To start page
  • Use of cookies
  • Archive
  • Sitemap
  • Contact
  • Print
  • Print
  • Change text size
Norsk

UDI internal practices

IM 2018-003
Document-ID : IM 2018-003
Case-ID : 18/00297-10
Documentdate : 21.03.2018
Receiver :

Utlendingsdirektoratet

Instruks for personvernombudet i UDI


1. Om instruksen

1.1 Innholdet i instruksen

1.2 Plikt til å ha personvernombud

1.3 Endringer i instruksen

2. Roller og ansvar

2.1 Direktørens overordnede ansvar for personvern

2.2 Personvernombudets rolle

2.3 Personvernombudet skal involveres

3. Personvernombudets uavhengighet og plassering

3.1 Uavhengighet

3.2 Organisatorisk plassering

4. Personvernombudets ressurssituasjon og plikter

4.1 Ressurser

4.2 Taushetsplikt

5. Personvernombudets oppgaver og rolle som kontaktpunkt

5.1 Oppgaver

5.2 Hvordan unngå interessekonflikt?

5.3 Personvernombudet som kontaktpunkt

 

1. Om instruksen

1.1 Innholdet i instruksen

Instruksen beskriver personvernombudets rolle, ansvar og myndighet som ligger til stillingen.

1.2 Plikt til å ha personvernombud

UDI plikter å ha personvernombud, se personvernforordningen art. 37 nr. 1 a.

Personvernombudet skal utpekes på grunnlag av faglige kvalifikasjoner og særlig på grunnlag av dybdekunnskap om personvernlovgivning og praksis på området. Personen må kunne utføre oppgavene som er nevnt i personvernforordningen art. 39.

1.3 Endringer i instruksen

Direktøren fastsetter instruksen for personvernombudet innenfor rammene i regelverket og eventuelle retningslinjer fra Datatilsynet eller EU-kommisjonen. Personvernombudet skal gjennomgå og revurdere instruksen årlig, og presentere eventuelle behov for endringer for direktøren.

2. Roller og ansvar

2.1 Direktørens overordnede ansvar for personvern

Direktøren er ansvarlig for at behandlingen av personopplysninger i UDI skjer i tråd med regelverket (behandlingsansvarlig).

2.2 Personvernombudets rolle

Personvernombudet er en uavhengig, objektiv rådgiver, og skal bidra til å forbedre UDIs arbeid med personvern.

Ombudet skal

  • gi råd om hvordan direktøren kan ivareta personvernet på en best mulig måte
  • bistå direktøren med å påse at UDI blir drevet i henhold til det til enhver tid gjeldende personvernregelverket.

2.3 Personvernombudet skal involveres

Personvernombudet skal gi råd og bistå hele virksomheten, og følger UDIs ansvarsområde.

UDI skal ha rutiner som sikrer at ombudet blir involvert i alle spørsmål som gjelder vern av personopplysninger på riktig måte og til rett tid (Se personvernforordningen art. 38 nr. 1).

Personvernombudets vurderinger skal bli hørt og tatt i betraktning. Hvis det blir tatt avgjørelser som kan være i strid med personvernlovgivningen eller det ikke blir tatt hensyn til rådene fra personvernombudet, skal ombudet få mulighet til å legge fram sine vurderinger overfor de som skal ta avgjørelsen, og om nødvendig virksomhetens øverste ledelse. Begrunnelsen for at personvernombudets anbefaling ikke blir fulgt skal dokumenteres og arkiveres skriftlig, slik at vi kan sikre etterprøvbarheten.

For å sikre tilstrekkelig involvering skal ombudet

  • periodisk rapportere om status på eget arbeid til ledelsen
  • regelmessig inviteres til å delta i møter med topp- og mellomledelsen
  • ha rett til å møte i direktørmøter og andre møter som omhandler relevante saker, etter avtale
  • ved behov gi råd og veiledning til personvernrådgiverne om problemstillinger og risikovurderinger i egen avdeling
  • bli informert og rådspurt ved avvik som er relatert til personvernlovgivningen, og andre hendelser som kan ha konsekvenser for personvernet
  • ha månedlige møter med personvernrådgiverne i avdelingene

3. Personvernombudets uavhengighet og plassering

Ombudet skal rapportere direkte til det høyeste ledelsesnivået, til direktøren, for å sikre uavhengighet fra den øvrige linjeorganisasjonen, se personvernforordningen art. 38 nr. 3.

3.1 Uavhengighet

Personvernombudet kan ikke bli instruert om hvordan ombudet skal utføre oppgavene sine. Dette innebærer at ombudet ikke kan få instrukser om hva utfallet av en sak som er til vurdering hos ombudet skal være, hvordan ombudet skal utrede et forhold eller hvorvidt ombudet skal rådføre seg med Datatilsynet. Ombudet kan heller ikke bli instruert i sitt syn på regelverket, for eksempel hvordan det skal tolke personvernrelatert lovgivning.

