Risikobasert tilnærming og uavhengig rolle
Forordningen forutsetter at personvernombudet tar hensyn til risikoene forbundet med behandlingsaktivitetene sett i lys av behandlingens art, omfang, formål og sammenhengen den utføres i.
Det betyr at innsatsen bør legges der ombudet selv vurderer at risikoen for personvernet kan være størst. Det trenger ofte ikke være det samme som ledelsen mener at ombudet bør bruke tiden sin på. Dette er noe personvernombudet selv skal bestemme innen de ressursene og den tiden man har fått til disposisjon til sin uavhengige rolle som ombud.
Informere og gi råd
Personvernombudets hovedoppgave er å gi råd overfor ledelse og medarbeidere i virksomheten om hvordan man som behandlingsansvarlig (eller databehandler) best kan etterleve personvernlovgivningen. Dette er derfor den aktiviteten som ombudet normalt vil bruke det meste av tiden sin på.
Personvernombudet har en rent rådgivende og uavhengig rolle, og bestemmer derfor ikke noe på vegne av virksomheten. Beslutninger og det tilhørende ansvaret, er det den behandlingsansvarlige som skal ta. Ikke personvernombudet.
Kontrollere overholdelsen av personvernregelverket
Ombudet skal ikke bare informere og gi råd, men også kontrollere overholdelsen av personvernlovgivningen og andre relevante regelverk med personvernbestemmelser, samt virksomhetens egne interne retningslinjer for personvern. Som en del av dette kan ombudet ha følgende oppgaver:
- Samle inn informasjon for å identifisere behandlingsaktiviteter
- Analysere og sjekke at behandlingsaktivitetene er i tråd med regelverket
- Informere, gi råd og anbefalinger for å sikre regelverketterlevelse
- Foreslå ansvarsfordeling for oppgaver knyttet til ivaretakelse av personvernet i virksomheten
- Kontrollere (og selvsagt gjerne også bistå i) at det blir gjennomført holdningsskapende arbeid og opplæring av medarbeidere.
Selv om personvernombudet har en rolle i å kontrollere etterlevelse etter regelverket, er det fremdeles den behandlingsansvarlige eller databehandleren som fullt ut er ansvarlig for at personvernlovgivningen følges.
Gi råd om vurdering av personvernkonsekvenser (DPIA)
Personvernombudet skal på anmodning gi råd om vurderingen av personvernkonsekvenser (Data Protection Impact Assessment – DPIA) og kontrollere gjennomføringen av konsekvensvurderingene. Det er den behandlingsansvarlige, ikke personvernombudet, som har ansvaret for at slike vurderinger gjennomføres.
Den behandlingsansvarlige har etter personvernforordningen plikt til å be om råd fra ombudet når det skal utføres en konsekvensvurdering (artikkel 35 i forordningen, lovdata.no). Den behandlingsansvarlige kan be om råd om:
- det er behov for å utføre en vurdering av personvernkonsekvenser
- hvilken metode som skal benyttes
- konsekvensvurderingen skal gjøres internt eller ved hjelp av eksterne krefter
- hvilke sikkerhetstiltak (tekniske og organisatoriske) som bør tas for å minimere risiko
- hvorvidt konsekvensvurderingene er blitt gjennomført på riktig måte, og om konklusjonene er i tråd med regelverket
Samarbeid med Datatilsynet og kontaktpunkt for de registrerte
Personvernombudet skal samarbeide med Datatilsynet og fungere som et kontaktpunkt for tilsynet ved eventuelle spørsmål. Ved behov skal ombudet også kunne rådføre seg med tilsynet. Ombudet skal legge til rette for at Datatilsynet får den informasjonen tilsynet trenger for å utføre sine oppgaver og plikter, for eksempel i forbindelse med kontrollvirksomheten.
De registrerte skal på sin side kunne kontakte personvernombudet med alle spørsmål knyttet til behandlingen av opplysninger, og om utøvelsen av rettighetene de har i henhold til personvernlovgivningen.
Det er derfor avgjørende viktig at ombudets kontaktopplysninger blir gjort tilgjengelig for de registrerte. Det kan naturlig gjøres i en personvernerklæring eller andre steder på virksomhetens nettsider. Også kundemottak og sentralbordbetjening må ha god kjennskap til hva personvernombudsrollen innebærer, slik at de kan sette de registrerte i kontakt med ombudet når det er naturlig.