Det er viktig at personvernombudet har en uavhengig rolle i virksomheten. Rollen kan ofte innebære doble lojaliteter, siden den både har en støttende og en kontrollerende funksjon. Personvernombudet skal både bidra til at lover og regler i GDPR følges, og samtidig være en kobling mellom virksomheten og Datatilsynet. For å klare dette kreves det en høy forståelse av virksomheten og hvordan dere behandler personopplysninger.
Husk at det ikke er mulig å overføre selve ansvaret for personopplysningene til en enkeltperson selv om virksomheten ansetter eller leier inn et personvernombud. Personvernombudet er ikke personlig ansvarlig for etterlevelsen av reglene. Ansvaret ligger hos den behandlingsansvarlige, altså virksomheten som juridisk person.
I henhold til artikkel 39 (1) i GDPR skal personvernombudet utføre en rekke grunnleggende oppgaver:
Ønsker du en dypere forståelse av rollen som personvernombud? Last ned vårt faktablad!
En viktig del av rollen er at ombudet tar hensyn til risikoene som er knyttet til hver behandling innenfor virksomheten. I praksis blir personvernombudet ofte ansvarlig for operative oppgaver som å:
Vi anbefaler at hver virksomhet lager en stillingsbeskrivelse som konkretiserer forventningene til ombudet. Da bør rollen som personvernombud være kontrollerende, lignende en revisor. Hvis vedkommende samtidig skal utføre arbeidet og ta beslutninger angående personvernspørsmål, kan ombudet i et senere stadium trenge å granske seg selv, noe som ikke er hensiktsmessig. Personvernombudet bør derfor eksempelvis ikke være den som bestemmer formål og middel for behandlingen av personopplysninger, eller være den som signerer en databehandleravtale.
I GDPR-jungelen er vi gjerne deres hjelpende hånd. Med tjenesten Privacy as a Service får dere en kombinasjon av våre verktøy og rådgivning etter vår metode Systematisk Personvernarbeid (SPA) – som inneholder fire deler: