Personvernombudet skal bistå behandlingsansvarlig i arbeidet med å ivareta personvernet, etter personopplysningsloven og personopplysningsforskriften.

Internkontroll

Personopplysningslovens § 14 og helseregisterlovens § 17 stiller krav til at den som behandler personopplysninger skal etablere et system for internkontroll. Dette innebærer at virksomhetene må iverksette systematiske tiltak og rutiner for å sørge for at lovene og tilhørende regelverk er kjent og følges. Virksomheten må også kunne dokumentere hvilke rutiner som ligger til grunn for behandlingen av personopplysninger. Nærmere regulering av hva som skal dokumenteres fremgår av personopplysningsforskriften kap 3. Ombudets rolle vil være å bistå den behandlingsansvarlige dersom det oppstår vanskeligheter eller spørsmål.

Personvernombudet skal:

• påse at behandlinger av personopplysninger blir meldt til ombudet, og at meldingene inneholder korrekte og tilstrekkelige opplysninger
• føre en systematisk og offentlig tilgjengelig fortegnelse over behandlingene
• ivareta internkontroll som tilfredsstiller personopplysningslovens § 14, jf. personopplysningsforskriftens kapittel 3
• bistå de registrerte med å ivareta deres rettigheter etter reglene om behandling av personopplysninger
• påpeke brudd på personopplysningsloven overfor behandlingsansvarlig
• gi Datatilsynet opplysninger dersom tilsynet ber om det, herunder foreta undersøkelser i konkrete saker
• holde seg orientert om utviklingen innen personvern
• gi råd og veiledning til behandlingsansvarlig om behandling av personopplysninger og reglene for dette

Etablering av personvernombud fritar ikke behandlingsansvarlig fra ansvaret for at reglene i personopplysningsloven overholdes.

Nærmere om de enkelte oppgavene

Motta meldinger

Personvernombudet skal påse at alle behandlinger av personopplysninger som ellers ville vært meldepliktige til Datatilsynet, meldes til personvernombudet. Her vil personvernombudet måtte benytte sin kunnskap om virksomheten for å fange opp eventuelle behandlinger som ikke blir meldt.

Ombudet skal sjekke mottatte meldinger opp mot personopplysningsloven og/eller helseregisterloven og tilhørende forskrifter. Dette innebærer en vurdering av om meldingene som mottas inneholder korrekte og tilstrekkelige opplysninger. Ved mistanke om feil eller mangler skal personvernombudet kontakte den behandlingsansvarlige for å gjøre denne oppmerksom på dette og eventuelt bidra til å rette feilen.

Hvor omfattende kontrollen av mottatte meldinger skal være, må avgjøres konkret i hvert enkelt tilfelle. Kontrollen bør alltid omfatte hjemmelsgrunnlaget for behandlingen.

Føre fortegnelse

Personvernombudet skal føre en oversikt over alle opplysninger gitt i meldingen, jf. personopplysningsforskriften § 7-12 og personopplysningsloven § 32. Datatilsynet har vurdert det slik at de opplysninger som ville vært offentlig tilgjengelig hos Datatilsynet jf. personopplysningsloven § 42 nr. 1, også skal være offentlig tilgjengelig hos personvernombudet. Personvernombudet må derfor i tillegg føre en systematisk og offentlig tilgjengelig fortegnelse over alle behandlinger som er innmeldt, med opplysninger som nevnt i personopplysningsloven § 18, 1. ledd. Merk at denne fortegnelsen ikke skal inneholde alle de opplysninger som går frem av meldingene.

Fortegnelsen skal inneholde opplysninger om behandlingsansvarliges navn, adresse og dennes eventuelle representant.

Meldeplikt og konsesjonsplikt

• Det er tilstrekkelig med melding til Personvernombudet hvis det bare skal behandles personopp­lysninger fra ett eller flere av de sentrale helseregistrene. Behandling av opplysninger fra de sentrale helse­registrene sammen med helseopplysninger fra andre registre, er konsesjonspliktig.
• Det er tilstrekkelig med melding til Personvernombudet ved behandling av opplysninger fra henholdsvis MoBa, CONOR og Tvillingregisteret. Behandling av opplysninger fra disse registrene sammen med andre helse­opp­lysninger (herunder hverandre), er konsesjonspliktig.
• Det er tilstrekkelig med melding til Personvernombudet ifm. forskningsprosjekter som har et omfang på ikke flere enn 5 000 forsknings­objekter, og en varighet som er mindre enn 15 år.
• Registre i prosjekter som omfatter flere enn 5 000 personer og som varer lenger enn 15 år, er konsesjonspliktige.

Hvis prosjektet etter helseforskningsloven er frem­leggelses­pliktig til REK, er det tilstrekkelig med REK-søknad. Se nærmere om dette under Prosjektstøtte.

Søknadsprosessen

1. Søknad om konsesjon til å opprette personregister skal adresseres til Datatilsynet, men sendes pr. e-post til Personvernombudet (toam@fhi.no)Det skal skrives vanlig søknad med oversendelsesbrev. Datatilsynets søknadsskjema skal benyttes. Brevet, søknaden med underskrift og alle relevante vedlegg sendes pr. e-post til Person­vern­ombudet, som skriver innstilling og videresender saken pr. brevpost til Datatilsynet så snart som mulig.
2. Meldinger skrives på S601 (søknadsskjema for tilgang til data) og sendes pr. e-post til Personvernombudet sammen med alle relevante vedlegg. Avsender skal få bekreftelse pr. e-post på at melding er mottatt hos Personvernombudet. Personvernombudet avgjør saken, skriver innstilling og meddeler søkeren resultatet så snart som mulig. Er svar ikke mottatt innen 30 dager, kan meldingen anses som i orden.
3. Alle søknader og meldinger skal registreres i Folkehelseinstituttets arkivsystem WebSak. Søkeren/forskeren registrerer saken i WebSak på vanlig måte; enten selv eller med hjelp av arkiv­personalet.
4. Alle prosjekter skal registreres i Folkehelseinstituttets prosjektdatabase. Registrering skal skje samtidig med at søknad/melding sendes til Personvernombudet.
   Divisjonens/avdelingens saksbehandler for Prosjektdatabasen fører prosjektet inn i databasen etter gjeldende rutiner. Hvis det ikke er opprettet en saksbehandlerrolle ved divisjonen/avdelingen, skal Person­vern­ombudet sende kopi av saken til Avdeling for prosjektstøtte (SIPS), som forestår registreringen.