Spørsmål og svar om personvernombudsordningen
Her finner du svar på spørsmål personvernombudene ofte har. Svarene er til god hjelp for de som vurderer å opprette ombud i sin virksomhet.
Spørsmål i tilknytning til ombudsordningen:
Hvordan komme i gang med rollen som personvernombud?
Hva er en behandling?
Hva er poenget med meldeskjemaet?
Hvordan registrere meldinger?
Kan man lage sitt eget skjema?
Hva gjør man med meldinger som allerede eksisterer?
Kan man sende inn meldinger til Datatilsynet?
Hvem kan fylle ut meldeskjema?
Når skal man lage nytt skjema?
Hvor bør jeg lagre oversikten?
Hva bør publiseres offentlig?
Hva gjør jeg når jeg er ombud og skal ut i permisjon?
Hva skal jeg gjøre når jeg slutter i virksomheten?
Hva skal jeg gjøre når en annen ønsker å ta over som ombud?
Hvordan komme i gang som ombud?
Hva skal jeg gjøre som ombud?
Hva bør jeg gjøre som ombud?
Har jeg, som personvernombud, ansvaret for personvernet i vår dirksomhet?
Hvordan jobbe med internkontroll?
Hvem har ansvaret for internkontroll?
Hvordan organisere arbeidet for øvrig?
Kan andre i virksomheten hjelpe meg?
Kan det være mer enn ett ombud i virksomheten?
Hvilken rolle har ombudet i forholdet til Datatilsynet og til virksomheten?
Hva skal ombudet gjøre dersom virksomheten bryter personopplysningsloven?
Hvem skal melde inn eventuelle avvik?
Kan man være ombud og bosatt eller ansatt utenfor Norge?
Er det obligatorisk å delta på opplæringskurs?
Hvordan får jeg mer kunnskap om personopplysningsloven?
Skal forskningsprosjekt meldes inn til Datatilsynet?
Kan jeg være personvernombud dersom jeg selv er forsker på prosjektet?
Hvordan komme i gang med rollen som personvernombud?
Når man blir personvernombud er det viktig å gjøre seg godt kjent med følgende materiale fra Datatilsynet. I de tre dokumentene får du god informasjon om hva som kreves av et personvernombud, og tips til hvordan du kan løse oppgavene dine.
Vedtaket (pdf i nytt vindu)
PVO-veilederen(pdf i nytt vindu)
Mer om meldeskjemaet (nytt vindu)
Tilbake til innholdsfortegnelsen.
Hva er en behandling?
I personopplysningsloven § 2 nr 2 er en behandling definert slik:
”behandling av personopplysninger, enhver bruk av personopplysninger, som f. eks. innsamling, registrering, sammenstilling, lagring og utlevering eller kombinasjon av slike bruksmåter”. Behandling er alltid knyttet til et formål. All bruk av personopplysninger som faller inn under ETT formål er EN behandling. For eksempel er personaladministrasjon en behandling, og kameraovervåking en annen. Alt man tidligere ville meldt inn til Datatilsynet må nå registreres av personvernombudet.
Tilbake til innholdsfortegnelsen.
Hva er poenget med meldeskjemaet?
Med personvernombud i virksomheter slipper man meldeplikten til Datatilsynet, jf. personopplysningsloven § 31, men personvernombudet plikter da å ha en oversikt over alle behandlinger i virksomheten.
Tilbake til innholdsfortegnelsen.
Hvordan registrere meldinger?
Det er laget et eget meldeskjema for personvernombudene. Skjemaet er mer detaljert og utfyllende enn det offentlige meldeskjemaet som andre bruker, men det er likevel frivillig å bruke skjemaet. Meldeskjemaet som er utarbeidet for personvernombudene er ment å være et bedre verktøy, som gjør det enklere å holde orden på meldingene. Det må føres et skjema for hver behandling. Last ned skjemaet her (nytt vindu).
Tilbake til innholdsfortegnelsen.
Kan man lage sitt eget skjema?
Ja, men skjemaet må tilfredsstille § 32 i personopplysningsloven. Om du ønsker, kan du legge skjemaet fram til vurdering for Datatilsynet.
