Personvernombudets plikter - vedtaket

Når en virksomhet oppretter personvernombud unntas den fra meldeplikt. Det stilles krav både til den som er ombud og til virksomheten. Datatilsynet understreker også at fritaket fra meldeplikten kan trekkes tilbake dersom ikke vilkårene for ordningen overholdes.

I vedtaket om opprettelse av personvernombudet fra Datatilsynet opgis det at virksomheten og ombudet har følgende plikter når de trer inn i ordningen:

1. Vedkommende som virksomheten har utnevnt til personvernombud skal være egnet til, på en uavhengig måte, å vurdere om behandlingsansvarlig overholder reglene i personopplysningsloven.
2. Personvernombudet skal
   a. påse at behandlinger av personopplysninger blir meldt til ombudet, og at meldingene inneholder korrekte og tilstrekkelige opplysninger,
   b. føre en systematisk og offentlig tilgjengelig fortegnelse over behandlingene,
   c. påse at behandlingsansvarlig har et system for internkontroll som tilfredstiller personopplysningslovens § 14, jf. personopplysningsforskriftens kapittel 3,
   d. bistå de registrerte med å ivareta deres rettigheter etter reglene om behandling av personopplysninger,
   e. påpeke brudd på personopplysningsloven overfor behandlingsansvarlig,
   f. gi Datatilsynet opplysninger dersom tilsynet ber om det, herunder foreta undersøkelser i konkrete saker,
   g. holde seg orientert om utviklingen innen personvern, og
   h. gi råd og veiledning til behandlingsansvarlig om behandling av personopplysninger og reglene for dette.
3. Etablering av personvernombud fritar ikke behandlingsansvarlig fra dennes ansvar for at reglene i personopplysningsloven overholdes.
4. Datatilsynet skal informeres dersom avtalen om personvernombud opphører, eller virksomheten endrer personvernombud.
5. Datatilsynet kan trekke tilbake fritaket fra meldeplikten dersom vilkårene for ordningen ikke overholdes, personvernombudet ikke skjøtter sine oppgaver tilfredstillende, eller ordningen av andre grunner ikke fungerer etter sin hensikt.