Personvernombud for sekretariat

Spørsmål til departementet ang. personvernombud for kontrollutvalgssekretariat

I juni 2019 sendte FKT spørsmål til Kommunal- og moderniseringsdepartementet om sekretariat for kontrollutvalg har plikt til å ha personvernombud.

Bakgrunnen for forespørselen  er  at FKT høsten 2018 sendte henvendelse til Datatilsynet om samme spørsmål.

Datatilsynet svarte da at det er sekretariatets forhold til forvaltningsloven som er det avgjørende her:

Må sekretariatet følge forvaltningsloven, må det også ha personvernombud. Hvorvidt en virksomhet er omfattet av forvaltningsloven eller ikke er ikke en vurdering vi fra Datatilsynets side vil foreta. Det må være opp til organet selv å ta stilling til, idet det også får virkning på andre områder enn den ev forpliktelsen til å opprette personvernombud.»

Det er FKTs oppfatning at offentlige selskaper eller sammenslutninger må anses som forvaltningsorganer hvis virksomheten er innrettet for å ivareta spesielle offentlige interesser. Vi mener at kontrollutvalgssekretariatene ivaretar en viktig offentlig interesse ved å påse at de saker som behandles av kontrollutvalget er forsvarlig utredet og at utvalgets vedtak blir iverksatt. Sekretariatenes formål er med andre ord å ivareta oppgaver som er å anse som tradisjonell forvaltningsvirksomhet og som dermed må omfattes av definisjonen i Forvaltningslovens § 1 om hva et forvaltningsorgan er: «Som forvaltningsorgan reknes i denne lov et hvert organ for stat eller kommune». På dette grunnlaget rådet vi våre medlemmer til å opprette personvernombud.

I mars 2019 kom Norges Kommunerevisorforbund med sin vurdering av om medlemmer av NKRF skal eller bør ha personvernombud . Vurderingen er foretatt av advokat Jan Sandtrø. Hans konklusjon er at

«NKRFs medlemmer som utfører enten revisjon, og da regnskapsrevisjon eller forvaltningsrevisjon, eller fungerer som sekretariater for kontrollutvalgene i kommuner og fylkeskommuner utøver ikke offentlige oppgaver eller myndighet.» (….)» Ved at de interkommunale selskaper/samarbeid og samvirkeforetak ikke utøver offentlig myndighet og har oppgaver som kan utøves av en virksomhet som er klart unntatt fra artikkel 37 nr. 1 bokstav a (personvernforordningen), er det ikke klart at virksomhetene omfattes av kravet til å utnevne personvernombud.»

FKT ba professor Jan F. Bernt om en vurdering av spørsmålet. Bernt forutsetter at sekretariatet er en del av det kommunale forvaltningsapparat og han viser til kontrollutvalgsforskriften § 20:

«Det har et selvstendig ansvar for å «påse» ikke bare at saker som behandles av kontrollutvalget «er forsvarlig utredet», men også «at utvalgets vedtak blir
iverksatt». (Andre avsnitt). Og «Den som utfører sekretariatsfunksjon for kontrollutvalget er direkte underordnet kontrollutvalget og skal følge de retningslinjer og pålegg som utvalget gir». Det er etter dette ikke tvilsomt at kontrollutvalgssekretariat for den enkelte kommune eller fylkeskommune er et «offentlig organ» etter reglene om personvernombud i Personverndirektivet. Han skriver videre: Her må det være ganske klart at et sekretariat som er opprettet etter reglene om interkommunalt samarbeid i Koml. 1992 § 27, eller fra neste år etter bestemmelsenes om kommunalt oppgavefellesskap i Koml. 2018 (se Koml. 2018 § 31-2), er et offentlig organ og går inn under begge disse regelsettene. Han legger videre til grunn at også kontrollutvalgssekretariat organisert som interkommunale selskaper – eller heleide interkommunale selskaper – går inn under direktivets bestemmelser om personvernombud. Hans begrunnelse er at disse selskapene ivaretar oppgaver som er «tradisjonell forvaltningsvirksomhet».

På dette grunnlaget er det hans klare råd at man sørger for etablering av personvernombud for alle kommunale, fylkeskommunale og interkommunale kontrollutvalgssekretariat.

Spørsmålet om hvorvidt kontrollutvalgssekretariat som er organisert som interkommunale selskaper/samarbeid eller samvirkeforetak, er «organ for stat eller kommune» (jf. Forvaltnings-loven § 1), kan, slik Datatilsynet påpeker, få virkning på andre prinsipielle områder enn den eventuelle forpliktelsen til å opprette personvernombud, blant annet om sekretariatene er underlagt forvaltningslovens regler om habilitet og taushetsplikt.

FKT ba derfor om departementets vurdering av problemstillingen.

Private sekretariatsordninger for kontrollutvalg

I sitt notat tar Jan F Bernt opp en annen problemstilling knyttet til kontrollutvalgssekretariat:

«Som et siste alternativ nevnes altså i Ot.prp. 70, 2002-2003 at man kan løse behovet for sekretariattjenester for kontrollutvalg ved å «kjøpe slike tjenester på det åpne marked». Dette kan imidlertid ikke forstås som et alternativ til et kommunalt eller interkommunalt sekretariat for kontrollutvalg. Sekretariatet har et offentligrettslig forankret og regulert ansvar for saksforberedelse og oppfølging av vedtak, noe som ikke kan legges til en privat uten særskilt hjemmel i lov. Det har man ikke i dag, og uttalelsen i proposisjonen må forstås slik at i stedet for å dimensjonere sekretariatet slik at det kan utrede og undersøke alle forhold, må kontrollutvalget, og sekretariatet for dette, kunne kjøpe slike tjenester fra private aktører. Men det er sekretariatets ansvar å kvalitetssikre det som man mottar fra slike aktører, og innarbeide i sin innstilling til kontrollutvalget.»

FKT har også bedt departementet om en vurdering av denne problemstillingen.