Til Datatilsynet

Til startsiden til Datatilsynet

Veileder

Personvernombud etter nytt regelverk

Det nye regelverket som trer i kraft i mai 2018 styrker ordningen med personvernombud. Regelverket lovfester hvilken rolle og hvilke oppgaver ombudet skal ha, og gjør ordningen obligatorisk for mange virksomheter. Her er en foreløpig tolkning av det nye regelverket sett i lys av dagens lover.

Veiledningen er basert på forordningens artikler 37, 38 og 39, samt Artikkel 29-gruppens anbefalinger. Innholdet er veiledende og kan komme til å endres som et resultat av at innholdet i den nye personopplysningsloven skal vedtas i Stortinget, og som et resultat av at det etableres praksis i Norge eller i resten av Europa.

Skriv ut veileder
Personvernombud etter nytt regelverk

Hvem må ha personvernombud?

Styrkingen av personvernombudets rolle er godt nytt for personvernet. Erfaringsmessig har Datatilsynet sett at det å ha en person med kunnskap om og fokus på personvern i en virksomhet kan gjøre en stor forskjell. Vi oppfordrer derfor alle virksomheter til å opprette personvernombud, uavhengig om de er pålagt å ha det eller ikke.

Personvernombud vs. personvernrådgiver

I den foreløpige oversettelsen av forordningen som er gjort tilgjengelig i forbindelse med høringen av nytt personvernregelverk, er begrepet «personvernrådgiver» brukt om det som kalles «personvernombud» i dagens regelverk. Hvilket begrep som skal brukes blir avgjort i forbindelse med at Stortinget skal vedta den nye loven – sannsynligvis tidlig i 2018. Inntil noe annet er endelig bestemt vil Datatilsynet bruke «personvernombud» som er innarbeidet i praksis gjennom over ti år og som er godt kjent blant virksomheter i Norge.

Mange virksomheter blir pålagt å opprette personvernombud. Artikkel 37 i forordningen sier at både behandlingsansvarlige og databehandlere skal utpeke et personvernombud dersom:

  1. behandlingen utføres av en offentlig myndighet eller et offentlig organ, bortsett fra domstoler som handler innenfor rammen av sin domsmyndighet
  2. den behandlingsansvarliges eller databehandlerens hovedvirksomhet består av behandlingsaktiviteter som på grunn av sin art, sitt omfang og/eller formål krever regelmessig og systematisk monitorering i stor skala av registrerte, eller
  3. den behandlingsansvarliges eller databehandlerens hovedvirksomhet består av behandling i stor skala av særlige kategorier av opplysninger i henhold til artikkel 9 (sensitive personopplysninger) eller personopplysninger knyttet til straffedommer og straffbare forhold som er nevnt i artikkel 10.

Med mindre det er helt opplagt at en virksomhet ikke er pålagt å ha ombud anbefaler Datatilsynet at virksomheten dokumenterer de vurderingene som har blitt gjort dersom personvernombud ikke blir opprettet. Dokumentasjonen er nødvendig for å kunne vise at dere har gjennomført en reell vurdering, der alle relevante faktorer har blitt tatt med. Vurderingene bør oppdateres ved behov, for eksempel hvis dere starter nye behandlinger av personopplysninger som kan være omfattet av de tre punktene over.

Hva faller innenfor «offentlig myndighet og organ»?

Forordningen definerer ikke hva offentlig myndighet og organ betyr i vår sammenheng, og det er opp til hvert land å definere ut i fra sitt lovverk og kontekst. Per i dag vet vi ikke hvordan den nye norske personvernlovgivningen vil avgrense dette.

En mulig fortolkning av «offentlig myndighet eller et offentlig organ» kan ta utgangspunkt i offentlighetsloven § 2. Det vil i så fall innebære at organer som er underlagt offentlighetsloven som utgangspunkt også skal ha plikt til å opprette personvernombud. Dette vil bli avklart når den nye lovgivningen vedtas i Stortinget.

Hvem innen privat sektor må ha ombud?

