Navigasjon
GDPR > Artikkel 37. Utpeking av et personvernombud
Last ned PDF

Artikkel 37 GDPR. Utpeking av et personvernombud

Article 37 GDPR. Designation of the data protection officer

1. Den behandlingsansvarlige og databehandleren skal utpeke et personvernombud når

1. The controller and the processor shall designate a data protection officer in any case where:

a) behandlingen utføres av en offentlig myndighet eller et offentlig organ, bortsett fra domstoler som opptrer innenfor rammen av sin domsmyndighet,

(a) the processing is carried out by a public authority or body, except for courts acting in their judicial capacity;

Relaterte tekster

b) den behandlingsansvarliges eller databehandlerens kjernevirksomhet består av behandlingsaktiviteter som på grunn av sin art, sitt omfang og/eller formål krever regelmessig og systematisk monitorering i stor skala av registrerte, eller

(b) the core activities of the controller or the processor consist of processing operations which, by virtue of their nature, their scope and/or their purposes, require regular and systematic monitoring of data subjects on a large scale; or

Relaterte tekster

c) den behandlingsansvarliges eller databehandlerens kjernevirksomhet består av behandling i stor skala av særlige kategorier av opplysninger i henhold til artikkel 9 eller personopplysninger om straffedommer og lovovertredelser som nevnt i artikkel 10.

(c) the core activities of the controller or the processor consist of processing on a large scale of special categories of data pursuant to Article 9 or personal data relating to criminal convictions and offences referred to in Article 10.

Relaterte tekster

2. Et konsern kan utnevne ett personvernombud, forutsatt at alle virksomhetene har enkel tilgang til vedkommende.

2. A group of undertakings may appoint a single data protection officer provided that a data protection officer is easily accessible from each establishment.

Relaterte tekster

3. Dersom den behandlingsansvarlige eller databehandleren er en offentlig myndighet eller et offentlig organ, kan det utpekes ett personvernombud for flere av nevnte myndigheter eller organer, idet det tas hensyn til deres organisasjonsstruktur og størrelse.

3. Where the controller or the processor is a public authority or body, a single data protection officer may be designated for several such authorities or bodies, taking account of their organisational structure and size.

Relaterte tekster

4. I andre tilfeller enn dem nevnt i nr. 1 kan eller, dersom det kreves i unionsretten eller i medlemsstatenes nasjonale rett, skal den behandlingsansvarlige eller databehandleren eller sammenslutninger og andre organer som representerer kategorier av behandlingsansvarlige eller databehandlere, utpeke et personvernombud. Personvernombudet kan handle på vegne av nevnte sammenslutninger og andre organer som representerer behandlingsansvarlige eller databehandlere.

4. In cases other than those referred to in paragraph 1, the controller or processor or associations and other bodies representing categories of controllers or processors may or, where required by Union or Member State law shall, designate a data protection officer. The data protection officer may act for such associations and other bodies representing controllers or processors.

5. Personvernombudet skal utpekes på grunnlag av faglige kvalifikasjoner og særlig på grunnlag av dybdekunnskap om personvernlovgivning og praksis på området samt evne til å utføre oppgavene nevnt i artikkel 39.

5. The data protection officer shall be designated on the basis of professional qualities and, in particular, expert knowledge of data protection law and practices and the ability to fulfil the tasks referred to in Article 39.

Relaterte tekster

6. Personvernombudet kan være en ansatt hos den behandlingsansvarlige eller databehandleren eller utføre oppgavene på grunnlag av en tjenesteavtale.

6. The data protection officer may be a staff member of the controller or processor, or fulfil the tasks on the basis of a service contract.

7. Den behandlingsansvarlige eller databehandleren skal offentliggjøre kontaktopplysningene til personvernombudet og meddele disse til tilsynsmyndigheten.

7. The controller or the processor shall publish the contact details of the data protection officer and communicate them to the supervisory authority.

Ekspertkommentar ISO 27701 Fortalepunkter Retningslinjer og rettspraksis Legg igjen en kommentar
Ekspertkommentar

(EN) The article explains when and under what conditions a Data Protection Officer (DPO) should be appointed or hired. In most cases, at least one of the following conditions is sufficient for the company to be required to have a DPO:

  • if data processing is performed by state authorities (except for courts)


for å få tilgang til hele teksten

(EN) Author
(EN) Maria Arnst CIPM, TÜV
(EN) GDPR Consultant
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 6.1.1.

Here is the relevant paragraph to article 37 GDPR:

6.3.1.1 Information security roles and responsibilities

Implementation guidance

The organization should designate a point of contact for use by the customer regarding the processing of PII. When the organization is a PII controller, designate a point of contact for PII principals regarding the processing of their PII (see 7.3.2).


for å få tilgang til hele teksten

Fortalepunkter

97) Dersom behandlingen utføres av en offentlig myndighet, bortsett fra domstoler eller uavhengige rettshåndhevende myndigheter når de opptrer innenfor rammen av sin domsmyndighet, dersom behandlingen i privat sektor utføres av en behandlingsansvarlig hvis kjernevirksomhet består av behandlingsaktiviteter som krever regelmessig og systematisk monitorering i stor skala av de registrerte, eller dersom den behandlingsansvarliges eller databehandlerens kjernevirksomhet består av behandling i stor skala av særlige kategorier av personopplysninger og opplysninger om straffedommer og lovovertredelser, bør en person med dybdekunnskap om personvernlovgivning og -praksis bistå den behandlingsansvarlige eller databehandleren for å føre tilsyn med den interne overholdelsen av denne forordning. I privat sektor omfatter en behandlingsansvarligs kjernevirksomhet vedkommendes primære virksomhet og ikke behandling av personopplysninger som bivirksomhet. Det nødvendige nivået av dybdekunnskap bør fastsettes i henhold til de behandlingsaktivitetene som utføres, og det vernet som er nødvendig for personopplysningene som behandles av den behandlingsansvarlige eller databehandleren. Slike personvernombud, enten de er ansatt hos den behandlingsansvarlige eller ikke, bør kunne utføre sine funksjoner og oppgaver på en uavhengig måte.

(97) Where the processing is carried out by a public authority, except for courts or independent judicial authorities when acting in their judicial capacity, where, in the private sector, processing is carried out by a controller whose core activities consist of processing operations that require regular and systematic monitoring of the data subjects on a large scale, or where the core activities of the controller or the processor consist of processing on a large scale of special categories of personal data and data relating to criminal convictions and offences, a person with expert knowledge of data protection law and practices should assist the controller or processor to monitor internal compliance with this Regulation. In the private sector, the core activities of a controller relate to its primary activities and do not relate to the processing of personal data as ancillary activities. The necessary level of expert knowledge should be determined in particular according to the data processing operations carried out and the protection required for the personal data processed by the controller or the processor. Such data protection officers, whether or not they are an employee of the controller, should be in a position to perform their duties and tasks in an independent manner.

Retningslinjer og rettspraksis Legg igjen en kommentar
[js-disqus]