De fleste virksomheter i Norge er klar over at GDPR stiller krav til behandling av personopplysninger. Færre vet nøyaktig hvem som er pålagt å ha et personvernombud, hva ombudet faktisk gjør og hva som skjer dersom virksomheten mangler ombud når det er krav om det.
Datatilsynet gjennomførte i 2025 en undersøkelse blant 588 personvernombud i Norge. Funnene viste at virksomheter med personvernombud gjennomgående har bedre etterlevelse av GDPR enn de uten. Likevel er det mange som ikke har gjennomført en skikkelig vurdering av om de er pålagt å ha ombud.
Hvem er pålagt å ha personvernombud?
Plikten til å ha personvernombud følger av GDPR artikkel 37. Tre kategorier virksomheter er pålagt å utpeke ombud.
Alle offentlige myndigheter og organer. Med unntak av domstoler er alle offentlige virksomheter i Norge pålagt å ha personvernombud. Dette gjelder stat, fylkeskommuner og kommuner. Datatilsynet har presisert at «offentlig myndighet og organ» skal forstås etter forvaltningsloven § 1. Det betyr at kommunalt eide selskaper som utfører lovpålagte kommunale oppgaver, i mange tilfeller er pålagt å ha ombud selv om de er organisert som egne rettssubjekter.
Virksomheter som regelmessig og systematisk overvåker personer i stor skala. Eksempler er virksomheter som driver nettbasert annonsering med sporing, kameraovervåking i stor skala, lokasjonsbaserte tjenester, profilering av kundeadferd eller bruk av AI-systemer som kontinuerlig analyserer persondata.
Virksomheter som behandler sensitive personopplysninger i stor skala. Sensitive opplysninger er de særlige kategoriene i GDPR artikkel 9, som helseopplysninger, genetiske data, fagforeningsmedlemskap, religiøs overbevisning og opplysninger om seksuell orientering. Behandler virksomheten slike opplysninger som en kjerneaktivitet, er plikten klar.
Er du usikker på om virksomheten din er pålagt å ha ombud, oppfordrer Datatilsynet til å dokumentere vurderingen selv om konklusjonen er at ombud ikke er påkrevd. Dokumentert vurdering er bedre enn ingen vurdering.
Vi i Judicia bistår virksomheter med GDPR-etterlevelse og personvernrådgivning. Les mer om personvern og GDPR.
Hva gjør personvernombudet?
Personvernombudets lovpålagte oppgaver følger av GDPR artikkel 39. Ombudet er ikke en beslutningstaker, men en rådgiver og kontrollør. Ansvaret for etterlevelse av GDPR ligger alltid hos behandlingsansvarlig, altså virksomheten selv.
Informasjon og rådgivning. Ombudet gir råd til ledelse og ansatte om personvernforpliktelser, behandlingsgrunnlag, rettigheter og plikter etter GDPR.
Kontroll av etterlevelse. Ombudet følger med på at virksomheten etterlever personvernlovgivningen og egne interne retningslinjer. Det inkluderer å kontrollere at behandlingsprotokollen er fullstendig og oppdatert, og at databehandleravtalene er på plass.
Rådgivning om DPIA. Ombudet skal gi råd om når personvernkonsekvensvurdering er påkrevd og kontrollere at den gjennomføres riktig. Les mer om DPIA.
Kontaktpunkt for Datatilsynet. Ombudet er virksomhetens offisielle kontaktpunkt overfor Datatilsynet. Ved tilsyn og forespørsler er det ombudet som koordinerer kontakten.
Kontaktpunkt for de registrerte. De registrerte, altså personene som virksomheten behandler opplysninger om, skal kunne kontakte personvernombudet med spørsmål og henvendelser om sine rettigheter.
Ombudets stilling: uavhengighet er avgjørende
Personvernombudet skal ha en uavhengig rolle. Det er forbudt å instruere ombudet om hvordan det skal utføre sine lovpålagte oppgaver, og det er forbudt å avsette eller straffe ombudet for å utøve rollen sin.
