1. Innledning
Instruks for personvernombud ved Universitetet i Oslo (UiO) definerer rolle, ansvar og myndighet som ligger til stillingen.
Som offentlig virksomhet er UiO pliktig å utpeke et personvernombud, jf. personvernforordningen artikkel 37, nr. 1 a.
UiO må offentliggjøre kontaktopplysningene til personvernombudet og meddele disse til tilsynsmyndigheten, jf. forordningen art. 37, nr. 7.
1.1 Overordnet ansvar for personvern
Universitetsdirektøren er daglig behandlingsansvarlig og dermed ansvarlig for at behandlingen av personopplysninger ved Universitetet i Oslo skjer i tråd med gjeldende regelverk. Universitetsstyret ved rektor er formelt ansvarlig for universitetets behandling av personopplysninger.
1.2 Vedtakelse av og endringer i instruksen
Instruksen skal vedtas av universitetsstyret.
Personvernombudet skal gjennomgå og revurdere instruksen årlig, og presentere eventuelle behov for endringer for universitetsdirektøren.
2. Kvalifikasjoner
UiOs personvernombud skal utpekes på grunnlag av faglige kvalifikasjoner og særlig på grunnlag av dybdekunnskap om personvernlovgivning og praksis på området samt evne til å utføre oppgavene nevnt i artikkel 39, jf. art. 37 nr. 5.
3. Ansettelse og fratredelse
Personvernombudet er administrativt tilsatt og blir ansatt ihht. UiOs til enhver tid gjeldende ansettelse- og fratredelsesrutiner.
4. Rolle og oppgaver
Personvernombudet skal:
- bidra til at UiO ivaretar personvernet til ansatte, studenter og forskningsdeltakere i tråd med bestemmelsene i personvernforordningen, personopplysningsloven og andre relevante regelverk med personvernbestemmelser, samt UiOs egne interne retningslinjer for personvern
- informere og gi råd om forpliktelsene UiO har i henhold til personvernforordningen
- gi UiO råd og veiledning om behandling av personopplysninger, jf. personvernforordningen art. 38 nr. 1 og 39
- på anmodning fra UiO, gi råd om vurderingen av personvernkonsekvenser (Data Protection Impact Assessment – DPIA) og kontrollere gjennomføringen av personvernkonsekvensvurderingen
- være kontaktpunkt for de registrerte ved spørsmål om behandling av deres personopplysninger og om utøvelsen av de rettigheter de har etter personvernforordningen
- være kontaktpunkt for og samarbeide med tilsynsmyndighetene
- gi UiO råd i avvikssaker på anmodning fra behandlingsansvarlig
- motta avviksrapporter fra behandlingsansvarlig og oversende dem til tilsynsmyndigheten der det er nødvendig etter art. 33
- samarbeide med interne og eksterne rådgivere for å ivareta personvern i forskning
- gi råd om og delta i internkontroll av behandling av personopplysninger i samarbeid med utøver av behandleransvaret
Personvernombudet skal utøve sine oppgaver på en uavhengig måte, jf. personvernforordningen art. 38, nr. 3. Personvernombudet skal ikke instrueres om hva utfallet av en sak som er til vurdering hos personvernombudet skal være, hvordan personvernombudet skal undersøke en klage, eller hvorvidt personvernombudet skal rådføre seg med tilsynsmyndighetene eller andre eksterne rådgivere.
Personvernombudet kan utføre andre oppgaver og ha andre plikter. UiO skal sikre at slike eventuelle oppgaver og plikter ikke fører til en interessekonflikt.
Hvis det blir reist tvil om uavhengigheten eller objektiviteten til personvernombudet, skal det avklares med universitetsdirektøren snarest.
5. Personvernombudets involvering
UiO skal sikre at personvernombudet blir involvert på riktig måte og til rett tid i alle spørsmål som gjelder vern av personopplysninger.
UiO skal sikre at personvernombudets råd og vurdering blir hørt og tatt i betraktning. Personvernombudets råd og vurderinger til UiO skal dokumenteres og følge saken frem til beslutningstaker.
Hvis det ved UiO blir tatt avgjørelser som kan være i strid med personvernlovgivningen eller det ikke blir tatt hensyn til personvernombudets råd, skal personvernombudet få mulighet til å legge frem sine vurderinger til dem som skal ta avgjørelsen, og om nødvendig virksomhetens øverste ledelse ved universitetsdirektøren. Dersom forholdet ikke blir avklart, kan personvernombudet rapportere forholdet til universitetsstyret.
6. Personvernombudets ressurser og tilgang
UiO skal støtte personvernombudet i utførelsen av rollen og oppgaver ved å stille til rådighet de ressurser og tilganger som er nødvendig for å utføre dette. Dette inkluderer tilgang til personopplysninger og behandlingsaktiviteter i den grad det er nødvendig for at personvernombudet skal kunne utføre sine oppgaver.
UiO skal gjøre det mulig for personvernombudet å opprettholde sin dybdekunnskap.
7. Taushetsplikt
Personvernombudet er bundet av taushetsplikt etter personopplysningsloven § 18, jf. personvernforordningen art. 38, nr. 5 og forvaltningsloven § 13.
8. Rapportering
Personvernombudet skal rapportere direkte til det høyeste ledelsesnivået hos UiO.
Rapporteringen skal omfatte:
- jevnlig rapportering til universitetsdirektør i enkeltsaker og generell status for UiOs behandling av personopplysninger
- årlig rapportering til universitetsstyret