Hopp til innhold

Personvernombudet ved Folkehelseinstituttet

Publisert Oppdatert


Personvernombudet skal bistå behandlingsansvarlig i arbeidet med å ivareta personvernet, etter personvernforordningen og personopplysningsloven.


Internkontroll

Helseforskningslovens § 6 og helseregisterlovens § 17 stiller krav til at den som behandler personopplysninger skal etablere et system for internkontroll. Dette innebærer at virksomhetene må iverksette systematiske tiltak og rutiner for å sørge for at lovene og tilhørende regelverk er kjent og følges. Virksomheten må også kunne dokumentere hvilke rutiner som ligger til grunn for behandlingen av personopplysninger. Ombudets rolle vil være å bistå behandlingsansvarlig, Folkehelseinstituttet, dersom det oppstår vanskeligheter eller spørsmål.

Personvernombudet skal:

  • informere og gi råd til den behandlingsansvarlige eller databehandleren og de ansatte som utfører behandlingen, om de forpliktelsene de har
  • kontrollere overholdelsen av forordning, lov, forskrift og retningslinjer, herunder fordeling av ansvar, holdningsskapende tiltak og opplæring
  • på anmodning gi råd om vurderingen av personvernkonsekvenser og kontrollere gjennomføringen av den,
  • samarbeide med Datatilsynet,
  • fungere som kontaktpunkt for Datatilsynet ved spørsmål om behandlingen, herunder forhåndsdrøftingene nevnt i forordningens artikkel 36, og ved behov rådføre seg med Datatilsynet om eventuelle andre spørsmål.

Etablering av personvernombud fritar ikke behandlingsansvarlig fra ansvaret for at reglene i personopplysningsloven overholdes.

Nærmere om de enkelte oppgavene

Informere og gi råd

Personvernombudet skal gi råd til den behandlingsansvarlige eller databehandleren og til de ansatte som utfører behandlingen av personopplysninger om de forpliktelsene virksomheten har etter personvernlovgivningen.

Kontrollere overholdelsen av personvernregelverket

Ombudet skal kontrollere overholdelsen av forordningen og andre relevante regelverk med personvernbestemmelser, samt virksomhetens egne interne retningslinjer for personvern. Som en del av dette kan ombudet ha følgende oppgaver:

  1. samle inn informasjon for å identifisere behandlingsaktiviteter
  2. analysere og sjekke at behandlingsaktivitetene er i tråd med regelverket
  3. informere, gi råd og anbefalinger for å sikre regelverketterlevelse
  4. foreslå ansvarsfordeling for oppgaver knyttet til ivaretakelse av personvernet i virksomheten
  5. gjennomføre holdningsskapende arbeid i virksomheten og opplæring av medarbeidere

Selv om personvernombudet har en rolle i å kontrollere etterlevelse etter regelverket, er det fremdeles den behandlingsansvarlige eller databehandleren som er ansvarlig for at personvernlovgivningen følges.

Gi råd om vurdering av personvernkonsekvenser (DPIA)

Personvernombudet skal på anmodning gi råd om vurderingen av personvernkonsekvenser (Data Protection Impact Assessment – DPIA) og kontrollere gjennomføringen av konsekvensvurderingene. Det er den behandlingsansvarlige, ikke personvernombudet, som har ansvaret for at slike vurderinger gjennomføres. Ombudet kan imidlertid ha en viktig rolle med å bistå den behandlingsansvarlige i disse vurderingene.

Artikkel 35 i forordningen pålegger behandlingsansvarlige å be om råd fra ombudet når man skal utføre en konsekvensvurdering. Den behandlingsansvarlige kan be om råd om følgende tema:

  1. om det er behov for å utføre en vurdering av personvernkonsekvenser
  2. hvilken metode som skal benyttes
  3. om konsekvensvurderingen skal gjøres internt eller ved hjelp av eksterne krefter
  4. hvilke sikkerhetstiltak (tekniske og organisatoriske) som bør tas for å minimere risiko
  5. hvorvidt konsekvensvurderingene er blitt gjennomført på riktig måte, og om konklusjonene er i tråd med regelverket

Samarbeide med Datatilsynet og fungere som kontaktpunkt

Personvernombudet skal samarbeide med datatilsynsmyndigheten og fungere som et kontaktpunkt for tilsynet ved spørsmål. Ved behov skal ombudet også kunne rådføre seg med tilsynet. Disse oppgavene understreker ombudets rolle som kontaktpunkt mellom virksomheten og tilsynsmyndigheten. Ombudet skal legge til rette for at tilsynet får den informasjonen det trenger for å utføre sine oppgaver og plikter, for eksempel i forbindelse med sin kontrollvirksomhet.

De registrerte skal på sin side kunne kontakte personvernombudet om alle spørsmål knyttet til behandling av deres opplysninger, og om utøvelsen av rettighetene de har i henhold til personvernforordningen.

Prioritere innsatsen dit hvor personvernrisikoen er høyest

Forordningen forutsetter at personvernombudet tar hensyn til risikoene forbundet med behandlingsaktivitetene sett i lys av behandlingens art, omfang, formål og sammenhengen den utføres i.  Dette betyr at innsatsen fra personvernombudet sin side naturlig nok i hovedsak bør rettes mot områder hvor risikoen for personvernet vurderes å være høyest.

Bidra til å få oversikt over behandlingene

Artikkel 30 i forordningen pålegger den behandlingsansvarlige eller databehandler å føre en oversikt over hvilke behandlinger av personopplysninger virksomheten har.

Den behandlingsansvarlige kan bestemme å gi ombudet flere oppgaver, så lenge det ikke oppstår interessekonflikt. Det å etablere en slik oversikt er en oppgave som ofte vil bli delegert til personvernombudet. En slik oversikt er da også et viktig verktøy for at personvernombudet skal kunne utføre sine oppgaver.