3.2 Organisatorisk plassering

Ombudet er organisatorisk plassert i Internrevisjonen, som en faglig uavhengig funksjon adskilt fra internrevisjonsfunksjonen. Ombudet rapporterer administrativt til lederen for internrevisjonen, og til direktøren i faglige spørsmål. Lederen for internrevisjonen har ingen faglig instruksjonsmyndighet over ombudet.

4. Personvernombudets ressurssituasjon og plikter

4.1 Ressurser

UDI skal stille til rådighet de ressursene og tilgangene som er nødvendig for at personvernombudet skal kunne utføre oppgavene sine. Dette inkluderer tilgang til personopplysninger og behandlingsaktiviteter, i den grad det er nødvendig for ombudets oppgaveløsning. UDI skal også gjøre det mulig for ombudet å opprettholde dybdekunnskapen sin, se personvernforordningen art. 38 nr. 2.

4.2 Taushetsplikt

Personvernombudet har taushetsplikt om opplysninger som ombudet får kjennskap til gjennom utførelsen av sine oppgaver, se personvernforordningen art. 38 nr. 5.

5. Personvernombudets oppgaver og rolle som kontaktpunkt

5.1 Oppgaver

Det følger av forordningen art 39 at personvernombudet minst skal ha følgende oppgaver:

  • Informere og gi råd om kravene i personvernforordningen, EU-regelverket og nasjonale regler om personvern til øverste ledelse i UDI og ansatte som behandler personopplysninger
  • Kontrollere om UDI overholder personvernforordningen, EU-regelverket og nasjonale regler om personvern og UDIs egne personvernretningslinjer, herunder fordeling av det daglige ansvaret for personvernarbeidet i UDI, holdningsskapende tiltak og opplæring av ansatte som behandler personopplysninger, og tilhørende revisjoner
  • Gi råd om vurderingen av personvernkonsekvenser og kontrollere gjennomføringen av den i henhold til artikkel 35
  • Samarbeide med Datatilsynet og fungere som kontaktpunkt for tilsynet ved spørsmål om hvordan UDI behandler personopplysninger, herunder forhåndsdrøftingene som er nevnt i artikkel 36
  • Ved behov rådføre seg med Datatilsynet om eventuelle andre spørsmål

Personvernombudet skal ta hensyn til risikoene som er forbundet med behandlingsaktivitetene, herunder behandlingens art, omfang, formål og sammenhengen den utføres i. Dette betyr at personvernombudet bør rette innsatsen mot områder som har høyest risiko for personvernet. Dersom linjeledelsen har godtatt et risikonivå som ombudet anser å være uakseptabelt for UDI, skal ombudet ta dette opp med direktøren.

5.2 Hvordan unngå interessekonflikt?

Personvernombudet kan utføre andre oppgaver og ha andre plikter. Den som er behandlingsansvarlig skal sikre at slike oppgaver eller plikter ikke fører til en interessekonflikt, (se personvernforordningen art. 38 nr. 6). UDI må vurdere hvorvidt ulike roller er forenlig med arbeidet, og eventuelt iverksette tiltak for å unngå eller håndtere interessekonflikter på en god måte.

Ombudet kan for eksempel ikke bestemme formålet og måten UDI skal behandle personopplysninger på, men kan kun tilby faglige råd og veiledning. Ombudet kan i utgangspunktet heller ikke eie retningslinjer om behandling av personopplysninger i UDI. Et slikt eierskap vil ikke være forenelig med ombudets oppgave med å kontrollere hvordan UDI etterlever regelverket og de interne retningslinjene.

Dersom det blir reist tvil om uavhengigheten eller objektiviteten til personvernombudet, skal det avklares med direktøren snarest.

5.3 Personvernombudet som kontaktpunkt

UDI plikter å informere alle ansatte om personvernombudet og hva denne rollen innebærer for virksomheten. Direktoratet skal også offentliggjøre kontaktopplysningene til personvernombudet og gi dem til Datatilsynet.
Den som er registrert kan kontakte personvernombudet på e-post personvernombud@udi.no angående alle spørsmål om hvordan UDI behandler personopplysningene deres og om rettighetene de har i henhold til forordningen.

 

Frode Forfang
direktør


Kontakt: Personvernombudet

Latest changes
  • Ny: IM 2018-003 Instruks for personvernombudet i UDI (3/21/2018)

    UDI har fått et personvernombud og denne internmeldingen beskriver rollen, ansvaret og myndigheten som ligger til stillingen.

Norwegian Directorate
of Immigration
Utlendingsdirektoratet
P.O. box 2098 Vika
NO-0125 Oslo
Norway

Editor in Chief: Stephan Mo