Hva gjør et personvernombud? GDPR-krav, ansvar og når det gjelder deg

Et personvernombud har en nøkkelrolle i å sikre at virksomheten behandler personopplysninger på en lovlig og ansvarlig måte. Men hva innebærer egentlig rollen, når må man ha et personvernombud – og hva sier GDPR om ansvaret?

Her får du oversikten.

Hva er et personvernombud?

Et personvernombud skal ha en uavhengig rolle i virksomheten og fungere som både rådgiver og kontrollør. Ombudet skal bidra til at GDPR og annen personvernlovgivning følges, og samtidig være et bindeledd mellom virksomheten og Datatilsynet. For å fylle rollen på en god måte må ombudet ha god forståelse for hvordan virksomheten behandler personopplysninger i praksis.

Hva gjør et personvernombud i praksis?

I henhold til artikkel 39 (1) i GDPR har personvernombudet en rekke kjerneoppgaver, blant annet å:

• Gi informasjon og råd til virksomheten om personvernforpliktelser
• Overvåke etterlevelsen av regelverk og interne rutiner
• Gi råd om og kontrollere gjennomføring av personvernkonsekvensvurderinger (DPIA)
• Samarbeide med og være kontaktpunkt for Datatilsynet

I tillegg har ombudet ofte en mer operativ rolle i virksomheten, for eksempel ved å:
Initiere, revidere og følge opp personvernarbeidet

• Koordinere behandlingsprotokollen
• Bistå i utarbeidelsen av retningslinjer og rutiner
• Delta i analysearbeid og DPIA-vurderinger
• Bidra i utforming av databehandleravtaler
• Håndtere brudd på personopplysningssikkerheten

Når må virksomheten ha et personvernombud?

Virksomheter er pliktige til å ha personvernombud hvis:

• Behandlingen innebærer jevnlig og systematisk overvåking av mange personers aktiviteter.
• Behandlingen gjelder særlige kategorier av personopplysninger (som for eksempel helseopplysninger)
• Det offentlige er behandlingsansvarlig, med visse unntak
  

Selv om det ikke er et krav, kan det være en fordel å ha et personvernombud for å sikre systematisk etterlevelse av personvernlovgivningen.

Hva sier GDPR om ansvaret til personvernombudet?

Selv om virksomheten har et personvernombud, kan ikke selve ansvaret for personopplysninger overføres til én enkeltperson. Ansvaret for etterlevelse av GDPR ligger fortsatt hos behandlingsansvarlig – altså virksomheten som juridisk enhet.

Ombudet er ikke personlig ansvarlig, men skal støtte, følge opp og kontrollere personvernarbeidet i tråd med regelverket.

Hva har personvernombudet med DPIA å gjøre?

En DPIA (personvernkonsekvensvurdering) er ikke bare et nyttig verktøy – det er et lovpålagt krav i situasjoner der behandlingen av personopplysninger kan medføre høy risiko for de registrertes rettigheter. Det gjelder blant annet ved bruk av ny teknologi, systematisk overvåking eller behandling av sensitive opplysninger i stort omfang.

Personvernombudet spiller en sentral rolle i DPIA-prosessen. Ombudet skal:

• Gi råd om når og hvordan vurderingen bør gjennomføres, og 
• Følge opp at den faktisk blir gjort – men ansvaret for å gjennomføre den ligger fortsatt hos virksomheten.

Å unnlate å gjøre en DPIA der det er påkrevd kan få alvorlige konsekvenser – både juridisk og tillitsmessig. 

Vil du vite mer om når DPIA er påkrevd og hvordan du gjennomfører det? Les her. 

Kan rollen som personvernombud outsources?

Ja, rollen kan løses internt eller eksternt. Mange virksomheter velger å leie inn personvernombud, spesielt der det er behov for høy kompetanse, men begrensede interne ressurser. Det viktigste er at ombudet får nødvendig selvstendighet og tilgang til relevante prosesser.

Arbeidet som PVO kan ta tid fra kjernevirksomheten, og det kan være krevende for den som ikke er erfaren å ivareta rollen fullt ut. Det kan også være utfordrende for noen å stille krav til kolleger eller ledere i personvernsaker.

Hvis dere opplever at det er krevende å fylle rollen internt, eller ønsker ekstra støtte i arbeidet med personvern, kan det være nyttig å se nærmere på en tjeneste som Privacy as a Service. 

Her får dere en optimal kombinasjon av verktøy, juridisk kompetanse og metode for å sikre at personvernet ivaretas på en trygg og effektiv måte. 

Våre jurister og erfarne personvernombud gir dere både veiledning og prosjektledelse gjennom hele prosessen – tilpasset behovene i deres virksomhet. 

Hvordan unngår du interessekonflikter i rollen?

Det er viktig at personvernombudet ikke samtidig har en rolle der de bestemmer formål og middel for behandlingen av personopplysninger – som å signere databehandleravtaler eller være behandlingsansvarlig.

For å tydeliggjøre forventningene, bør virksomheten utforme en stillingsbeskrivelse hvor rollen er definert som en kontrollfunksjon – gjerne på linje med internrevisjon.

Kom i gang med systematisk personvernarbeid og GDPR-etterlevelse i dag

Personvernarbeid kan være både komplekst og tidkrevende – og det er ofte vanskelig å vite hvor man skal begynne. Mange virksomheter mangler både struktur og verktøy for å jobbe systematisk med etterlevelse.

Med Privacy as a Service får dere en kombinasjon av rådgivning, metodikk og digitale verktøy som hjelper dere med å komme i gang – og holde oversikten over tid. Tjenesten bygger på vår metode for Systematisk Personvernarbeid (SPA), og inneholder blant annet:

• Analyse av nåværende personvernarbeid
  
  
• Kartlegging av risikoområder
  
  
• Tiltaksforslag og anbefalinger fra et sertifisert personvernombud
  
  
• Kontinuerlig oppfølging og støtte
  
  

Book en demo i dag og se hvordan vi kan hjelpe din virksomhet sørge for effektiv og compliant personvernarbeid.