?
Departementet foreslo i høringsnotatet ingen regler som utvider plikten til å utpeke personvernombud utover plikten som allerede følger av forordningen artikkel 37 nr. 1. Departementet foreslo likevel en forskriftshjemmel hvor Kongen gis adgang til å fastsette at plikten til å utpeke personvernombud skal omfatte andre behandlingsansvarlige og databehandlere enn det som omfattes av forordningen artikkel 37 nr. 1.
17.3.4 Utvidelse av personvernombudets oppgaver?
Departementet foreslo i høringsnotatet ingen bestemmelser om utvidelse av personvernombudets oppgaver.
17.3.5 Personvernombudets taushetsplikt
Departementet foreslo i høringsnotatet en bestemmelse om taushetsplikt for personvernombud på bakgrunn av forordningen artikkel 38 nr. 5.
17.4 Høringsinstansenes syn
17.4.1 Oversettelse av forordningen – personvernombud
Høringsinstansene har generelt tatt til orde for å benytte personvernombud i oversettelsen av forordningen, i stedet for personvernrådgiver som departementet foreslo i høringsnotatet. Kun et fåtall høringsinstanser har tatt til orde for å benytte «personvernrådgiver» eller eventuelt en annen term. Blant de høringsinstansene som tar til orde for å benytte personvernombud, er Datatilsynet, Arbeids- og velferdsdirektoratet, Direktoratet for forvaltning og IKT, Juristforbundet, Politidirektoratet, Statens vegvesen, Telia, Telenor Norge AS, Universitetet i Tromsø – Norges arktiske universitet, Norsk senter for forskningsdata, Norges teknisk-naturvitenskapelige universitet, Forbrukerrådet, Næringslivets Hovedorganisasjon og Statistisk sentralbyrå. Høringsinstansene har generelt vist til at personvernombud er en innarbeidet term og at rådgivertermen i mindre grad enn ombudstermen understreker personvernombudets posisjon etter forordningen.
17.4.2 Personvernombud i offentlig sektor
Et mindre antall høringsinstanser har uttalt seg om utstrekningen av plikten for offentlige myndigheter til å utpeke personvernombud etter forordningen artikkel 37 nr. 1 bokstav a.
Datatilsynet uttaler at det har begynt å motta spørsmål om hvor langt plikten til å ha personvernombud i det offentlige strekker seg, eksempelvis om et interkommunalt selskap som drifter et knippe kommuners IT-systemer må ha personvernombud, og at dette ofte er vanskelige spørsmål å svare på. Datatilsynet uttaler at de er enige i at de organene som omfattes av offentleglova § 2 første ledd bokstav a, må omfattes av plikten til å ha personvernombud i forordningen, men at en klar avgrensning om at rettssubjekter som er omfattet av offentleglova § 2 første ledd bokstav b til d, ikke er forpliktet til å ha personvernombud, er uheldig. Datatilsynet uttaler:
«For å oppsummere, Datatilsynet mener at det er for snevert å avgrense plikten til å ha personvernrådgiver til organet som omfattes av offentleglova bokstav a. En kategorisk avgrensningen mot organer som omfattes av § 2 første ledd bokstav b til d er uheldig. Dette er imidlertid en kompleks problemstilling og vi har per i dag ikke en klar anbefaling til hvor grensene for artikkel 37 nr1 bokstav a bør gå. Dette krever inngående kunnskap om offentlighetsloven, kommunal organisering og kjennskap til andre lovverk der begrepet offentlig myndighet er brukt. Samtidig er dette noe vi får mange spørsmål om og som må avklares forholdsvis raskt.
Vi ber derfor departementet, som også er ansvarlig for offentleglova, se nærmere på hvordan bestemmelsen i forordningen om personvernombud i offentlig sektor bør forstås. Dersom det viser seg vanskelig å finne en naturlig grense med utgangspunkt i offentleglova, bør man vurdere å benytte mer kvalitative beskrivelser av hvilke offentlige virksomheter kravet gjelder for.»