Virksomheter som har som hovedvirksomhet å gjøre følgende i stor skala må opprette personvernombud:

  • regelmessig og systematisk monitorering av personer
  • behandling av sensitive personopplysninger, eller opplysninger om straffbare forhold

Nedenfor forklarer vi nærmere hvordan de ulike begrepene kan tolkes:

Hovedvirksomhet

Dette er kjerneaktiviteter som er nødvendig for å oppnå virksomhetens mål. Hvis behandling av personopplysninger er uløselig forbundet med virksomhetens produkter eller tjenester skal det ses på som en hovedvirksomhet.

To eksempler

Et sykehus sin hovedvirksomhet å gjøre folk friske, men sykehuset kan ikke gjøre det uten å behandle personopplysninger i stor skala. Sykehuset er derfor pålagt å ha personvernombud.

Et sikkerhetsselskap utfører kameraovervåking på flere kjøpesentre. Å sørge for sikkerheten er hovedvirksomheten, men dette forutsetter behandling av personopplysninger. Sikkerhetsselskapet blir derfor pålagt å ha personvernombud.

 Personaladministrasjon og vanlig IT-støtte er standard i alle virksomheter og blir i denne sammenheng ikke sett på som hovedvirksomhet. Dermed utløses ikke pålegget om å ha personvernombud.

Stor skala

Forordningen definerer ikke hva som ligger i begrepet stor skala. Følgende faktorer bør imidlertid tas med i en vurdering av om en behandling er i stor skala, eller ikke:

  • antallet personer det behandles opplysninger om
  • mengden og omfanget av personopplysningene som blir behandlet
  • varigheten av behandlingen
  • det geografiske omfanget av behandlingen

Eksempler på aktører som foretar behandling av personopplysninger i stor skala er sykehus, offentlige transportsystemer i en by, banker, forsikringsselskaper, søkemotorer på internett og internett- og teletilbydere.

Eksempler på aktører som ikke vil komme inn under begrepet som stor skala er fastleger eller advokater som kun behandler opplysninger for et begrenset antall pasienter eller kunder.

Regelmessig og systematisk

Heller ikke her gir forordningen en definisjon, men følgende punkter bør legges til grunn i en vurdering:

Regelmessig

  • Behandlingen av personopplysninger skjer løpende eller jevnlig i en bestemt periode
  • Behandlingen gjentas på bestemte tidspunkter

Systematisk

  • Behandlingen av personopplysninger skjer etter et system
  • Behandlingen er forhåndsbestemt, organisert eller metodisk
  • Behandlingen skjer som en del av en generell plan for datainnhenting
  • Behandlingen skjer som en del av en strategi

Monitorering

Dette beskrives nærmere i fortalepunkt nummer 24 («fortale» er en innledende forklaring til de enkelte paragrafene i lovteksten):

For å fastslå om en behandlingsaktivitet kan anses som monitorering av de registrertes atferd bør det bringes på det rene om det skjer sporing av fysiske personer på internett, herunder en mulig påfølgende bruk av teknikker for behandling av personopplysninger som innebærer profilering av en fysisk person, særlig med det formål å treffe avgjørelser om vedkommende eller analysere eller forutsi vedkommendes personlige preferanser, atferd eller holdninger.

Oppsummert omfatter «monitorering» i denne sammenhengen alle former for sporing og profilering på nettet, inkludert persontilpasset reklame.

Begrepet monitorering begrenses imidlertid ikke bare til aktiviteter på internett. Eksempler på aktiviteter som kan komme inn under begrepet monitorering er:

  • drift av et telekommunikasjonsnettverk
  • målrettet e-postreklame
  • profilering og vurdering i forbindelse med kredittvurdering
  • sporing av lokasjon i mobilapplikasjoner
  • monitorering ved bruk av helsearmbånd
  • kundeklubber eller lojalitetsprogrammer
  • kameraovervåking
  • bruk av internettilknyttede enheter, som for eksempel smarte biler, automatiske strømmålere, smarthus og lignende


