06.02.2020

Personvernombod

Ei høgrehand som held ein penn ligg oppå eit ark med tekst om tenesta personvernombod - under arket ligg ei raud framside på eit hefte med løvesymbol og teksta skattestatistikk Møre og Romsdal fylke

Etter personopplysningsloven § 1 jf. personvernforordningen artikkel 37 nr. 1 bokstav a pliktar fylkeskommunen og kommunane å ha eit personvernombod.

Personvernombodet er rådgjevar for heile verksemda og innbyggarane i kommunen, samt andre som har personopplysningar registrert hos kommunen.

Personvernombodet skal ta i vare nærmare angjevne oppgåver i personopplysningsloven, medrekna EUs personvernforordning (forordning 2016/679, «GDPR»).

Virkeområde
Personvernombodet er ombod for alle organ og verksemder som er ein del av kommunen som juridisk person.

Arbeidsoppgåver

Oppgåvene til personvernombodet, jf. GDPR artikkel 38 nr. 4 og artikkel 39:

  • Informere og gje råd til den behandlingsansvarlege, databehandlaren og dei tilsette som utfører behandlinga, om dei plikter dei har etter personvernregelverket
  • Kontrollere at personvernregelverket og retningslinjene til den behandlingsansvarlege blir etterlevde, irekna fordeling av det daglege ansvaret for tilsette som behandlar personopplysningar, og tilhøyrande revisjonar
  • På oppfordring gje råd om vurderingar av personvernkonsekvensar og kontrollere gjennomføringa av den etter GDPR artikkel 35
  • Samarbeide med Datatilsynet
  • Fungere som kontaktpunkt for Datatilsynet ved spørsmål om behandlinga, medrekna førehandsdrøfting som nemnt i GDPR artikkel 36, som må utførast dersom ei vurdering av personvernkonsekvensar tilseier at behandlinga vil medføre høg risiko som ikkje kan reduserast ved tiltak, og ved behov rådføre seg med Datatilsynet om eventuelle andre spørsmål
  • Vere tilgjengeleg for dei registrerte vedkomande spørsmål om behandlinga av personopplysningane deira og om utøvinga av rettane dei har etter personvernregelverket

Ved utføringa av oppgåvene, skal ombodet ta omsyn til risikoane som er forbundne med behandlingsaktivitetane, medrekna behandlinga sin art, omfang, formål og samanhengen dei blir utført i.

Personvernombodet har verken rett eller plikt til å ta avgjerder på vegner av den behandlingsansvarlege når det gjeld behandlinga av personopplysningar.

For å bidra til kompetanseheving for kommunen sine tilsette, kan personvernombodet tilby opplæring i form av skriftlege rettleiingar og foredrag om personvernrelaterte tema. Merk at det er kommunen sjølv som er ansvarleg for opplæring også innan personvern av sine tilsette, slik at opplæringstilbodet til personvernombodet vil vere eit supplement til dette. Personvernombodet kan også hjelpe kommunen med å kartlegge på kva område behovet for opplæring er størst.

Personvernombodet si rapportering

Personvernombodet skal rapportere skriftleg til kommunedirektøren i januar om personvernarbeidet føregåande kalenderår. Rapporten skal gi ein overordna status for og omtale av arbeidet, vurderingar på systemnivå, medrekna oversikt over avvik mv., basert på kommunane si rapportering til personvernombodet, samt også ei tilbakemelding på korleis samarbeidet med kommunen har fungert dette året.

Personvernombodet skal i tillegg ubeden informere kommunedirektøren om alvorlege forhold vedkomande personvern som er av vesentleg betyding for kommunen, om alvorlege brot på personvernregelverket, viss administrasjonen ikkje følger ombodet sine råd på vesentlege område, viss ombodet blir hindra i utføringa av oppgåvene sine eller andre forhold ombodet bør forstå det er nødvendig å informere om.

Personvernombodet kan på eige initiativ informere Datatilsynet om kommunen sine eventuelle brot på personvernregelverket.

I tillegg skal personvernomboda jamleg rapportere om det overordna arbeidet i tenesta til dagleg leiar og styret ved IKAMR.

Teieplikt

Personvernombodet er bunde av teieplikt om opplysningar vedkomande får kjennskap til gjennom utføringa av oppgåvene, jf. personopplysningsloven § 18, jf. forvaltningsloven § 13.

Organisering og arbeidsgjevaransvar

Personvernombodet er eksternt ombod for kommunen gjennom ei personvernombodteneste levert av IKAMR.

Arbeidsgjevaransvaret for personvernombodet er lagt til IKAMR.

Tenesta består av to personvernombod, som har fordelt kommunar tenesta blir levert til likt mellom seg basert på geografisk plassering.

Sjølvstende

Personvernombodet kan ikkje bli instruert om korleis ombodet skal utføre sine oppgåver.

