Personvernombudet skal støtte den behandlingsansvarlige i å oppfylle pliktene virksomheten har etter personvernregelverket. Det innebærer i første rekke å gi uavhengige råd til ledelse og ansatte i virksomheten, men også å kontrollere etterlevelse. Personvernombudet skal dessuten være et kontaktpunkt for de registrerte og samarbeide med Datatilsynet.
Forordningen forutsetter at personvernombudet tar hensyn til risikoene forbundet med behandlingsaktivitetene sett i lys av behandlingens art, omfang, formål og sammenhengen den utføres i.
Det betyr at innsatsen bør legges der ombudet selv vurderer at risikoen for personvernet kan være størst. Det trenger ofte ikke være det samme som ledelsen mener at ombudet bør bruke tiden sin på. Dette er noe personvernombudet selv skal bestemme innen de ressursene og den tiden man har fått til disposisjon til sin uavhengige rolle som ombud.
Personvernombudets hovedoppgave er å gi råd overfor ledelse og medarbeidere i virksomheten om hvordan man som behandlingsansvarlig (eller databehandler) best kan etterleve personvernlovgivningen. Dette er derfor den aktiviteten som ombudet normalt vil bruke det meste av tiden sin på.
Personvernombudet har en rent rådgivende og uavhengig rolle, og bestemmer derfor ikke noe på vegne av virksomheten. Beslutninger og det tilhørende ansvaret, er det den behandlingsansvarlige som skal ta. Ikke personvernombudet.
Ombudet skal ikke bare informere og gi råd, men også kontrollere overholdelsen av personvernlovgivningen og andre relevante regelverk med personvernbestemmelser, samt virksomhetens egne interne retningslinjer for personvern. Som en del av dette kan ombudet ha følgende oppgaver:
Selv om personvernombudet har en rolle i å kontrollere etterlevelse etter regelverket, er det fremdeles den behandlingsansvarlige eller databehandleren som fullt ut er ansvarlig for at personvernlovgivningen følges.
Personvernombudet skal på anmodning gi råd om vurderingen av personvernkonsekvenser (Data Protection Impact Assessment – DPIA) og kontrollere gjennomføringen av konsekvensvurderingene. Det er den behandlingsansvarlige, ikke personvernombudet, som har ansvaret for at slike vurderinger gjennomføres.
Den behandlingsansvarlige har etter personvernforordningen plikt til å be om råd fra ombudet når det skal utføres en konsekvensvurdering (artikkel 35 i forordningen, lovdata.no). Den behandlingsansvarlige kan be om råd om:
Personvernombudet skal samarbeide med Datatilsynet og fungere som et kontaktpunkt for tilsynet ved eventuelle spørsmål. Ved behov skal ombudet også kunne rådføre seg med tilsynet. Ombudet skal legge til rette for at Datatilsynet får den informasjonen tilsynet trenger for å utføre sine oppgaver og plikter, for eksempel i forbindelse med kontrollvirksomheten.
De registrerte skal på sin side kunne kontakte personvernombudet med alle spørsmål knyttet til behandlingen av opplysninger, og om utøvelsen av rettighetene de har i henhold til personvernlovgivningen.
Det er derfor avgjørende viktig at ombudets kontaktopplysninger blir gjort tilgjengelig for de registrerte. Det kan naturlig gjøres i en personvernerklæring eller andre steder på virksomhetens nettsider. Også kundemottak og sentralbordbetjening må ha god kjennskap til hva personvernombudsrollen innebærer, slik at de kan sette de registrerte i kontakt med ombudet når det er naturlig.
Vi har samlet noen tips og råd til hvordan personvernombudet skal gå frem for å skaffe seg oversikten de trenger, holde seg oppdaterte og ikke minst gjøre seg synlige og tilgjengelige i virksomheten - både for de ansvarlige, de ansatte og de registrerte.
På denne siden kan du sende inn et skjema. For å gjøre det må du først akseptere en cookie. Du kan trekke tilbake samtykket når som helst ved å velge «administrer cookies» nederst på våre sider.
På denne siden kan du sende inn et skjema. For å gjøre det må du først akseptere en cookie. Du kan trekke tilbake samtykket når som helst ved å velge «administrer cookies» nederst på våre sider.