«Særlige kategorier av opplysninger samt personopplysninger knyttet til straffedommer og straffbare forhold» refererer til definisjoner i artikkel 9 og 10:

Sensitive opplysninger/særlige kategorier av personopplysninger (art. 9):

  • rasemessig eller etnisk opprinnelse
  • politisk oppfatning
  • religiøs eller filosofisk overbevisning
  • fagforeningsmedlemskap
  • behandling av genetiske opplysninger og biometriske opplysninger med det formål å entydig identifisere en fysisk person
  • helseopplysninger
  • opplysninger om en fysisk persons seksuelle forhold eller seksuelle legning

Straffbare forhold (art. 10):

  • personopplysninger i forbindelse med straffedommer og straffbare forhold eller tilknyttede sikkerhetstiltak

Vi har laget en forenklet trinn-for-trinn-veiledning du kan laste ned og gå gjennom dersom du er usikre på om din virksomhet har plikt til å opprette personvernombud etter det nye regelverket.

Kan virksomheten opprette personvernombud på frivillig basis?

Datatilsynet oppfordrer alle virksomheter som gjør en omfattende innsamling og bruk av personopplysninger, eller som behandler opplysninger som er særlig beskyttelsesverdige, om å opprette et personvernombud. Dette gjelder også de som ikke er pålagt å gjøre det. Vær da oppmerksom på at dersom dere oppretter ombud på frivillig initiativ, vil artiklene 37-39 i forordningen gjelde på lik linje som for lovpålagte ombud. Et personvernombud er, uansett om det er pålagt eller frivillig, utnevnt for alle behandlingene av personopplysninger som skjer i virksomheten.

En virksomhet står selvfølgelig fritt til å ansette eller leie inn arbeidskraft for å ivareta personvernet uten at denne eller disse personene har rollen som personvernombud. I slike tilfeller er det viktig at det kommer tydelig fram, både innad og utad i virksomheten, at tittelen, oppgavene og rollen til disse ikke kan forveksles med et personvernombud.

Må også databehandlere opprette personvernombud?

Både den behandlingsansvarlige og databehandler er pålagt å ha personvernombud hvis kriteriene i artikkel 37 er oppfylt. Avhengig av hvem som oppfyller kriteriene kan det være enten behandlingsansvarlig eller databehandler som er pålagt å ha personvernombud, men det kan også være begge.

Et personvernombud som er utnevnt av en databehandler har også ansvar for de øvrige behandlingene som databehandlervirksomheten er behandlingsansvarlig for (for eksempel IT, personal/HR, logistikk og lignende).

Ett ombud for flere virksomheter?

Et konsern kan oppnevne ett felles personvernombud, forutsatt at alle virksomhetene innen konsernet har enkel tilgang til vedkommende. Flere offentlige myndigheter eller organer kan også utnevne et felles ombud på vegne av flere. Dette forutsetter imidlertid at det er forsvarlig ut fra virksomhetenes struktur og størrelse, og ikke minst ut fra omfang og kompleksitet når det gjelder de personopplysningene som behandles.

Ikke mer enn ett ombud i en og samme virksomhet

Det er kun mulig å ha ett ombud per virksomhet. Virksomheten står imidlertid fritt til å gi flere medarbeidere personvernrelaterte oppgaver, gjerne knyttet opp mot personvernombudet.

Internt eller eksternt ombud?

Personvernombudet kan være ansatt i virksomheten eller utføre oppgavene på grunnlag av en tjenesteavtale med ekstern leverandør. En fordel med å ha et ombud internt i virksomheten er at medarbeideren ofte kjenner virksomheten bedre og lettere kan fange opp problemstillinger som oppstår underveis. En fordel med eksterne ombud er at ombudet gjerne har bred erfaring og kunnskap som kan være en fordel for virksomheter som opplever at det er utfordrende å tilegne seg den nødvendige kompetansen.