Ombodet kan ikkje avsettast, straffast eller på annan måte sanksjonerast for å utføre sine oppgåver.

  Kommunen si involvering av personvernombodet

Personvernombodet skal på riktig måte og til rett tid, involverast i spørsmål som gjeld vern av personopplysningar, irekna gjennomføringa av personvernkonsekvensvurderingar (DPIA). Behandlingsansvarleg skal vurdere personvernombodet sitt råd. Dersom behandlingsansvarleg ikkje tek omsyn til råda frå personvernombodet, skal usemja dokumenterast.

Personvernombodet skal informerast om avvik og hendingar i kommunen. Dette gjeld både hendingar som blir meldt til Datatilsynet (eksterne avvik) og som ikkje blir meldt til Datatilsynet (interne avvik).

Personvernombodet skal inkluderast i leiinga sin gjennomgang ein gong i året.

Kommunen si rapportering

Kommunane skal rapportere skriftleg til personvernombodet i desember om personvernarbeidet gjeldande kalenderår. Årsrapporten skal som eit minimum gi ein overordna status for og omtale av arbeidet, vurderingar på systemnivå, medrekna oversikt over avvik mv., samt også ei tilbakemelding på korleis samarbeidet med personvernombodet har fungert dette året.

Kommunane skal i tillegg til tilbakemeldingar som går fram av årsrapporten, gi beskjed til personvernombodet, eller eventuelt dagleg leiar ved IKAMR, ved spørsmål eller kommentarar til personvernombodtenesta som dei ønsker klarleik i. Dette kan blant anna inkludere førespurnader om opplevde manglar ved personvernombodet si teneste.

Oppgåver retta mot dei registrerte

Personvernombodet skal vere bindeledd mellom den registrerte og kommunen, og svare på førespurnader frå dei registrerte om deira rettar knytt til kommunen si behandling av deira personopplysningar. Dette gjeld blant anna retten til informasjon, innsyn, sletting, avgrensing av behandlingar, samt retten til å ikkje vere gjenstand for automatiserte avgjersler.

Dei registrerte sine resterande rettar inneber rett til å protestere og rett til erstatning, og andre rettar som følger av anna lovgjeving. Kor langt omboda skal gå i å gi råd til dei registrerte med tanke på rettar etter anna lovgjeving, må avgjerast på bakgrunn av om problemstillinga direkte eller indirekte har betydning for personvernet. Dersom nokon vender seg til personvernombodet med spørsmål som fell utanfor mandatet til personvernombodet, skal ombodet i tråd med god forvaltningsskikk vise vedkomande til rett organ.

Særleg om barn sitt personvern

Grunnloven § 104 gir barn ein individuell rett til vern om sin personlege integritet. Barnekonvensjonen artikkel 16 fastslår at barn ikkje skal utsettast for vilkårleg eller ulovleg innblanding i sitt privatliv, sin familie, sin heim eller sin korrespondanse, eller for ulovleg angrep mot si ære eller sitt omdøme, og at barnet har rett til vern etter lova mot slik innblanding eller slike angrep. Også personopplysningsloven og personvernforordningen statuerer særreglar for barn, bl.a. inneheld personopplysningsloven § 5 ei særleg aldersgrense på 13 år for barn sitt samtykke til bruk av informasjonssamfunnstenester.

Barnehagar og skular registrerer og lagrar personopplysningar om barn og unge. I tillegg til tradisjonelle opplysningar som orden, oppførsel, åtferd, karakterar og utvikling, blir det samla data gjennom elevane sin bruk av nye digitale læringsressursar og skulen sin kommunikasjon med heimen. Dette kan utfordre barn og unge sitt personvern på ein ny måte. Halvparten av avvika som vart meldt inn til Datatilsynet i 2019 vedkomande barn, skjedde i skulesektoren. Skulane nyttar stadig fleire typar digitale løysingar. Dette gir ulike personvernutfordringar. Læringsplattformer og nettbrett er ein god ressurs i undervisninga, men ved bruken kan det også behandlast overskotsinformasjon, for eksempel stadinformasjon og informasjon om når leksene vart gjort.

Personvernombodet skal derfor rette særleg oppmerksemd til kommunen si behandling av barn sine personopplysningar.

Desse er med i ordninga

Aukra kommune
Aure kommune
Averøy kommune
Fjord kommune
Giske kommune
Gjemnes kommune
Hareid kommune
Hustadvika kommune
Kristiansund kommune
Molde kommune
Møre og Romsdal fylkeskommune

Rauma kommune
Rindal kommune
Smøla kommune
Stranda kommune
Sunndal kommune
Surnadal kommune
Sykkylven kommune
Tingvoll kommune
Vestnes kommune
Ålesund kommune