Personvernombudet ved Folkehelseinstituttet
Artikkel
|Oppdatert
Personvernombudet skal bistå behandlingsansvarlig i arbeidet med å ivareta personvernet, etter personvernforordningen og personopplysningsloven.
Personvernombudets ansvar
- informere og gi råd til den behandlingsansvarlige eller databehandleren og de ansatte som utfører behandlingen, om de forpliktelsene de har
- kontrollere overholdelsen av forordning, lov, forskrift og retningslinjer, herunder fordeling av ansvar, holdningsskapende tiltak og opplæring
- på anmodning gi råd om vurderingen av personvernkonsekvenser og kontrollere gjennomføringen av den
- samarbeide med Datatilsynet
- fungere som kontaktpunkt for Datatilsynet ved spørsmål om behandlingen, herunder forhåndsdrøftingene nevnt i forordningens artikkel 36, og ved behov rådføre seg med Datatilsynet om eventuelle andre spørsmål.
Etablering av personvernombud fritar ikke behandlingsansvarlig fra ansvaret for at reglene i personvernreglene overholdes.
Nærmere om de enkelte oppgavene
Informere og gi råd
Personvernombudet skal gi råd til den behandlingsansvarlige eller databehandleren og til de ansatte som utfører behandlingen av personopplysninger om de forpliktelsene virksomheten har etter personvernlovgivningen.
Kontrollere overholdelsen av personvernregelverket
Ombudet skal kontrollere overholdelsen av forordningen og andre relevante regelverk med personvernbestemmelser, samt virksomhetens egne interne retningslinjer for personvern. Som en del av dette kan ombudet ha følgende oppgaver:
- samle inn informasjon for å identifisere behandlingsaktiviteter
- analysere og sjekke at behandlingsaktivitetene er i tråd med regelverket
- informere, gi råd og anbefalinger for å sikre regelverketterlevelse
- foreslå ansvarsfordeling for oppgaver knyttet til ivaretakelse av personvernet i virksomheten
- gjennomføre holdningsskapende arbeid i virksomheten og opplæring av medarbeidere
Selv om personvernombudet har en rolle i å kontrollere etterlevelse etter regelverket, er det fremdeles den behandlingsansvarlige eller databehandleren som er ansvarlig for at personvernlovgivningen følges.
Gi råd om vurdering av personvernkonsekvenser (DPIA)
Personvernombudet skal på anmodning gi råd om vurderingen av personvernkonsekvenser (Data Protection Impact Assessment – DPIA) og kontrollere gjennomføringen av konsekvensvurderingene. Det er den behandlingsansvarlige, ikke personvernombudet, som har ansvaret for at slike vurderinger gjennomføres. Ombudet kan imidlertid ha en viktig rolle med å bistå den behandlingsansvarlige i disse vurderingene.
Artikkel 35 i forordningen pålegger behandlingsansvarlige å be om råd fra ombudet når man skal utføre en konsekvensvurdering. Den behandlingsansvarlige kan be om råd om følgende tema:
- om det er behov for å utføre en vurdering av personvernkonsekvenser
- hvilken metode som skal benyttes
- om konsekvensvurderingen skal gjøres internt eller ved hjelp av eksterne krefter
- hvilke sikkerhetstiltak (tekniske og organisatoriske) som bør tas for å minimere risiko
- hvorvidt konsekvensvurderingene er blitt gjennomført på riktig måte, og om konklusjonene er i tråd med regelverket
Samarbeide med Datatilsynet og fungere som kontaktpunkt
Personvernombudet skal samarbeide med datatilsynsmyndigheten og fungere som et kontaktpunkt for tilsynet ved spørsmål. Ved behov skal ombudet også kunne rådføre seg med tilsynet. Disse oppgavene understreker ombudets rolle som kontaktpunkt mellom virksomheten og tilsynsmyndigheten. Ombudet skal legge til rette for at tilsynet får den informasjonen det trenger for å utføre sine oppgaver og plikter, for eksempel i forbindelse med sin kontrollvirksomhet.
De registrerte skal på sin side kunne kontakte personvernombudet om alle spørsmål knyttet til behandling av deres opplysninger, og om utøvelsen av rettighetene de har i henhold til personvernforordningen.
Prioritere innsatsen dit hvor personvernrisikoen er høyest
Forordningen forutsetter at personvernombudet tar hensyn til risikoene forbundet med behandlingsaktivitetene sett i lys av behandlingens art, omfang, formål og sammenhengen den utføres i. Dette betyr at innsatsen fra personvernombudets side i hovedsak bør rettes mot områder hvor risikoen for personvernet vurderes å være høyest.
Bidra til å få oversikt over behandlingene
Artikkel 30 i forordningen pålegger den behandlingsansvarlige eller databehandler å føre en oversikt over hvilke behandlinger av personopplysninger virksomheten har. En slik oversikt er da også et viktig verktøy for at personvernombudet skal kunne utføre sine oppgaver.