Hvis ombudet er internt må vedkommende være det som gjerne kalles «en fysisk person». Det vil si et menneske, til forskjell fra det som kalles en «juridisk person», eller en organisasjonsenhet. Også der personvernombudsrollen ivaretas av en ekstern leverandør må det tilbys fysiske kontaktpersoner for den enkelte virksomheten som leverandøren av tjenesten ivaretar ombudsrollen for. 

Personvernombud

Les mer om personvernombudsordningen på vår samleside. Her finner du utfyllende informasjon om hva ordningen går ut på og pliktene et ombud har, registreringsskjema, hvilke kurs og seminar som finnes, samt kontaktinformasjon.

Personvernombud

Hva slags kvalifikasjoner må ombudet ha?

Regelverket stiller ingen spesifikke krav når det kommer til utdanningsbakgrunn eller sertifiseringer, men det stilles tydelige krav til kompetanse og egnethet for de oppgaver ombudet skal gjøre for virksomheten. 

Ombudet skal utpekes på grunnlag av:

  1. Faglige kvalifikasjoner. Ombudets faglige kvalifikasjoner bør stå i forhold til omfattende behandling av personopplysninger virksomheten har, og hvor sensitive og komplekse opplysningene er. Hvis en virksomhet behandler komplekse data eller overfører data i stor skala til tredjeland er det ekstra viktig å utnevne et personvernombud med sterk faglig tyngde.
  2. Dybdekunnskap om personvernlovgivning og praksis på området.Personvernombudet forventes å ha oversikt over, og å gi råd om, rammene for etterlevelse av både forordningen og annet relevant regelverk som inneholder personvernbestemmelser av betydning for virksomheten. Behovet for dybdekunnskap om tilstøtende regelverk vil naturlig nok variere. I noen tilfeller vil det ikke være annet relevant regelverk, mens for andre vil det være sektorspesifikk lovgivning som kan ha bestemmelser av betydning for personvernet. Det er også en fordel at ombudet erfaring fra og kjennskap til sektoren. Ombudet bør også ha en god forståelse av behandlingsaktivitetene, IT-systemene, informasjonssikkerhet og personvernbehovene i virksomheten.
  3. Evne til å utføre oppgavene sine. Dette referer både til personlige kvaliteter og kunnskap, men også til ombudets posisjon i virksomheten. Når det kommer til personlige kvaliteter er det relevant å vurdere integritet og evne til å gjøre etiske vurderinger, samt evnen til å stimulere resten av virksomheten til å behandle personopplysninger i tråd med regelverket. 

Hvordan skal kontaktinformasjonen til ombudene gjøres kjent?

Virksomheten skal offentliggjøre kontaktopplysningene til personvernombudet. Formålet med dette er å sikre at de registrerte, både ansatte, kunder og andre, enkelt kan kontakte ombudet uten å må ta kontakt med en annen del av virksomheten først.

Kontaktopplysningene til ombudet bør bestå av informasjon som lar de registrerte og Datatilsynet komme i kontakt med ombudet på en enkel måte (f.eks. telefonnummer og/eller e-postadresse direkte til ombudet, kontaktskjema på nettsiden eller en «hot-line», samt postadresse).

Virksomheten skal også meddele kontaktopplysningene til Datatilsynet. Inntil videre gjøres dette etter nåværende regelverk gjennom søknad om opprettelse av personvernombud til Datatilsynet. Når det nye regelverket er på plass vil Datatilsynet ikke lenger saksbehandle søknader, men opprette en registreringsløsning der virksomheten registrerer kontaktopplysningene til ombudet. Datatilsynet vil fortsette å ha en offentlig tilgjengelig liste over virksomheter med ombud.

Hva er ansvarsforholdet mellom ombudet og den behandlingsansvarlige?

Personvernombudet har som oppgave å gi råd om hvordan den behandlingsansvarlige best mulig kan ivareta personverninteressene. Det er imidlertid den behandlingsansvarlige som er ansvarlig for at behandlingen av personopplysninger skjer i tråd med regelverket.

