Personvernombudets oppgaver

Personvernombudets hovedoppgave er å informere og gi råd om de forpliktelsene virksomheten har etter personvernlovgivningen til den behandlingsansvarlige eller databehandleren, samt til de ansatte som utfører behandlingen av personopplysninger.

I personvernforordningens artikkel 39 gis det dessuten en oversikt over en rekke andre oppgaver et personvernombud har:

Kontrollere overholdelsen av personvernregelverket

Ombudet skal kontrollere overholdelsen av personvernlovgivningen og andre relevante regelverk med personvernbestemmelser, samt virksomhetens egne interne retningslinjer for personvern. Som en del av dette kan ombudet ha følgende oppgaver:

  • samle inn informasjon for å identifisere behandlingsaktiviteter
  • analysere og sjekke at behandlingsaktivitetene er i tråd med regelverket
  • informere, gi råd og anbefalinger for å sikre regelverketterlevelse
  • foreslå ansvarsfordeling for oppgaver knyttet til ivaretakelse av personvernet i virksomheten
  • gjennomføre holdningsskapende arbeid i virksomheten og opplæring av medarbeidere

Selv om personvernombudet har en rolle i å kontrollere etterlevelse etter regelverket, er det fremdeles den behandlingsansvarlige eller databehandleren som er ansvarlig for at personvernlovgivningen følges.

Gi råd om vurdering av personvernkonsekvenser (DPIA)

Personvernombudet skal på anmodning gi råd om vurderingen av personvernkonsekvenser (Data Protection Impact Assessment – DPIA) og kontrollere gjennomføringen av konsekvensvurderingene. Det er den behandlingsansvarlige, ikke personvernombudet, som har ansvaret for at slike vurderinger gjennomføres. Ombudet kan imidlertid ha en viktig rolle med å bistå den behandlingsansvarlige i disse vurderingene.

Artikkel 35 i forordningen pålegger den behandlingsansvarlige å be om råd fra ombudet når man skal utføre en konsekvensvurdering. Den behandlingsansvarlige kan be om råd om:

  • det er behov for å utføre en vurdering av personvernkonsekvenser
  • hvilken metode som skal benyttes
  • konsekvensvurderingen skal gjøres internt eller ved hjelp av eksterne krefter
  • hvilke sikkerhetstiltak (tekniske og organisatoriske) som bør tas for å minimere risiko
  • hvorvidt konsekvensvurderingene er blitt gjennomført på riktig måte, og om konklusjonene er i tråd med regelverket

Samarbeid med Datatilsynet og funksjon som kontaktpunkt

Personvernombudet skal samarbeide med Datatilsynet og fungere som et kontaktpunkt for tilsynet ved eventuelle spørsmål. Ved behov skal ombudet også kunne rådføre seg med tilsynet. Ombudet skal legge til rette for at Datatilsynet får den informasjonen det trenger for å utføre sine oppgaver og plikter, for eksempel i forbindelse med sin kontrollvirksomhet.

De registrerte skal på sin side kunne kontakte personvernombudet med alle spørsmål knyttet til behandling av deres opplysninger, og om utøvelsen av rettighetene de har i henhold til personvernlovgivningen.

Prioritert innsats der personvernrisikoen er høyest

Forordningen forutsetter at personvernombudet tar hensyn til risikoene forbundet med behandlingsaktivitetene sett i lys av behandlingens art, omfang, formål og sammenhengen den utføres i. Dette betyr at innsatsen fra personvernombudet sin side naturlig nok i hovedsak bør rettes mot områder hvor risikoen for personvernet vurderes å være høyest.

Bidra til å få oversikt over behandlingene i virksomheten

Artikkel 30 i forordningen pålegger den behandlingsansvarlige eller databehandleren å føre en oversikt over hvilke behandlinger av personopplysninger virksomheten har.
Den behandlingsansvarlige kan bestemme å gi ombudet flere oppgaver, så lenge det ikke oppstår interessekonflikt. Det å etablere en slik oversikt er en oppgave som ofte vil bli delegert til personvernombudet. En slik oversikt er da også et viktig verktøy for at personvernombudet skal kunne utføre sine oppgaver.

23