Til Datatilsynet

Til startsiden til Datatilsynet

Veileder

Personvernombud etter nytt regelverk

Hva er ansvarsforholdet mellom ombudet og den behandlingsansvarlige?

Personvernombudet har som oppgave å gi råd om hvordan den behandlingsansvarlige best mulig kan ivareta personverninteressene. Det er imidlertid den behandlingsansvarlige som er ansvarlig for at behandlingen av personopplysninger skjer i tråd med regelverket.

Den behandlingsansvarlige skal sørge for at det blir etablert rutiner som sikrer at ombudet på riktig måte og til rett tid involveres i alle spørsmål som gjelder vern av personopplysninger. Tidlig involvering legger til rette for etterlevelse av regelverket og for at personvernhensyn blir tatt hensyn til når det utvikles nye løsninger. Dette er nesten alltid bedre enn å måtte gjøre lovpålagte endringer senere i utviklingsprosessen, eller først etter at den nye løsningen er blitt lansert.

For å sikre at personvernombudet blir informert og involvert i alle prosesser som er relevant anbefaler Datatilsynet at virksomheten sørger for at:

  1. ombudet regelmessig blir invitert til å delta i møter med topp- og mellomledelsen
  2. ombudet er tilstede og blir hørt når avgjørelser med mulige personvernkonsekvenser blir tatt
  3. ombudets vurderinger blir hørt og tatt i betraktning. Hvis det er uenighet kan det være lurt å dokumentere begrunnelsen for at personvernombudets anbefaling ikke blir fulgt
  4. ombudet blir varslet når rutiner av betydning skal endres, eller nye IT-systemer og sikkerhetstiltak skal utvikles
  5. ombudet blir informert og rådspurt ved avvik relatert til personvernlovgivningen, eller andre hendelser som kan ha personvernmessige konsekvenser.

Virksomheten skal også stille til rådighet de ressurser som er nødvendig for at personvernombudet skal kunne utføre sine oppgaver. Dette inkluderer å gi tilgang til personopplysninger og behandlingsaktiviteter og å gjøre det mulig for ombudet å opprettholde sin dybdekunnskap.

Virksomheten bør vurdere følgende tiltak for å sikre at ombudet har de nødvendige ressursene:

  1. Gi ombudet aktiv støtte fra øverste ledelse. Som ledd i dette også påse at personvernombudet får tilgang til, og støtte fra andre deler av virksomheten som personal-/HR-funksjonen, juridisk, IT, sikkerhetsansvarlig ol.  
  2. Sørge for at ombudet gis nok tid og ressurser til å utføre oppgavene sine. Hvis en person er ombud på deltid kan det være en god ide å sette av en viss prosent av arbeidstiden til ombudsoppgaver. Avhengig av virksomhetens størrelse og kompleksiteten i behandlingen av personopplysninger vurder også om det kan være nødvendig å styrke ombudet også med bistand fra andre medarbeidere i organisasjonen.
  3. Sett av tilstrekkelig med økonomiske midler og tekniske hjelpemidler (kontorplass, IT-utstyr osv.)  
  4. Informer alle ansatte om at det er blitt opprettet et personvernombud og hva denne rollen innebærer for virksomheten.
  5. Personvernombudet bør få mulighet til å holde seg oppdatert på utviklingen innen personvern og den sektoren som virksomheten opererer innenfor. Ombudet bør oppfordres til å ta kurs eller delta i nettverk, eller andre personvernrelaterte fora.

Jo mer komplekse og/eller sensitive behandlingene i en virksomhet er, jo mer ressurser bør et ombud ha.