Personvernombudets plikter - vedtaket

Datatilsynet stiller krav til virksomheter som oppretter personvernombud.

Når en virksomhet oppretter personvernombud unntas den fra meldeplikt. Det stilles krav både til den som er ombud og til virksomheten.

Datatilsynet kan trekke tilbake fritaket fra meldeplikten dersom virksomheten ikke overholder vilkårene i personvernombudsordningen.

Personvernombudets og virksomhetens plikter

 1. Den som virksomheten har utnevnt til personvernombud skal være egnet til, på en uavhengig måte, å vurdere om behandlingsansvarlig overholder reglene i personopplysningsloven.
 2. Personvernombudet skal
  a. påse at behandlinger av personopplysninger blir meldt til ombudet, og at meldingene inneholder korrekte og tilstrekkelige opplysninger,
  b. føre en systematisk og offentlig tilgjengelig fortegnelse over behandlingene,
  c. påse at behandlingsansvarlig har et system for internkontroll som tilfredsstiller personopplysningslovens § 14, jf. personopplysningsforskriftens kapittel 3,
  d. bistå de registrerte med å ivareta deres rettigheter etter reglene om behandling av personopplysninger,
  e. påpeke brudd på personopplysningsloven overfor behandlingsansvarlig,
  f. gi Datatilsynet opplysninger dersom tilsynet ber om det, herunder foreta undersøkelser i konkrete saker,
  g. holde seg orientert om utviklingen innen personvern, og
  h. gi råd og veiledning til behandlingsansvarlig om behandling av personopplysninger og reglene for dette.
 3. Etablering av personvernombud fritar ikke virksomheten fra dennes ansvar for at reglene i personopplysningsloven overholdes.
 4. Virksomheten skal informere Datatilsynet dersom avtalen om personvernombud opphører, eller virksomheten endrer personvernombud.

Merk

Når den nye personopplysingslova trer i kraft 25. mai i år, gjeld ikkje lenger meldeplikta. Datatilsynet har derfor avgjort at verksemder er friteke frå meldeplikta frå januar 2018.

Spørsmål og svar

Spørsmål og svar om personvernombud