Spørsmålet kommer ofte fra daglig ledere, HR-ansvarlige og kontorledere: er det egentlig lovpålagt at de ansatte tar et GDPR-kurs? Det korte svaret er nyansert. Det finnes ingen paragraf som sier "alle ansatte skal ha et GDPR-kursbevis", og det finnes ingen statlig godkjent GDPR-sertifisering. Men det er en feilslutning å konkludere med at opplæring er valgfritt. GDPR pålegger virksomheten en reell plikt til å lære opp dem som behandler personopplysninger, og ved et tilsyn fra Datatilsynet forventes det at opplæringen kan dokumenteres.
Det finnes ingen "lovpålagt GDPR-sertifisering"
La oss være tydelige på det først, fordi mange leverandører er uærlige om akkurat dette. Det finnes ingen norsk lov som krever at en ansatt har et bestemt GDPR-kurs eller et bestemt kursbevis. Det finnes heller ingen statlig akkreditering eller godkjenning av GDPR-kurs. Et kursbevis fra en privat leverandør er nettopp det: dokumentasjon på at noen har gjennomført opplæring, ikke et offentlig sertifikat. Det er ærlig å si dette rett ut.
Det betyr likevel ikke at opplæring er noe man kan hoppe over. Plikten ligger ikke på den enkelte ansatte, men på virksomheten, og den er forankret flere steder i regelverket.
GDPR er norsk lov, og krever organisatoriske tiltak
Personvernforordningen, forordning (EU) 2016/679 (GDPR), er gjort til norsk rett gjennom personopplysningsloven §1. Den gjelder nesten enhver virksomhet som behandler navn, e-post, lønn, personalmapper, kundedata eller CV-er.
Kjernen i pliktbildet er GDPR art. 24. Den behandlingsansvarlige, altså virksomheten, skal gjennomføre egnede tekniske og organisatoriske tiltak for å sikre og kunne påvise at behandlingen skjer i samsvar med forordningen. Opplæring av ansatte er nettopp et slikt organisatorisk tiltak. Det samme følger av sikkerhetskravet i GDPR art. 32, der egnede organisatoriske tiltak skal gi et sikkerhetsnivå tilpasset risikoen.
Det henger sammen med en annen bestemmelse: GDPR art. 29 sier at enhver som handler under den behandlingsansvarliges myndighet, og som har tilgang til personopplysninger, bare skal behandle dem etter instruks. En ansatt skal altså ikke finne på sin egen måte å håndtere persondata på. De skal følge virksomhetens rutiner. Men en ansatt kan ikke følge rutiner de aldri har lært. Derfor blir opplæring den praktiske forutsetningen for at art. 29 i det hele tatt skal fungere.
Art. 39 og personvernombudet: opplæring er en uttrykt oppgave
Det stedet GDPR er mest eksplisitt om opplæring, er i beskrivelsen av personvernombudets oppgaver. GDPR art. 39 nr. 1 bokstav b sier at personvernombudet blant annet skal kontrollere overholdelsen av forordningen, herunder fordeling av ansvar, bevisstgjøring og opplæring av personellet som deltar i behandlingsaktiviteter, og tilhørende revisjoner.
Det er verdt å lese den setningen sakte. Regelverket forutsetter at det finnes "bevisstgjøring og opplæring av personellet". Ombudet skal kontrollere den, ikke skape den fra ingenting. Med andre ord: GDPR tar det for gitt at virksomheter lærer opp ansatte. Selv virksomheter uten plikt til personvernombud etter art. 37 sitter igjen med selve opplæringsforventningen, fordi den følger av ansvaret i art. 24 uansett.
Ansvarlighetsprinsippet: du må kunne dokumentere det
Den røde tråden i GDPR er ansvarlighetsprinsippet i art. 5 nr. 2. Det er ikke nok å etterleve reglene i praksis. Den behandlingsansvarlige skal kunne påvise at de etterleves. Dette gjør dokumentasjon til selve poenget.