Norges Bank uttaler at Norges Bank faller utenfor kretsen av rettssubjektene i offentleglova § 2 første ledd bokstav a, og dermed utenfor kretsen av de offentlige organer som er pålagt å utpeke personvernombud. Norges Bank viser videre til begrepet «offentlig myndighet» brukes i flere bestemmelser i forordningen og at det bør avklares om begrepet kun omfatter de organene som omfattes av offentleglova § 2 bokstav a, eller om begrepet også omfatter organene som vist til i loven § 2 første ledd bokstav b til d.
Innovasjon Norge mener at departementets avgrensning av artikkel 37 nr. 1 til kun å gjelde de organer som er omfattet av offentleglova § 2 første ledd bokstav a, er vanskelig å forene med departementets tolkning av artikkel 6 nr. 1 bokstav f. Innovasjon Norge uttaler at det mest naturlige ville vært at de rettssubjektene som ikke kan bruke artikkel 6 nr. 1 bokstav f som behandlingsgrunnlag, også var forpliktet til å ha personvernombud.
Bane NOR SF uttaler at det er uklart hva som omfattes av begrepene «offentlig myndighet» og «offentlig organ» og anmoder departementet om at det klargjøres. Bane NOR viser til at de er et statsforetak (SF) og mener at statsforetak ikke bør omfattes av plikten til å ha personvernombud, så fremt ikke statsforetaket omfattes av Artikkel 37 nr. 1. bokstav b) eller c).
17.4.3 Utvidelse av plikten til å utpeke personvernombud?
Av de høringsinstansene som har uttalt seg om spørsmålet, har alle, herunder Datatilsynet, støttet departementets vurdering om å ikke gi regler som utvider ordningen med personvernombud. Telia Norge AS viser til at det allerede foreligger en omfattende plikt for virksomheter til å opprette en slik rolle, og en utvidelse bør ikke finne sted før man eventuelt har fått tilstrekkelig erfaringsgrunnlag som tydeliggjør behovet for personvernombud for andre virksomheter.
Høringsinstansene er delt i synet på om det bør gis en forskriftshjemmel som åpner for å utvide plikten til å utpeke personvernombud, slik departementet foreslo i høringsnotatet. Telia Norge AS støtter forskriftshjemmelen, mens Næringslivets Hovedorganisasjon uttaler at det er Stortinget som bør vedta en slik utvidelse, i alle fall når det gjelder forpliktelser for private – alternativt at forskriftshjemmelen utformes slik at den mer konkret dekker de situasjonene den er ment for.
17.4.4 Utvidelse av personvernombudets oppgaver?
Høringsinstansene støtter departementets forslag i høringsnotatet om å ikke gi regler som pålegger personvernombudet ytterligere oppgaver utover de som allerede følger direkte av forordningen. Næringslivets Hovedorganisasjon uttaler at det ikke er nødvendig å lovregulere oppgaver og plikter for personvernombud ut over det som følger av forordningen. Akademikerne uttaler at de er enig med departementet i at det på nåværende tidspunkt ikke bør gis nasjonale regler som utvider plikten til å utnevne personvernombud, ut over det som er fastsatt i forordningen artikkel 37 nr. 1. Akademikerne støtter også departementets betraktninger rundt behovet for å se an utviklingen av ordningen både nasjonalt og internasjonalt, før det eventuelt vurderes om personvernombudets plikter bør utvides i norsk personvernlovgivning. Oslo kommune støtter departementets syn om at det ikke nå bør fastsettes bestemmelser om ytterligere oppgaver og plikter for personvernombud, og uttaler at de ikke ser behov for å utvide oppgavene og pliktene som allerede tilligger personvernombudet, jf. artikkel 39. Oslo kommune viser til at pliktene etter nåværende regler allerede favner vidt og medfører administrative kostnader for kommunal sektor. Også Datatilsynet støtter departementets vurdering om at det er tvilsomt om forordningen artikkel 39 nr. 1 åpner for å pålegge personvernombud ytterligere plikter ved nasjonal lovgivning og at det uansett neppe er behov for en slik utvidelse.