Fra loven:
§ 32. Meldingens innhold
Meldingen skal opplyse om
a) navn og adresse på den behandlingsansvarlige og på dennes eventuelle representant og databehandler,
b) når behandlingen starter,
c) hvem som har det daglige ansvaret for å oppfylle den behandlingsansvarliges plikter,
d) formålet med behandlingen,
e) oversikt over hvilke typer personopplysninger som skal behandles,
f) hvor personopplysningene hentes fra,
g) det rettslige grunnlaget for innsamlingen av opplysningene,
h) hvem personopplysningene vil bli utlevert til, herunder eventuelle mottakere i andre stater, og
i) hvilke sikkerhetstiltak som er knyttet til behandlingen.
Tilbake til innholdsfortegnelsen.
Hva gjør man med meldinger som allerede eksisterer hos Datatilsynet?
Dersom ombudet velger å ha en egen oversikt over behandlingene, bør meldingene som er registrert hos Datatilsynet slettes. De vil uansett forsvinne fra systemet tre år etter at meldingen ble sendt.
Tilbake til innholdsfortegnelsen.
Kan man sende inn meldinger til Datatilsynet?
Ja, et ombud kan velge å bruke den offentlige meldedatabasen til Datatilsynet, selv om man har fått innvilget fritak fra dette. Meldingen forsvinner imidlertid fra Datatilsynet sine systemer etter tre år. Vi anbefaler at personvernombudene selv lager en oversikt over alle meldinger.
Tilbake til innholdsfortegnelsen.
Hvem kan fylle ut meldeskjema?
Andre enn personvernombudet kan fylle ut meldeskjemaet dersom det er ønskelig. Men personvernombudet MÅ ha oversikt over alle behandlinger som blir gjort i virksomheten.
Tilbake til innholdsfortegnelsen.
Når skal man lage nytt skjema?
Ny behandling = nytt skjema. Det kreves også nytt skjema for å gjøre endringer i eksisterende behandlinger.
Tilbake til innholdsfortegnelsen.
Hvor bør jeg lagre oversikten?
Det viktigste er at oversikten er tilgjengelig for deg. Dersom virksomheten har et intranett kan man vurdere å legge ut oversikten der, slik at alle ansatte får tilgang.
Tilbake til innholdsfortegnelsen.
Hva bør publiseres offentlig?
Man trenger ikke legge ut oversikten, men den skal være tilgjengelig og alle har rett på innsyn dersom de krever det.
Fra loven:
§ 18. Rett til innsyn
Enhver som ber om det, skal få vite hva slags behandling av personopplysninger en behandlingsansvarlig foretar, og kan kreve å få følgende informasjon om en bestemt type behandling:
a) navn og adresse på den behandlingsansvarlige og dennes eventuelle representant,
b) hvem som har det daglige ansvaret for å oppfylle den behandlingsansvarliges plikter,
c) formålet med behandlingen,
d) beskrivelser av hvilke typer personopplysninger som behandles,
e) hvor opplysningene er hentet fra, og
f) om personopplysningene vil bli utlevert, og eventuelt hvem som er mottaker.
Dersom den som ber om innsyn er registrert, skal den behandlingsansvarlige opplyse om
a) hvilke opplysninger om den registrerte som behandles, og
b) sikkerhetstiltakene ved behandlingen så langt innsyn ikke svekker sikkerheten.
Den registrerte kan kreve at den behandlingsansvarlige utdyper informasjonen i første ledd bokstav a - f i den grad dette er nødvendig for at den registrerte skal kunne vareta egne interesser. Retten til informasjon etter annet og tredje ledd gjelder ikke dersom personopplysningene behandles utelukkende for historiske, statistiske eller vitenskapelige formål og behandlingen ikke får noen direkte betydning for den registrerte.
Tilbake til innholdsfortegnelsen.
Hva gjør jeg når jeg er ombud og skal ut i permisjon?
Dersom du skal ut i permisjon i mer enn tre måneder, må virksomheten søke om å få oppnevnt et nytt ombud. Dersom virksomheten blir stående uten ombud mens du er i permisjon, må man informere Datatilsynet om dette. Samtidig må man være oppmerksom på at meldeplikten gjelder for virksomheten igjen, og at alle behandlinger må meldes inn.
Tilbake til innholdsfortegnelsen.
Hva skal jeg gjøre når jeg slutter i virksomheten?
Send skriftlig informasjon om dette til Datatilsynet, og eventuelt send med nytt søkeskjema for den som ønsker å overta i rollen som ombud. I vedtaket fra Datatilsynet står det i punkt 4:
”Datatilsynet skal informeres dersom avtalen om personvernombud opphører, eller virksomheten endrer personvernombud”.