I praksis betyr det at en muntlig "vi har jo snakket om personvern på et møte" er svakt bevis ved et tilsyn. Et kursbevis med dato, navn og innhold er sterkt bevis. Det er her et strukturert GDPR-kurs gjør en konkret jobb: det gir virksomheten et etterprøvbart spor på at opplæringen faktisk er gjennomført. Hvis dere ikke kan vise det, regnes dere ved et tilsyn ofte i praksis som om dere ikke har det.
Hva Datatilsynet faktisk forventer
Datatilsynet er tydelig på at opplæring er en del av internkontrollen. De skriver at før ansatte og eventuelle tredjepartsbrukere får tilgang til informasjon eller tjenester, bør de få hensiktsmessig opplæring, og at de i tillegg bør få regelmessig oppdatering i virksomhetens policy og rutiner.
Legg merke til formuleringen: opplæring før tilgang, og regelmessig oppdatering. Det er ikke en engangshendelse. Det er en pågående del av hvordan en virksomhet styrer personvernet sitt. Opplæringen bør dessuten være tilpasset ulike målgrupper. En kontoransatt, en HR-medarbeider og en daglig leder trenger ikke nøyaktig samme dybde, men alle trenger grunnopplæringen.
Så er GDPR-kurs lovpålagt, eller ikke?
Det presise svaret er dette: et bestemt GDPR-kurs er ikke lovpålagt, og ingen GDPR-sertifisering er statlig godkjent. Men opplæring av ansatte som behandler personopplysninger er en reell forventning forankret i art. 24, art. 32, art. 39 og ansvarlighetsprinsippet i art. 5 nr. 2. Virksomheten må kunne dokumentere at den skjer.
Et godt GDPR-kurs er derfor ikke et lovkrav å hake av, men det mest effektive verktøyet for å oppfylle et krav som faktisk finnes: å lære opp ansatte og kunne bevise det. Dette ligner mye på hvordan andre lovpålagte opplæringsplikter fungerer i arbeidslivet. Se for sammenligning er førstehjelpskurs lovpålagt på jobben, der mønsteret er det samme: plikten ligger på virksomheten, ikke på et bestemt kursbevis.
Praktisk takeaway
Ikke spør "må den enkelte ansatte ha et GDPR-kurs". Spør i stedet: kan virksomheten vår, hvis Datatilsynet banker på i morgen, vise at de som behandler persondata har fått opplæring, og når? Klarer dere ikke å svare ja med dokumentasjon i hånd, har dere en reell mangel i internkontrollen, uavhengig av at det ikke finnes en eksakt paragraf med ordet "GDPR-kurs".
Den enkleste måten å lukke det gapet på er å la dem som behandler persondata gjennomføre en strukturert grunnopplæring og ta vare på kursbeviset som dokumentasjon. Personvern og GDPR for vanlige virksomheter er bygget for akkurat dette: grunnopplæring i behandlingsgrunnlag, rettigheter, plikter, informasjonssikkerhet og avvikshåndtering, med et nummerert, verifiserbart kursbevis. Det er opplæring som ledd i internkontroll, ikke en lovpålagt sertifisering, og vi sier det rett ut.
Sammendrag
Det finnes ingen lovpålagt GDPR-sertifisering og intet statlig godkjent GDPR-kurs for ansatte. Men opplæring av dem som behandler personopplysninger er en reell plikt for virksomheten, forankret i GDPR art. 24 og art. 32 (organisatoriske tiltak), art. 39 nr. 1 b (opplæring nevnes uttrykkelig) og art. 29 (ansatte behandler kun etter instruks). Ansvarlighetsprinsippet i art. 5 nr. 2 krever at opplæringen kan dokumenteres, og Datatilsynet forventer opplæring som del av internkontrollen. Et GDPR-kurs er ikke et lovkrav i seg selv, men det enkleste og mest etterprøvbare verktøyet for å oppfylle en plikt som faktisk finnes.