Personvernombud
-
Ja, da må det nye ombudet registreres i Altinn.
-
Det er kun mulig å ha ett ombud per virksomhet. Personvernombudet kan være ansatt i virksomheten eller eksternt engasjert.
Virksomheten imidlertid står fritt til å gi flere medarbeidere personvernrelaterte oppgaver, gjerne knyttet opp mot personvernombudet. Virksomheten kan også kjøpe inn eksterne ombudstjenester for å avhjelpe et internt ombud dersom det er ønskelig. Hvis en virksomhet velger å fordele personvernarbeidet på flere personer, internt eller eksternt, er det viktig at ansvar og roller er avklart. Da er det viktig at det er avklart hvem som er utnevnt som personvernombud, og hvilke roller og oppgaver andre med personvernfunksjoner tilknyttet ombudet har.
-
Som ombud må du si i fra til ledelsen om bruddene. Dersom ledelsen ikke er lydhør overfor ombudet sine synspunkt, kan du spørre Datatilsynet om konkrete råd. Ordningen mister sin verdi dersom ledelsen ikke respekterer ombudets funksjon eller ikke tar ombudet på alvor.
Skulle situasjonen fremdeles være fastlåst, og du opplever at din rolle ikke blir tilstrekkelig respektert, anbefaler vi at du vurderer å trekke deg som ombud.
Les mer om personvernombudets oppgaver eller gå til vår samleside der du finner all informasjonen vår om personvernombudets rolle
-
Dersom virksomheten er etablert i Norge, er det norsk lov som gjelder. Det er ingenting i veien for at ombudet kan være utenlandsk eller bosatt i utlandet, men det er viktig at ombudene snakker/forstår ett skandinavisk språk, slik at de kan kommunisere med de registrerte.
-
Ja. Datatilsynet oppfordrer alle virksomheter som gjør en omfattende innsamling og bruk av personopplysninger, eller som behandler opplysninger som er særlig beskyttelsesverdige, å opprette et personvernombud. Dette gjelder også de som ikke er pålagt å gjøre det. Vær da oppmerksom på at dersom dere oppretter ombud på frivillig initiativ, vil regelverkets bestemmelser gjelde på lik linje som for lovpålagte ombud. Et personvernombud er, uansett om det er pålagt eller frivillig, utnevnt for å ha oversikt over alle behandlingene av personopplysninger som skjer i virksomheten.
En virksomhet står selvfølgelig fritt til å ansette eller leie inn arbeidskraft for å ivareta personvernet uten at disse personene har rollen som personvernombud. I slike tilfeller er det viktig at det kommer tydelig fram, både innad og utad i virksomheten, at tittelen, oppgavene og rollen til disse ikke skal forveksles med et personvernombud.
-
Både den behandlingsansvarlige og databehandler er pålagt å ha personvernombud hvis kriteriene i forordningens artikkel 37 er oppfylt. Avhengig av hvem som oppfyller kriteriene kan dermed begge være pålagt å ha personvernombud, eller bare behandlingsansvarlig eller bare databehandleren.
Et eksempel:
En liten familiebedrift selger hvitevarer og kjøper tjenester av et webanalysebyrå for å tilby målrettet reklame på nettsiden sin. Familiebedriften sin behandling av personopplysninger er såpass begrenset at det ikke faller inn under begrepet «stor skala». Webanalysebyrået derimot har så mange forskjellige kunder at dette til sammen tilsvarer behandling av personopplysninger i stor skala. I dette tilfellet skal webanalysebyrået utnevne personvernombud, mens familiebedriften ikke har den samme plikten.
-
Ja. Flere offentlige myndigheter eller organer kan utnevne et felles ombud på vegne av flere. Dette forutsetter imidlertid at det er forsvarlig ut fra virksomhetenes struktur og størrelse, og ikke minst ut fra omfang og kompleksitet når det gjelder de personopplysningene som behandles.
Et konsern kan dessuten oppnevne ett felles personvernombud, forutsatt at alle virksomhetene innen konsernet har enkel tilgang til vedkommende.
-
Personvernombudet kan enten være ansatt i virksomheten eller være en ekstern person som utfører oppgavene på grunnlag av en tjenesteavtale.
En fordel med å ha et ombud internt i virksomheten er at medarbeideren ofte kjenner virksomheten bedre, og dermed lettere kan fange opp problemstillinger som oppstår underveis.
En fordel med eksterne ombud kan imidlertid være at ombudet gjerne har bred erfaring og kunnskap som kan være en fordel for virksomheter som opplever at det er utfordrende å tilegne seg den nødvendige kompetansen.
Hvis ombudet er internt må vedkommende være det som gjerne kalles en fysisk person (et menneske, til forskjell fra det som kalles en «juridisk person» eller en organisasjonsenhet). Også der personvernombudsrollen ivaretas av en ekstern leverandør må det tilbys en fysiske kontaktperson for virksomheten som leverandøren av tjenesten ivaretar ombudsrollen på vegne av.
-
Virksomheten skal offentliggjøre kontaktopplysningene til personvernombudet. For de fleste virksomheter vil det være mest naturlig å publisere ombudets kontaktinformasjon på egne nettsider. Dette er for å sikre at de registrerte, både ansatte, kunder og andre, enkelt kan kontakte ombudet.
Kontaktopplysningene til ombudet bør bestå av informasjon som gjør det enkelt å komme i kontakt med ombudet (f.eks. telefonnummer og/eller e-postadresse direkte til ombudet, kontaktskjema på nettsiden, samt postadresse).