Datatilsynet setter stor pris på om du blir ombud på din nye arbeidsplass.
Tilbake til innholdsfortegnelsen.
Hva skal jeg gjøre når en annen ønsker å ta over som ombud?
Send søknadsskjema om opprettelse av personvernombud på nytt.
Tilbake til innholdsfortegnelsen.
Hvordan komme i gang som ombud?
Start intern dialog for å finne ut hva som trengs, og for å finne ut hvor det eventuelt brenner! Gode spørsmål å starte med er – Har virksomheten internkontrollsystem? Er systemet tilfredsstillende?
Tilbake til innholdsfortegnelsen.
Hva skal jeg gjøre som ombud?
Når man blir personvernombud forplikter man seg til å følge de vilkårene som står i vedtaket. Dette er likevel bare minimumskrav som Datatilsynet stiller. Det er opp til hvert ombud å finne ut hvordan de vil løse rollen som ombud.
Tilbake til innholdsfortegnelsen.
Hva bør jeg gjøre som ombud?
Vær synlig i virksomheten!
Personvernombudet er ment å være en ressursperson for virksomheten, og det er viktig at de ansatte vet hvem du er og hva du gjør.
- Presenter deg og ombudsrollen for alle i virksomheten. Fortell de hva det vil si å være ombud
- Sett opp skilt på døren til kontoret ditt – skriv på visittkortet ditt at du er personvernombud
- Informer nyansatte i virksomheten
- Tilby deg å holde foredrag etter at du har vært på kurs
- Fortell de ansatte i virksomheten om personvernombudsordningen gjennom intranett, e-post eller send ut nyhetsbrev
- Oppfordr de ansatte om å si fra dersom noe nytt skal tas i bruk i virksomheten. For å ha god oversikt og kunne gi råd om for eksempel innkjøp av nye system, er det viktig for deg å komme tidlig inn i prosessen
- Sørg for at du er blant de første som får vite hva som skjer i virksomheten!
Tilbake til innholdsfortegnelsen.
Har eg, som personvernombud, ansvaret for personvernet i vår dirksomhet?
Nei, den behandlingsansvarlige har ansvar for at regelverket etterleves i virksomheten.
Tilbake til innholdsfortegnelsen.
Hvordan jobbe med internkontroll?
En prioritert oppgave for personvernombudene bør være å få på plass tilfredsstillende internkontrollsystem. Datatilsynet har mye informasjonsmateriell og brosjyrer på dette temaet. Se en av veilederne, i internkontroll og informasjonssikkerhet, her (pdf i nytt vindu).
Husk! Du trenger ikke jobbe med dette alene!
Tilbake til innholdsfortegnelsen.
Hvem har ansvaret for internkontroll?
Den øverste ledelsen i virksomheten har ansvaret for internkontroll.
Tilbake til innholdsfortegnelsen.
Hvordan organisere arbeidet for øvrig?
Få på plass gode rutiner! Lag rutiner for innhenting av samtykke, sletting og liknende. Lag maler som tilfredsstiller dine behov og som gjør det enkelt for deg å holde oversikt. Dersom du er usikker på om malene er gode nok, ta kontakt med Datatilsynet, eller kontakt noen av de andre personvernombudene som kanskje har erfaring fra liknende behandlinger.
Oversikt over personvernombud ut i fra bransjetype (nytt vindu).
Tilbake til innholdsfortegnelsen.
Kan andre i virksomheten hjelpe meg?
Knytt gjerne til deg ressursgrupper eller et lite støtteapparat som du kan samarbeide med i virksomheten. Mange vil gjerne se nytten av å sparre med teknologer, ansatte i IT-avdelingen eller liknende.
Tilbake til innholdsfortegnelsen.
Kan det være mer enn ett ombud i virksomheten?
Ja, dersom virksomheten er stor eller driver med helt ulike typer behandling, som for eksempel forskning og undervisning. Stort sett vil Datatilsynet anbefale at en virksomhet kun har ett ombud. Dersom virksomheten vurderer å ha flere ombud må dere kontakte Datatilsynet.
Tilbake til innholdsfortegnelsen.
Hvilken rolle har ombudet i forholdet til Datatilsynet og til virksomheten?