Den behandlingsansvarlige skal sørge for at det blir etablert rutiner som sikrer at ombudet på riktig måte og til rett tid involveres i alle spørsmål som gjelder vern av personopplysninger. Tidlig involvering legger til rette for etterlevelse av regelverket og for at personvernhensyn blir tatt hensyn til når det utvikles nye løsninger. Dette er nesten alltid bedre enn å måtte gjøre lovpålagte endringer senere i utviklingsprosessen, eller først etter at den nye løsningen er blitt lansert.

For å sikre at personvernombudet blir informert og involvert i alle prosesser som er relevant anbefaler Datatilsynet at virksomheten sørger for at:

  1. ombudet regelmessig blir invitert til å delta i møter med topp- og mellomledelsen
  2. ombudet er tilstede og blir hørt når avgjørelser med mulige personvernkonsekvenser blir tatt
  3. ombudets vurderinger blir hørt og tatt i betraktning. Hvis det er uenighet kan det være lurt å dokumentere begrunnelsen for at personvernombudets anbefaling ikke blir fulgt
  4. ombudet blir varslet når rutiner av betydning skal endres, eller nye IT-systemer og sikkerhetstiltak skal utvikles
  5. ombudet blir informert og rådspurt ved avvik relatert til personvernlovgivningen, eller andre hendelser som kan ha personvernmessige konsekvenser.

Virksomheten skal også stille til rådighet de ressurser som er nødvendig for at personvernombudet skal kunne utføre sine oppgaver. Dette inkluderer å gi tilgang til personopplysninger og behandlingsaktiviteter og å gjøre det mulig for ombudet å opprettholde sin dybdekunnskap.

Virksomheten bør vurdere følgende tiltak for å sikre at ombudet har de nødvendige ressursene:

  1. Gi ombudet aktiv støtte fra øverste ledelse. Som ledd i dette også påse at personvernombudet får tilgang til, og støtte fra andre deler av virksomheten som personal-/HR-funksjonen, juridisk, IT, sikkerhetsansvarlig ol.  
  2. Sørge for at ombudet gis nok tid og ressurser til å utføre oppgavene sine. Hvis en person er ombud på deltid kan det være en god ide å sette av en viss prosent av arbeidstiden til ombudsoppgaver. Avhengig av virksomhetens størrelse og kompleksiteten i behandlingen av personopplysninger vurder også om det kan være nødvendig å styrke ombudet også med bistand fra andre medarbeidere i organisasjonen.
  3. Sett av tilstrekkelig med økonomiske midler og tekniske hjelpemidler (kontorplass, IT-utstyr osv.)  
  4. Informer alle ansatte om at det er blitt opprettet et personvernombud og hva denne rollen innebærer for virksomheten.
  5. Personvernombudet bør få mulighet til å holde seg oppdatert på utviklingen innen personvern og den sektoren som virksomheten opererer innenfor. Ombudet bør oppfordres til å ta kurs eller delta i nettverk, eller andre personvernrelaterte fora.

Jo mer komplekse og/eller sensitive behandlingene i en virksomhet er, jo mer ressurser bør et ombud ha. 

Hvordan sikre ombudets uavhengighet?

Virksomheten skal sikre at personvernombudet ikke mottar instrukser om utførelsen av oppgavene sine. 

Dette innebærer at ombudet ikke skal få instrukser om hva utfallet av en sak som er til vurdering hos ombudet skal være, hvordan ombudet skal undersøke en klage, eller hvorvidt ombudet skal rådføre seg med datatilsynsmyndigheten. Videre skal ombudet ikke instrueres i sitt syn på regelverket, for eksempel hvordan en personvernrelatert lovgivning skal tolkes.

Selv om en virksomhet har personvernombud er det fremdeles den behandlingsansvarlige som har det juridiske ansvaret for at personvernlovgivningen følges. Hvis det i virksomheten tas avgjørelser som kan være i strid med personvernlovgivningen, eller ikke tar hensyn til rådene fra personvernombudet, bør ombudet få mulighet til å legge fram sine vurderinger overfor de som skal ta avgjørelsen, og om nødvendig virksomhetens øverste ledelse. 