EU-domstolen har slått fast at et personvernombud ikke kan gis oppgaver eller plikter som gjør at vedkommende fastsetter formål eller midler for behandlingen av personopplysninger på vegne av virksomheten. Det vil si at ombudet ikke kan signere databehandleravtaler, være behandlingsansvarlig eller ta operative beslutninger om persondata. Slike oppgaver skaper en interessekonflikt som undergraver ombudets uavhengighet.
Datatilsynet fraråder dessuten at den som er IT-sikkerhetsansvarlig også er personvernombud. Sikkerhetshensyn og personvernhensyn kan komme i konflikt med hverandre, for eksempel ved logging av aktivitet i IT-systemer.
Ledelsen plikter å stille nødvendige ressurser til rådighet for ombudet, inkludert tid til kurs og fagsamlinger, slik at ombudet kan opprettholde sin kompetanse.
Internt eller eksternt personvernombud?
Personvernombudet kan enten være ansatt i virksomheten eller engasjeres eksternt gjennom en tjenesteavtale.
Et internt ombud kjenner gjerne virksomheten godt og er lettere tilgjengelig i det daglige. Det kan gjøre det enklere å fange opp personvernproblemer underveis i prosesser og prosjekter.
Et eksternt ombud har gjerne bredere erfaring fra ulike bransjer og kjenner regelverket godt. Det kan være en fordel for virksomheter som trenger høy kompetanse, men ikke har ressurser til å bygge dette internt. Eksternt ombud er også enklere å skalere opp og ned etter behov.
Det er kun mulig å ha ett personvernombud per virksomhet. Et konsern kan utpeke ett felles ombud, forutsatt at alle virksomhetene i konsernet har enkel tilgang til vedkommende. Flere offentlige organer kan dele ombud dersom det er forsvarlig ut fra størrelse og kompleksitet.
Registrering og melding til Datatilsynet
Virksomheter som utpeker et personvernombud skal melde ombudets kontaktinformasjon til Datatilsynet. Kontaktinformasjonen skal også gjøres tilgjengelig for de registrerte, typisk gjennom personvernerklæringen på virksomhetens nettside.
Det er ingen formelle krav til at ombudet skal ha en bestemt utdanning, men vedkommende må ha faglige kvalifikasjoner, god kjennskap til personvernregelverket og praksis, samt evne til å utføre oppgavene. Les mer om databehandleravtaler og personvern i arbeidslivet som er sentrale ansvarsområder for ombudet.
Når bør du ta kontakt med advokat?
Ta kontakt dersom du er usikker på om virksomheten er pålagt å ha personvernombud, dersom du har et pågående tilsyn fra Datatilsynet og trenger bistand, og dersom du vil etablere en personvernfunksjon og vil sikre at den er korrekt organisert.
Ofte stilte spørsmål om personvernombud
Alle offentlige myndigheter og organer, virksomheter som regelmessig og systematisk overvåker personer i stor skala, og virksomheter som behandler sensitive personopplysninger i stor skala som kjerneaktivitet. Plikten følger av GDPR artikkel 37. Andre virksomheter kan frivillig opprette personvernombud, men da gjelder de samme reglene fullt ut.
Et internt ombud er ansatt i virksomheten og kjenner den godt. Et eksternt ombud engasjeres gjennom en tjenesteavtale og har gjerne bredere personvernfaglig kompetanse. Begge løsninger er lovlige, og valget avhenger av virksomhetens størrelse, ressurser og kompleksitet i personvernarbeidet.
Nei. Det er forbudt å instruere ombudet om hvordan det skal utføre sine lovpålagte oppgaver. Ombudet skal ha en uavhengig rolle og gi ledelsen objektive råd basert på personvernhensyn. Det er heller ikke tillatt å avsette ombudet fordi det utøver rollen sin.
Manglende personvernombud der det er lovpålagt, er et brudd på GDPR artikkel 37. Det kan medføre overtredelsesgebyr på opptil 10 millioner euro eller to prosent av global årsomsetning. Datatilsynet kan også pålegge virksomheten å utpeke ombud.
Er du usikker på om virksomheten trenger personvernombud, eller vil du vurdere om en ekstern løsning passer bedre? Ta kontakt med Judicia for en uforpliktende samtale.