17.4.5 Personvernombudets taushetsplikt
Høringsinstansene har vært delt i synet på departementets forslag til taushetspliktsbestemmelse for personvernombud. Flere høringsinstanser støtter bestemmelsen, mens enkelte høringsinstanser mener det ikke er behov for en egen bestemmelse om dette eller at den foreslåtte bestemmelsen er for vidtgående. En rekke høringsinstanser som støtter at det gis en taushetspliktsbestemmelse, mener at forslaget på enkelte punkter har uklar rekkevidde.
Advokatforeningen uttaler følgende om utkastet til taushetspliktsbestemmelse:
«Advokatforeningen mener at departementet bør klargjøre rekkevidden i den taushetspliktbestemmelse som er foreslått i ny personopplysningslov § 15. For en personvernrådgiver/DPO som er ansatt i en behandlingsansvarlig virksomhet vil det være viktig å ha helt klare linjer å forholde seg til dersom taushetspliktbestemmelsen i gitte tilfeller også skal anses å omfatte Personvernrådgiverens/DPOs egen arbeidsgiver. Herunder bør det avklares hvorvidt eventuell taushetsplikt knyttet til «enkeltpersoners varsling om overtredelser av loven» gjelder overfor egen arbeidsgiver, jf. for øvrig forslaget til ny hvitvaskingslov § 38. Videre må det også avklares om taushetsplikten skal gjelde gjennomgående eller bare når den som varsler ber om det. Etter Advokatforeningens syn er taushetsplikten for personvernrådgiver formulert for absolutt. Dette vil trolig kunne få uhensiktsmessige konsekvenser i enkelte arbeidslivsforhold. Etter Advokatforeningens syn bør departementet benytte seg av hjemmelen i forordningen Artikkel 88 til å klargjøre hensiktsmessige grenser for taushetsplikten i forholdet til arbeidsgiver.»
Juristforbundet mener også det hefter uklarheter ved forslaget til taushetspliktsbestemmelse og uttaler:
«Juristforbundet er av den oppfatning at departementet bør klargjøre rekkevidden av den foreslåtte taushetspliktsbestemmelsen for personvernombud/personvernrådgiver i ny personopplysningslov § 15. Det vil være av stor betydning for dem som innehar slike roller og er ansatt i den behandlingsansvarliges virksomhet å ha klare linjer å forholde seg til dersom taushetspliktbestemmelsen også skal omfatte egen arbeidsgiver. Eksempelvis bør det avklares hvorvidt eventuell taushetsplikt knyttet til «enkeltpersoners varsling om overtredelser av loven» gjelder overfor egen arbeidsgiver og om taushetsplikten i slike tilfeller skal gjelde gjennomgående.»
Arbeids- og velferdsdirektoratet støtter departementets forslag til taushetspliktsbestemmelse i lovutkastet § 15.
Politidirektoratet støtter forslaget til taushetspliktsbestemmelse, men uttaler at det er viktig at bestemmelsen utformes slik at taushetsplikten ikke hindrer personvernombudet i å diskutere saker med behandlingsansvarlig. Videre peker direktoratet på at i en konstellasjon hvor et personvernombud fungerer for flere virksomheter eller der en virksomhet kjøper inn denne tjenesten eksternt, vil personvernombudet også kunne ha behov for å diskutere saker med egen arbeidsgiver, ikke kun behandlingsansvarlig der han/hun fungerer som personvernombud.
Finans Norge støtter i hovedsak forslaget til taushetspliktsbestemmelse, men viser til at det kan stilles spørsmål ved hvor langt rådgivers plikt til å «hindre» at andre får kjennskap til «enkeltpersoners varsling» er ment å gå. Finans Norge uttaler at for en rådgiver som er ansatt direkte i virksomheten vil det normalt være virksomheten som utstyrer rådgiveren med e-postadresse, telefon og andre kommunikasjonskanaler som rådgiveren behøver for å utøve sitt virke. Finans Norge uttaler at de legger til grunn at rådgiveren kan basere seg på å motta varsler via slike kanaler og at rådgivers plikt til å hindre at andre får kjennskap til varslerens identitet først inntrer ved mottak av varselet.