Ombudet skal ikke avskjediges eller på andre måter straffes for å utføre oppgaver i kraft av sin rolle. Dette er viktig for å sikre uavhengigheten til ombudet og dets oppgaver. Forbudet mot å avskjedige eller sanksjonere ombudet under personvernforordningen gjelder bare hvis de er gitt som et resultat av at ombudet utfører sine oppgaver som personvernombud.

Sanksjonering i denne sammenhengen kan være at et ombud ikke får karriereopprykk, høyere lønn eller andre goder som ansatte normalt nyter godt av, eller at det kommer trusler om dette.

For å unngå å komme opp i konflikter eller misforståelser rundt rollen og oppgavene til ombudet er det lurt å ha en arbeidsbeskrivelse som tydelig definerer arbeidsoppgaver og ansvarsforholdet mellom ombudet og virksomheten.

Hvordan unngå interessekonflikt i rollen som personvernombud?

Et personvernombud kan selvsagt også ha andre oppgaver og roller i virksomheten. Hvis det er tilfellet må virksomheten sikre at de andre oppgavene og pliktene ikke fører til interessekonflikt. Denne bestemmelsen er tett knyttet til forutsetningen om at ombudet skal kunne utføre sine oppgaver på en uavhengig måte.

Som hovedregel kan en person ikke være personvernombud og samtidig ha en rolle der hun skal bestemme formålet og måten personopplysninger skal behandles på. Hver enkelt virksomhet er forskjellig og må gjøre sine vurderinger for å sikre at ombudet unngår interessekonflikt i sine roller i virksomheten.

I mange tilfeller vil det føre til interessekonflikter å være personvernombud samtidig som man har en høy lederstilling (administrerende direktør, HR-sjef, IT-sjef osv.). Men også andre stillinger i organisasjonen kan føre til interessekonflikt hvis rollen innebærer å bestemme formålet eller måten behandlingen skal skje på.

For å unngå en interessekonflikt i rollen som personvernombud kan virksomheten ta følgende grep:

  1. kartlegge hvilke potensielle interessekonflikter ombudet kan møte i virksomheten
  2. identifisere stillinger som er uforenlige med personvernombudsrollen
  3. lage interne retningslinjer for å unngå interessekonflikter
  4. være tydelig i utlysningen av ombudsstillingen om hvilke roller og oppgaver vedkommende kan, eller ikke kan, ha som personvernombud

Kan sikkerhetsansvarlig være personvernombud?

Hovedregelen er at en person ikke kan være ombud og samtidig ha en rolle der hun skal bestemme formålet og måten personopplysninger skal behandles på. Hvis sikkerhetsansvarlig har fått delegert ansvar for å bestemme formål eller verktøyet som skal brukes for å behandle personopplysninger, kan hun ikke samtidig være personvernombud.

Hvis en sikkerhetsansvarlig ikke bestemmer formål og verktøy, men har som arbeidsoppgave å gi råd om sikkerhet kan vedkommende ha rollen som personvernombud, men her er det fort gjort å komme i interessekonflikt. En person som både er sikkerhetsansvarlig og personvernombud må ofte gjøre avveiinger mellom sikkerhetshensyn og personvernhensyn, for eksempel ved logging i et IT-system av sikkerhetsgrunner. I en slik situasjon kan vedkommende lett komme i en interessekonflikt. På den ene siden er det en styrke at personvernombudet har sikkerhetskompetanse, men på den annen side skal ombudet vurdere personvernhensynene på en uavhengig måte.

Hver enkelt virksomhet må gjøre sine vurderinger om hvorvidt ulike roller er forenlig i virksomheten, og eventuelt iverksette tiltak for å unngå eller håndtere interessekonflikter på en god måte. 

Hva er ombudets plikter?

I artikkel 39 gir forordningen en oversikt over hvilke oppgaver et personvernombud skal ha.

Informere og gi råd

Personvernombudet skal gi råd til den behandlingsansvarlige eller databehandleren og til de ansatte som utfører behandlingen av personopplysninger om de forpliktelsene virksomheten har etter personvernlovgivningen.

