Hva slags kvalifikasjoner må ombudet ha?

Regelverket stiller ingen spesifikke krav når det kommer til utdanningsbakgrunn eller sertifiseringer, men det stilles tydelige krav til kompetanse og egnethet for de oppgaver ombudet skal gjøre for virksomheten. 

Ombudet skal utpekes på grunnlag av:

  1. Faglige kvalifikasjoner. Ombudets faglige kvalifikasjoner bør stå i forhold til omfattende behandling av personopplysninger virksomheten har, og hvor sensitive og komplekse opplysningene er. Hvis en virksomhet behandler komplekse data eller overfører data i stor skala til tredjeland er det ekstra viktig å utnevne et personvernombud med sterk faglig tyngde.
  2. Dybdekunnskap om personvernlovgivning og praksis på området.Personvernombudet forventes å ha oversikt over, og å gi råd om, rammene for etterlevelse av både forordningen og annet relevant regelverk som inneholder personvernbestemmelser av betydning for virksomheten. Behovet for dybdekunnskap om tilstøtende regelverk vil naturlig nok variere. I noen tilfeller vil det ikke være annet relevant regelverk, mens for andre vil det være sektorspesifikk lovgivning som kan ha bestemmelser av betydning for personvernet. Det er også en fordel at ombudet erfaring fra og kjennskap til sektoren. Ombudet bør også ha en god forståelse av behandlingsaktivitetene, IT-systemene, informasjonssikkerhet og personvernbehovene i virksomheten.
  3. Evne til å utføre oppgavene sine. Dette referer både til personlige kvaliteter og kunnskap, men også til ombudets posisjon i virksomheten. Når det kommer til personlige kvaliteter er det relevant å vurdere integritet og evne til å gjøre etiske vurderinger, samt evnen til å stimulere resten av virksomheten til å behandle personopplysninger i tråd med regelverket.