Arkivverket uttaler at det uklart om § 15 gjelder som en uttømmende regel om taushetsplikt eller om den suppleres og fylles ut av de generelle taushetspliktreglene i forvaltningsloven §§ 13-13f. Arkivverket viser til at en rådgiver som er ansatt i et forvaltningsorgan der det gjelder særlovsregler om taushetsplikt vil også kunne komme i tvil om forholdet mellom personopplysningslovens taushetspliktbestemmelse og de særlovsreglene som gjelder for ansatte i «eget» organ. På denne bakgrunn mener Arkivverket at taushetspliktsbestemmelsen for så vidt gjelder personvernombud som er offentlig ansatte, bør suppleres med regler om forholdet til alminnelig taushetsplikt og særlovsregler om taushetsplikt for å sikre klarhet.
Telia Norge AS støtter at det innføres en bestemmelse om personvernombudets taushetsplikt, men stiller spørsmål ved om det er nødvendig å innta egne bestemmelser om taushetsplikt knyttet til tekniske innretninger og andre forretningsforhold. Telia Norge AS viser til at dette vil kunne reguleres på en hensiktsmessig måte i private avtaler, og for så vidt gjelder personvernombud i offentlig forvaltning vil i disse første rekke få tilgang til slik informasjon om forvaltningsorganets egen virksomhet – og at dersom personvernombudet gjennom sitt virke får tilgang til opplysninger andre virksomheters forretningsforhold, vil forvaltningsloven § 13 uansett langt på vei kunne komme til anvendelse.
Næringslivets Hovedorganisasjon er enig med departementet i at forordningen krever at personvernombudet er underlagt en eller annen form for taushetsplikt, men mener at det er tilstrekkelig at loven går ut på at den som utpeker et ansatt personvernombud sørger for at personvernombudet har en taushetsplikt som er hensiktsmessig utformet. Næringslivets Hovedorganisasjon uttaler at det er praktisk at man ved utpekingen kan ta stilling til hva slags taushetsplikt rådgiveren skal ha, og at virksomhetene kan, om de skulle ønske det, benytte seg av de formuleringene departementet har foreslått i høringsnotatet.
Brønnøysundregistrene støtter forslaget om en taushetspliktsbestemmelse for personvernombud tilsvarende forvaltningslovens bestemmelse om taushetsplikt og uttaler at den vil skape ryddighet og forenkling ved tolkning av regelverket, da mange av personvernombud vil være offentlige ansatte som allerede er omfattet av regelen i forvaltningsloven.
Den norske legeforening mener taushetspliktsbestemmelsen kan gjøres betydelig enklere og viser til formuleringen som er foreslått i dansk rett.
Datatilsynet støtter departementets forslag til taushetspliktsbestemmelse og har ingen merknader til departementets forslag til bestemmelse.
Foreningen Kommunal Informasjonssikkerhet mener departementet må avklare forholdet mellom varslingsplikt og taushetsplikt bedre i forslag til endret personopplysningslov.
LO mener taushetspliktsbestemmelsen er for vidt formulert og uttaler at det må sikres at den ikke hindrer muligheten for å varsle til myndighetene eller andre forsvarlige varslingskanaler om kritikkverdige forhold i medhold av arbeidsmiljøloven kapittel 2 A.
Kulturrådet uttaler at det ikke ser behov for en egen lovbestemmelse om personvernombudets taushetsplikt, da det allerede er en bestemmelse om taushetsplikt i arbeidsmiljøloven § 8-3 og forvaltningsloven § 13, samt at de fleste virksomheter vil ha taushetsplikt som en del av arbeidsavtalen.
