Hva er ombudets plikter?

I artikkel 39 gir forordningen en oversikt over hvilke oppgaver et personvernombud skal ha.

Informere og gi råd

Personvernombudet skal gi råd til den behandlingsansvarlige eller databehandleren og til de ansatte som utfører behandlingen av personopplysninger om de forpliktelsene virksomheten har etter personvernlovgivningen.

Kontrollere overholdelsen av personvernregelverket

Ombudet skal kontrollere overholdelsen av forordningen og andre relevante regelverk med personvernbestemmelser, samt virksomhetens egne interne retningslinjer for personvern. Som en del av dette kan ombudet ha følgende oppgaver:

  1. samle inn informasjon for å identifisere behandlingsaktiviteter
  2. analysere og sjekke at behandlingsaktivitetene er i tråd med regelverket
  3. informere, gi råd og anbefalinger for å sikre regelverketterlevelse
  4. foreslå ansvarsfordeling for oppgaver knyttet til ivaretakelse av personvernet i virksomheten
  5. gjennomføre holdningsskapende arbeid i virksomheten og opplæring av medarbeidere

Selv om personvernombudet har en rolle i å kontrollere etterlevelse etter regelverket, er det fremdeles den behandlingsansvarlige eller databehandleren som er ansvarlig for at personvernlovgivningen følges.

Gi råd om vurdering av personvernkonsekvenser (DPIA)

Personvernombudet skal på anmodning gi råd om vurderingen av personvernkonsekvenser (Data Protection Impact Assessment – DPIA) og kontrollere gjennomføringen av konsekvensvurderingene. Det er den behandlingsansvarlige, ikke personvernombudet, som har ansvaret for at slike vurderinger gjennomføres. Ombudet kan imidlertid ha en viktig rolle med å bistå den behandlingsansvarlige i disse vurderingene.

Artikkel 35 i forordningen pålegger behandlingsansvarlige å be om råd fra ombudet når man skal utføre en konsekvensvurdering. Den behandlingsansvarlige kan be om råd om følgende tema:

  1. om det er behov for å utføre en vurdering av personvernkonsekvenser
  2. hvilken metode som skal benyttes
  3. om konsekvensvurderingen skal gjøres internt eller ved hjelp av eksterne krefter
  4. hvilke sikkerhetstiltak (tekniske og organisatoriske) som bør tas for å minimere risiko
  5. hvorvidt konsekvensvurderingene er blitt gjennomført på riktig måte, og om konklusjonene er i tråd med regelverket

Samarbeide med Datatilsynet og fungere som kontaktpunkt

Personvernombudet skal samarbeide med datatilsynsmyndigheten og fungere som et kontaktpunkt for tilsynet ved spørsmål. Ved behov skal ombudet også kunne rådføre seg med tilsynet. Disse oppgavene understreker ombudets rolle som kontaktpunkt mellom virksomheten og tilsynsmyndigheten. Ombudet skal legge til rette for at tilsynet får den informasjonen det trenger for å utføre sine oppgaver og plikter, for eksempel i forbindelse med sin kontrollvirksomhet.

De registrerte skal på sin side kunne kontakte personvernombudet om alle spørsmål knyttet til behandling av deres opplysninger, og om utøvelsen av rettighetene de har i henhold til personvernforordningen.

Prioriter innsatsen dit hvor personvernrisikoen er høyest

Forordningen forutsetter at personvernombudet tar hensyn til risikoene forbundet med behandlingsaktivitetene sett i lys av behandlingens art, omfang, formål og sammenhengen den utføres i.  Dette betyr at innsatsen fra personvernombudet sin side naturlig nok i hovedsak bør rettes mot områder hvor risikoen for personvernet vurderes å være høyest.

Bidra til å få oversikt over behandlingene

Artikkel 30 i forordningen pålegger den behandlingsansvarlige eller databehandler å føre en oversikt over hvilke behandlinger av personopplysninger virksomheten har.

Den behandlingsansvarlige kan bestemme å gi ombudet flere oppgaver, så lenge det ikke oppstår interessekonflikt. Det å etablere en slik oversikt er en oppgave som ofte vil bli delegert til personvernombudet. En slik oversikt er da også et viktig verktøy for at personvernombudet skal kunne utføre sine oppgaver.