I tillegg krever regelverket at kontaktopplysningene til ombudet opplyses om i følgende tilfeller:
-
Ved melding til tilsynsmyndigheten om brudd på personopplysningssikkerheten (forordningens artikkel 33)
-
Hvis virksomheten rådfører seg med Datatilsynet om DPIA (forordningens artikkel 36)
-
Når virksomheten gir informasjon om behandling til den registrerte (forordningens artikler 13 og 14).
Virksomheten skal også registrere kontaktopplysningene til ombudet hos Datatilsynet via Altinn.
-
-
Hovedregelen er at en person ikke kan være personvernombud og samtidig ha en rolle der formål og måten personopplysninger skal behandles på, skal bestemmes. Hvis sikkerhetsansvarlig har fått delegert ansvar for å bestemme formål eller verktøy som skal brukes for å behandle personopplysninger, kan vedkommende ikke samtidig være personvernombud.
Hvis en sikkerhetsansvarlig ikke bestemmer formål og verktøy, men har som arbeidsoppgave å gi råd om sikkerhet, kan vedkommende ha rollen som personvernombud, men her er det fort gjort å komme i interessekonflikt. En person som både er sikkerhetsansvarlig og personvernombud må ofte gjøre avveiinger mellom sikkerhetshensyn og personvernhensyn, for eksempel ved logging i et IT-system av sikkerhetsgrunner. På den ene siden er det en styrke at personvernombudet har sikkerhetskompetanse, men på den annen side skal ombudet vurdere personvernhensynene på en uavhengig måte.
Hver enkelt virksomhet må gjøre sine vurderinger om hvorvidt ulike roller er forenlig i virksomheten, og eventuelt iverksette tiltak for å unngå eller håndtere interessekonflikter på en god måte.
-
I personopplysningslovens §18 står det at personvernombud har plikt til å hindre at andre får adgang eller kjennskap til det de i forbindelse med utførelsen av sine oppgaver får vite om:
a) noens personlige forhold
b) tekniske innretninger, produksjonsmetoder, forretningsmessige analyser og beregninger og forretningshemmeligheter ellers når opplysningene er av en slik art at andre kan utnytte dem i sin egen næringsvirksomhet
c) sikkerhetstiltak etter personvernforordningen artikkel 32
d) enkeltpersoners varsling om overtredelser av loven her
Taushetsplikten gjelder også overfor behandlingsansvarlig og andre ansatte i virksomheten. Taushetsplikten gjelder ikke dersom personvernombudet får samtykke fra den opplysningene gjelder til å legge dem frem, eller dette er nødvendig for gjennomføring av personvernombudets lovpålagte oppgaver.
Taushetsplikten gjelder også etter at personvernombudet har avsluttet tjenesten eller arbeidet. Opplysninger ombudet har fått kjennskap til i rollen som ombud kan heller ikke utnyttes i egen virksomhet eller i tjeneste eller arbeid for andre.
-
Nei,behandlingsansvarlig har ansvaret for at virksomheten behandler
personopplysninger etter regelverket. Personvernombudet har en rådgivende og kontrollerende rolle. -
Det er den behandlingsansvarlige som er pliktig og ansvarlig for å melde inn avvik. Ofte vil personvernombudet bli konsultert i slike situasjoner, og det kan kanskje også være naturlig at ombudet melder inn avvik til Datatilsynet. Det er altså opp til hver enkelt virksomhet å selv bestemme hvem som skal melde inn avvik.
-
Vår erfaring er at dette varierer fra virksomhet til virksomhet. Noen store og dataintensive virksomheter har ombud på fulltid, med en gruppe medarbeidere rundt seg. Andre virksomheter behandler personopplysninger i begrenset omfang og har et ombud i 20 prosent stilling.
Omfang og sensitiviteten av dataene, samt kompleksiteten (for eksempel type behandlinger eller antall IT-systemer) bør være førende for hvor mye ressurser virksomheten bruker på ombudstillingen. Erfaringsmessig kan det være mer jobb i starten for å få oversikt, etablere eller oppdatere rutiner og systemer, samt opplæring.
-
Adresseopplysningene hentes fra Enhetsregisteret i Brønnøysund og benyttes av mange aktører. Sørg derfor for å oppdatere der. Vi vasker våre registre mot det som er registrert i Enhetsregisteret.
-
Det er virksomhetens offisielle postmottakadresse som skal fylles inn i skjemafeltet.
Personvernombudet vil motta en bekreftelsesmail på den epostadressen dere registrerer for ombudet i skjemaet.
-
Det lar seg dessverre ikke gjøre. Det er ikke et fritekstfelt for postadresse i registreringen, for å sikre at det kan kjøres en vask mot offisielle postadresser.
Mange virksomheter løser dette ved å opprette en underenhet under det juridiske organisasjonsnummeret i Altinn, slik at postadressen til den enheten hvor personvernombudet er lokalisert kan benyttes.
-
Det er personvernombudets kontaktopplysninger som skal meddeles til tilsynsvirksomheten (jf. personvernforordningen artikkel 37). Vi har derfor ikke lagt til rette for registrering av kontaktopplysninger knyttet til andre personer eller roller hos den behandlingsansvarlige.
-
Det lar seg dessverre ikke gjøre. Den enkelte behandlingsansvarlige må sende hver sin separate melding.
-
Personvernombud med ikke-norsk postadresse kan ikke meldes via Altinn. Send en epost til og oppgi både virksomhetens og personvernombudets navn og kontaktopplysninger. Vi vil sørge for at dette blir manuelt registrert.