KS støtter forslaget om å underlegge personvernombudet taushetsplikt tilsvarende forvaltningsloven § 13. KS viser til at Kommuner og fylkeskommuner i medhold av forordningen artikkel 37 nr. 6 kan velge å tilknytte seg personvernombud fra privat virksomhet, på grunnlag av tjenesteavtale. KS uttaler at i slike tilfeller vil en bestemmelse som underlegger personvernombud taushetsplikt være en nyttig påpekning, selv om personvernombud med en slik tilknytning i de fleste tilfeller vil falle direkte inn under forvaltningsloven § 13. KS mener likevel at det i forarbeidene er behov for å avklare forholdet mellom personvernombudets taushetsplikt og varslingsplikt.
17.5 Departementets vurdering
17.5.1 Oversettelse av forordningen – personvernombud
Departementet foreslår at termen personvernombud benyttes i loven og den norske oversettelsen av forordningen, i stedet for personvernrådgiver som ble benyttet i høringsnotatet. Dette innebærer en videreføring av gjeldende terminologi. Personvernombudsordningen har en vesentlig annen karakter i forordningen enn etter gjeldende rett, noe som kunne tale for å endre terminologien, men departementet viser til at høringsinstansene likevel generelt har tatt til orde for å benytte personvernombud også i den nye loven. Høringsinstansene har særlig vist til at personvernombud er en innarbeidet term og at rådgivertermen i mindre grad enn ombudstermen understreker personvernombudets posisjon etter forordningen.
17.5.2 Personvernombud i offentlig sektor
Departementet mener det bør legges til grunn at det i norsk rett vil være de organer som er omfattet av forvaltningsloven § 1 annet punktum, som etter artikkel 37 nr. 1 bokstav a plikter å ha personvernombud. Forvaltningsloven § 1 annet punktum definerer forvaltningsorganer som et hvert organ for stat eller kommune. I høringsnotatet knyttet departementet plikten etter artikkel 37 nr. 1 bokstav a opp mot offentleglova § 1 første ledd bokstav a. Departementet har imidlertid kommet til at det tematisk vil være mest naturlig å knytte plikten opp mot definisjonen av forvaltningsorganer i forvaltningsloven, da det er forvaltningsloven som regulerer forvaltningsorganers virksomhet.
Departementet viser for øvrig til at høringsinstansene har støttet departementets syn om at organer for staten, fylkeskommunene og kommunene bør anses å være omfattet av plikten til å utpeke personvernombud. Disse organene vil være omfattet av forvaltningsloven § 1 annet punktum.
Flere høringsinstanser har reist spørsmål om avgrensningen av plikten til å utpeke personvernombud. Departementet legger til grunn at det kan bidra til avklaring om dette spørsmål at plikten knyttes til definisjonen i forvaltningsloven § 1 annet punktum i stedet for offentleglova. Departementet tar for øvrig i proposisjonen her ikke stilling til om plikten eventuelt bør favne videre enn de organer som omfattes av forvaltningsloven § 1 første ledd annet punktum, eller om plikten eventuelt bør avgrenses på en skarpere måte, da dette etter departementets vurdering ville kreve en nærmere utredning. Departementet bemerker i denne sammenheng at den foreslåtte forskriftshjemmelen i lovforslaget § 19 vil kunne benyttes til å regulere utstrekningen av plikten til å utpeke personvernombud innenfor det handlingsrom artikkel 37 nr. 1 bokstav a oppstiller. Departementet bemerker for ordens skyld at det ikke her tas stilling til om det er grunnlag for å tolke begrepene offentlig myndighet og offentlig organ sammenfallende i de forskjellige sammenhenger disse begrepene forekommer i forordningen.