Personvernombudet representerer virksomheten, og det er fullt mulig for et ombud å være uenig med Datatilsynet i pålegg og liknende. I slike situasjoner kan ombudene eventuelt klage på vedtakene som er fattet fra Datatilsynet.
Tilbake til innholdsfortegnelsen.
Hva skal ombudet gjøre dersom virksomheten bryter personopplysningsloven?
Som ombud må du si i fra til ledelsen om bruddene. I vedtaket fra Datatilsynet står det at personvernombudet er pliktig til å påpeke brudd på personopplysningsloven overfor den behandlingsansvarlige. Dersom ledelsen ikke er lydhør overfor ombudet sine synspunkt, kan man spørre Datatilsynet om konkrete råd. Skulle situasjonen fremdeles være låst, og du som ombud ikke er enig i måten ledelsen håndterer saken, anbefaler Datatilsynet at du trekker deg som ombud. Dette fordi ombudene må ha integritet og bli tatt på alvor i virksomheten.
Tilbake til innholdsfortegnelsen.
Hvem skal melde inn eventuelle avvik?
Det er den behandlingsansvarlige som er pliktig og ansvarlig for å melde inn avvik, jf. Personopplysningsforskriften § 2-6. Ofte vil ombudene bli konsultert i slike situasjoner, og det kan kanskje være like naturlig at ombudet melder inn avvik til Datatilsynet. Det er viktig å understreke at det er opp til hver enkelt virksomhet å selv bestemme hvem som skal melde inn avvik.
Tilbake til innholdsfortegnelsen.
Kan man være ombud og bosatt eller ansatt utenfor Norge?
Dersom virksomheten er etablert i Norge er det norsk lov som gjelder. Det finnes ombud som er bosatt i utlandet, men det er viktig at ombudene snakker/forstår ett skandinavisk språk, slik at de kan følge med på kursene våre, som alle er på norsk.
Tilbake til innholdsfortegnelsen.
Er det obligatorisk å delta på opplæringskurset?
Ja, opplæringskurset er obligatorisk, og Datatilsynet ønsker at nye ombud deltar på dette kurset så raskt det lar seg gjøre. Dersom man har inngående kunnskap om personvernregelverket, kan det gjøres unntak. Dette bør avklares med Datatilsynet. Samtidig vil vi anbefale å delta på de andre kursene som blir arrangert i tilknytning til personvernombudsordningen.
Tilbake til innholdsfortegnelsen.
Hvordan får jeg mer kunnskap om personopplysningsloven?
Datatilsynet arrangerer opplæringskurs som man får delta på som nyoppnevnt ombud. Kurset arrangeres to ganger i året. Tilsynet har også tilbud om et informasjonssikkerhetskurs, og et felles kurs for alle ombudene som arrangeres årlig. Alle som er personvernombud får et månedlig nyhetsbrev, der ansatte i Datatilsynet informerer om saker som kan være av interesse for ombudene. I veiledningen som er laget for personvernombudene finnes det også en liste over relevant litteratur. Det er også lurt å gjøre seg kjent med relevant informasjon som finnes på Datatilsynet sine nettsider, og om man har andre spørsmål kan man kontakte Datatilsynet på pvo@datatilsynet.no.
Tilbake til innholdsfortegnelsen.
Skal forskningsprosjekt meldes inn til Datatilsynet?
Unntak fra konsesjonsplikten følger av personopplysningsforskriften § 7-27, dersom det blant annet er tilrådd av et personvernombud. Det er utarbeidet et eget meldeskjema for behandlinger innen forskning. Mange ombud opplever at det å arbeide med personopplysninger i forbindelse med forskning er annerledes enn å jobbe med slike opplysninger opp mot andre deler av virksomheten. Dersom man ønsker det, og føler at det letter arbeidet, kan man likevel sende konsesjonssøknad til Datatilsynet på behandlinger knyttet til forskning. Man kan også kontakte ansatte i Datatilsynet som arbeider spesifikt med forskning dersom man har spørsmål eller trenger mer informasjon om personopplysningsloven knyttet til forskning. Les mer om meldeskjema og last ned her (nytt vindu).
Tilbake til innholdsfortegnelsen.
Kan jeg være personvernombud dersom jeg selv er forsker på prosjektet?
I slike tilfeller MÅ virksomheten sende inn konsesjonssøknad.
Tilbake til innholdsfortegnelsen.