Kontrollere overholdelsen av personvernregelverket

Ombudet skal kontrollere overholdelsen av forordningen og andre relevante regelverk med personvernbestemmelser, samt virksomhetens egne interne retningslinjer for personvern. Som en del av dette kan ombudet ha følgende oppgaver:

  1. samle inn informasjon for å identifisere behandlingsaktiviteter
  2. analysere og sjekke at behandlingsaktivitetene er i tråd med regelverket
  3. informere, gi råd og anbefalinger for å sikre regelverketterlevelse
  4. foreslå ansvarsfordeling for oppgaver knyttet til ivaretakelse av personvernet i virksomheten
  5. gjennomføre holdningsskapende arbeid i virksomheten og opplæring av medarbeidere

Selv om personvernombudet har en rolle i å kontrollere etterlevelse etter regelverket, er det fremdeles den behandlingsansvarlige eller databehandleren som er ansvarlig for at personvernlovgivningen følges.

Gi råd om vurdering av personvernkonsekvenser (DPIA)

Personvernombudet skal på anmodning gi råd om vurderingen av personvernkonsekvenser (Data Protection Impact Assessment – DPIA) og kontrollere gjennomføringen av konsekvensvurderingene. Det er den behandlingsansvarlige, ikke personvernombudet, som har ansvaret for at slike vurderinger gjennomføres. Ombudet kan imidlertid ha en viktig rolle med å bistå den behandlingsansvarlige i disse vurderingene.

Artikkel 35 i forordningen pålegger behandlingsansvarlige å be om råd fra ombudet når man skal utføre en konsekvensvurdering. Den behandlingsansvarlige kan be om råd om følgende tema:

  1. om det er behov for å utføre en vurdering av personvernkonsekvenser
  2. hvilken metode som skal benyttes
  3. om konsekvensvurderingen skal gjøres internt eller ved hjelp av eksterne krefter
  4. hvilke sikkerhetstiltak (tekniske og organisatoriske) som bør tas for å minimere risiko
  5. hvorvidt konsekvensvurderingene er blitt gjennomført på riktig måte, og om konklusjonene er i tråd med regelverket

Samarbeide med Datatilsynet og fungere som kontaktpunkt

Personvernombudet skal samarbeide med datatilsynsmyndigheten og fungere som et kontaktpunkt for tilsynet ved spørsmål. Ved behov skal ombudet også kunne rådføre seg med tilsynet. Disse oppgavene understreker ombudets rolle som kontaktpunkt mellom virksomheten og tilsynsmyndigheten. Ombudet skal legge til rette for at tilsynet får den informasjonen det trenger for å utføre sine oppgaver og plikter, for eksempel i forbindelse med sin kontrollvirksomhet.

De registrerte skal på sin side kunne kontakte personvernombudet om alle spørsmål knyttet til behandling av deres opplysninger, og om utøvelsen av rettighetene de har i henhold til personvernforordningen.

Prioriter innsatsen dit hvor personvernrisikoen er høyest

Forordningen forutsetter at personvernombudet tar hensyn til risikoene forbundet med behandlingsaktivitetene sett i lys av behandlingens art, omfang, formål og sammenhengen den utføres i.  Dette betyr at innsatsen fra personvernombudet sin side naturlig nok i hovedsak bør rettes mot områder hvor risikoen for personvernet vurderes å være høyest.

Bidra til å få oversikt over behandlingene

Artikkel 30 i forordningen pålegger den behandlingsansvarlige eller databehandler å føre en oversikt over hvilke behandlinger av personopplysninger virksomheten har.

Den behandlingsansvarlige kan bestemme å gi ombudet flere oppgaver, så lenge det ikke oppstår interessekonflikt. Det å etablere en slik oversikt er en oppgave som ofte vil bli delegert til personvernombudet. En slik oversikt er da også et viktig verktøy for at personvernombudet skal kunne utføre sine oppgaver.