Hva gjør et personvernombud?
Det er viktig at personvernombudet har en uavhengig rolle i virksomheten. Rollen kan ofte innebære doble lojaliteter, siden den både har en støttende og en kontrollerende funksjon. Personvernombudet skal både bidra til at lover og regler i GDPR følges, og samtidig være en kobling mellom virksomheten og Datatilsynet. For å klare dette kreves det en høy forståelse av virksomheten og hvordan dere behandler personopplysninger.
Husk at det ikke er mulig å overføre selve ansvaret for personopplysningene til en enkeltperson selv om virksomheten ansetter eller leier inn et personvernombud. Personvernombudet er ikke personlig ansvarlig for etterlevelsen av reglene. Ansvaret ligger hos den behandlingsansvarlige, altså virksomheten som juridisk person.
Personvernombudets hovedoppgaver
I henhold til artikkel 39 (1) i GDPR skal personvernombudet utføre en rekke grunnleggende oppgaver:
- Gi informasjon og råd til virksomheten om dens forpliktelser etter relevant personvernlovgivning
- Overvåke og sikre at virksomheten følger både gjeldende lover og regler samt virksomhetens egne strategier
- Gi råd om og kontrollere gjennomføring av personvernkonsekvensvurderinger
- Samarbeide med og være kontaktpunkt for Datatilsynet eller annen relevant tilsynsmyndighet
Ønsker du en dypere forståelse av rollen som personvernombud? Last ned vårt faktablad!
En viktig del av rollen er at ombudet tar hensyn til risikoene som er knyttet til hver behandling innenfor virksomheten. I praksis blir personvernombudet ofte ansvarlig for operative oppgaver som å:
- initiere, revidere og følge opp arbeidet med personvernspørsmål
- koordinere behandlingsprotokollen
- støtte i utarbeidelsen av rutiner og retningslinjer for virksomheten
- initiere analysearbeidet og delta i vurderinger av personvernkonsekvenser (DPIA)
- være med på å utforme databehandleravtaler når det er behov for det
- håndtere brudd på personopplysningssikkerheten
Vi anbefaler at hver virksomhet lager en stillingsbeskrivelse som konkretiserer forventningene til ombudet. Da bør rollen som personvernombud være kontrollerende, lignende en revisor. Hvis vedkommende samtidig skal utføre arbeidet og ta beslutninger angående personvernspørsmål, kan ombudet i et senere stadium trenge å granske seg selv, noe som ikke er hensiktsmessig. Personvernombudet bør derfor eksempelvis ikke være den som bestemmer formål og middel for behandlingen av personopplysninger, eller være den som signerer en databehandleravtale.
Virker dette vanskelig? Vi hjelper dere!
I GDPR-jungelen er vi gjerne deres hjelpende hånd. Med tjenesten Privacy as a Service får dere en kombinasjon av våre verktøy og rådgivning etter vår metode Systematisk Personvernarbeid (SPA) – som inneholder fire deler:
- Analyse av hvordan arbeidet med personvern ser ut i dag
- Identifisering av risikoområder
- Tiltaksforslag og anbefalinger fra et sertifisert personvernombud
- Kontinuerlig oppfølgning