17.5.3 Utvidelse av plikten til å utpeke personvernombud?
Departementet foreslår i proposisjonen her ingen bestemmelser som utvider plikten til å utpeke personvernombud utover det som allerede følger direkte av forordningen. Dette er i samsvar med forslaget i høringsnotatet, som har fått støtte fra høringsinstansene. Forordningen artikkel 37 nr. 1 medfører at personvernombudsordningen allerede favner nokså vidt, og det ligger også et nokså stort tolkningsrom i artikkel 37 nr. 1. Særlig gjelder dette vilkårene i artikkel 37 nr. 1 bokstav b og c, og spesielt hva som skal regnes som «regelmessig og systematisk monitorering i stor skala». Det totale nedslagsfeltet for plikten til å oppnevne personvernombud etter forordningen, det vil si eksakt hvilke typer virksomheter og antallet virksomheter som er omfattet, er på denne bakgrunn ikke klart. Departementet mener derfor at det bør sees hen til eventuell utvikling av felleseuropeisk praksis på området før det vurderes nasjonal utvidelse av personvernombudsordningen.
Departementet foreslår en forskriftshjemmel hvoretter Kongen kan gi forskrift med nærmere bestemmelser om plikt til å utpeke personvernombud, se lovforslaget § 19. Departementet har merket seg Næringslivets Hovedorganisasjons uttalelse om at det er Stortinget som eventuelt bør vedta en slik utvidelse, i alle fall når det gjelder forpliktelser for private, og at forskriftshjemmelen uansett bør utformes slik at den mer konkret dekker de situasjonene den er ment for. Departementet kan ikke se at den foreslåtte forskriftshjemmelen er for vidtgående, og heller ikke at den gjelder et område som det er unaturlig å forskriftsregulere. En eventuell forskrift vil bli sendt på høring på vanlig måte, slik at berørte aktører vil kunne uttale seg.
17.5.4 Utvidelse av personvernombudets oppgaver?
Departementet foreslår at det ikke gis regler som pålegger personvernombudet ytterligere oppgaver utover de som allerede følger direkte av forordningen. Departementet viser til at høringsinstansene har støttet departementets vurdering om at det er tvilsomt om forordningen artikkel 39 nr. 1 overhodet åpner for å pålegge personvernombud ytterligere plikter ved nasjonal lovgivning, og at det uansett ikke er behov for en slik utvidelse på nåværende tidspunkt. Departementet bemerker at plikten til å rådføre med personvernombud før behandling av særlige kategorier av personopplysninger for arkiv-, forsknings- og statistikkformål uten samtykke, jf. forslaget til § 9 annet ledd, ikke innebærer en utvidelse av personvernombudets oppgaver. At personvernombudet skal informere og gi råd til den behandlingsansvarlige om regelverket, følger av forordningen artikkel 39 nr. 1 bokstav a.
17.5.5 Personvernombudets taushetsplikt
Departementet foreslår en bestemmelse om taushetsplikt for personvernombud, se lovforslaget § 18. Som bakgrunn for forslaget viser departementet til at forordningen artikkel 38 nr. 5 bestemmer at personvernombud skal være bundet av taushetsplikt eller en plikt til konfidensiell behandling av opplysninger ved utførelse av sine oppgaver i samsvar med unionsretten eller medlemsstatenes nasjonale rett. Etter departementets vurdering oppstiller forordningen med dette en plikt for nasjonale myndigheter til å sørge for at personvernombud er underlagt taushetsplikt i nasjonal rett.
Høringsinstansene har generelt vært positive til at det gis en bestemmelse om taushetsplikt for personvernombud, men en rekke høringsinstanser har hatt merknader til den foreslåtte bestemmelsen i høringsnotatet. Flere høringsinstanser viser til at det vil kunne være problematisk hvis bestemmelsen skal forstås slik at den også gjelder overfor personvernombudets arbeidsgiver, som vil kunne være den behandlingsansvarlige. Departementet vil til dette bemerke at ordlyden i bestemmelsen gjør det klart at taushetsplikten ikke gjelder der dette er nødvendig for at personvernombudet skal kunne gjennomføre sine lovpålagte oppgaver. I dette ligger at taushetsplikten ikke er til hinder for at personvernombudet formidler ellers taushetsbelagte opplysninger til den behandlingsansvarlige, der dette er nødvendig for at personvernombudet skal kunne utføre sine oppgaver. Departementet vil også bemerke at departementet ikke kan se at taushetsplikten er til hinder for varsling i medhold av arbeidsmiljøloven kapittel 2 A.