Artikkel 39. Personvernombudets oppgaver

Personvernombudet skal minst informere om og å gi råd om forpliktelser og kontrollere overholdelsen av GDPR og andre personvernlover samt retningslinjer for behandlingsansvarlig og databehandler, herunder om fordeling av ansvar, tiltak for gjennomføring og opplæring, gjennomføring av revisjoner, råd om og kontroll av gjennomføring av personvernkonsekvenser og samarbeide, fungere som kontaktpunkt og rådføre seg med tilsynsmyndigheter. Personvernombudet skal i sitt arbeid ta hensyn til behandlingen som gjøres og risikoen knyttet til denne.

1. Personvernombudet skal minst ha følgende oppgaver:

a) informere og gi råd til den behandlingsansvarlige eller databehandleren og de ansatte som utfører behandlingen, om de forpliktelsene de har i henhold til denne forordning, og i henhold til andre av Unionens eller medlemsstatenes bestemmelser om vern av personopplysninger,

b) kontrollere overholdelsen av denne forordning, av andre av Unionens eller medlemsstatenes personvernregler og den behandlingsansvarliges eller databehandlerens personvernretningslinjer, herunder fordeling av ansvar, holdningsskapende tiltak og opplæring av personellet som er involvert i behandlingsaktivitetene, og tilhørende revisjoner,

c) på anmodning gi råd om vurderingen av personvernkonsekvenser og kontrollere gjennomføringen av den i henhold til artikkel 35,

d) samarbeide med tilsynsmyndigheten,

e) fungere som kontaktpunkt for tilsynsmyndigheten ved spørsmål om behandlingen, herunder forhåndsdrøftingene nevnt i artikkel 36, og ved behov rådføre seg med tilsynsmyndigheten om eventuelle andre spørsmål.

2. Personvernombudet skal ved utførelsen av sine oppgaver ta behørig hensyn til risikoene forbundet med behandlingsaktivitetene, idet det tas hensyn til behandlingens art, omfang, formål og sammenhengen den utføres i.

Article 39. Tasks of the data protection officer

1. The data protection officer shall have at least the following tasks:

(a) to inform and advise the controller or the processor and the employees who carry out processing of their obligations pursuant to this Regulation and to other Union or Member State data protection provisions;

(b) to monitor compliance with this Regulation, with other Union or Member State data protection provisions and with the policies of the controller or processor in relation to the protection of personal data, including the assignment of responsibilities, awareness-raising and training of staff involved in processing operations, and the related audits;

(c) to provide advice where requested as regards the data protection impact assessment and monitor its performance pursuant to Article 35;

(d) to cooperate with the supervisory authority;

(e) to act as the contact point for the supervisory authority on issues relating to processing, including the prior consultation referred to in Article 36, and to consult, where appropriate, with regard to any other matter.

2. The data protection officer shall in the performance of his or her tasks have due regard to the risk associated with processing operations, taking into account the nature, scope, context and purposes of processing.

Fortalepunkter og bestemmelser

Primære fortalepunkter

Dersom behandlingen utføres av en offentlig myndighet, bortsett fra domstoler eller uavhengige rettshåndhevende myndigheter når de opptrer innenfor rammen av sin domsmyndighet, dersom behandlingen i privat sektor utføres av en behandlingsansvarlig hvis kjernevirksomhet består av behandlingsaktiviteter som krever regelmessig og systematisk monitorering i stor skala av de registrerte, eller dersom den behandlingsansvarliges eller databehandlerens kjernevirksomhet består av behandling i stor skala av særlige kategorier av personopplysninger og opplysninger om straffedommer og lovovertredelser, bør en person med dybdekunnskap om personvernlovgivning og -praksis bistå den behandlingsansvarlige eller databehandleren for å føre tilsyn med den interne overholdelsen av denne forordning. I privat sektor omfatter en behandlingsansvarligs kjernevirksomhet vedkommendes primære virksomhet og ikke behandling av personopplysninger som bivirksomhet. Det nødvendige nivået av dybdekunnskap bør fastsettes i henhold til de behandlingsaktivitetene som utføres, og det vernet som er nødvendig for personopplysningene som behandles av den behandlingsansvarlige eller databehandleren. Slike personvernombud, enten de er ansatt hos den behandlingsansvarlige eller ikke, bør kunne utføre sine funksjoner og oppgaver på en uavhengig måte.

Where the processing is carried out by a public authority, except for courts or independent judicial authorities when acting in their judicial capacity, where, in the private sector, processing is carried out by a controller whose core activities consist of processing operations that require regular and systematic monitoring of the data subjects on a large scale, or where the core activities of the controller or the processor consist of processing on a large scale of special categories of personal data and data relating to criminal convictions and offences, a person with expert knowledge of data protection law and practices should assist the controller or processor to monitor internal compliance with this Regulation. In the private sector, the core activities of a controller relate to its primary activities and do not relate to the processing of personal data as ancillary activities. The necessary level of expert knowledge should be determined in particular according to the data processing operations carried out and the protection required for the personal data processed by the controller or the processor. Such data protection officers, whether or not they are an employee of the controller, should be in a position to perform their duties and tasks in an independent manner.

Uoffisielle overskrifter

Andre fortalepunkter

Sammenslutninger eller andre organer som representerer kategorier av behandlingsansvarlige eller databehandlere, bør oppmuntres til å utarbeide atferdsnormer innenfor rammen av denne forordning for å fremme en effektiv anvendelse av denne forordning, idet det tas hensyn til de særlige kjennetegnene ved behandling som utføres i visse sektorer, og de særlige behovene til svært små, små og mellomstore bedrifter. I slike atferdsnormer bør de behandlingsansvarliges og databehandlernes plikter defineres, idet det tas hensyn til risikoen for fysiske personers rettigheter og friheter som behandlingen kan medføre.

Associations or other bodies representing categories of controllers or processors should be encouraged to draw up codes of conduct, within the limits of this Regulation, so as to facilitate the effective application of this Regulation, taking account of the specific characteristics of the processing carried out in certain sectors and the specific needs of micro, small and medium enterprises. In particular, such codes of conduct could calibrate the obligations of controllers and processors, taking into account the risk likely to result from the processing for the rights and freedoms of natural persons.

Uoffisielle overskrifter

Relaterte bestemmelser

Art. 37. Utpeking av personvernombud
Art. 38. Personvernombudets stilling

Pol. § 18. Personvernombudets taushetsplikt

Meld feil / gi innspill

Meld feil eller gi innspill

Navn (frivillig)

Tilbakemelding

← Forrige Art. 38. Personvernombudets stilling ← Artikkel 38 ← Art. 38 Oversikt Neste → Art. 40. Atferdsnormer Artikkel 40 → Art. 40 →