Artikkel 38. Personvernombudets stilling

Sammendrag: Det skal sikres at personvernombudet involveres i alle spørsmål som gjelder vern av personopplysninger på rett måte og i rett tid av behandlingsansvarlig og databehandler. Personvernombudet skal ha tilstrekkelig ressurser, mulighet til å opprettholde kompetansen og tilgang til personopplysninger og behandlingsaktiviteter. Personvernombudet skal rapportere til høyeste ledelsesnivå, være uavhengig, ikke motta instrukser eller sanksjoner knyttet til sine oppgaver og har taushetsplikt. Personvernombudet skal være kontaktpunkt for de personopplysningene gjelder. Personvernombudet kan ha andre plikter, men det skal ikke innebære en interessekonflikt.

1. Den behandlingsansvarlige og databehandleren skal sikre at personvernombudet på riktig måte og i rett tid involveres i alle spørsmål som gjelder vern av personopplysninger.

2. Den behandlingsansvarlige og databehandleren skal støtte personvernombudet i forbindelse med utførelsen av oppgavene nevnt i artikkel 39 ved å stille til rådighet de ressurser som er nødvendig for å utføre nevnte oppgaver, samt gi tilgang til personopplysninger og behandlingsaktiviteter og gjøre det mulig for vedkommende å opprettholde sin dybdekunnskap.

3. Den behandlingsansvarlige og databehandleren skal sikre at personvernombudet ikke mottar instrukser om utførelsen av nevnte oppgaver. Vedkommende skal ikke avsettes eller straffes av den behandlingsansvarlige eller databehandleren for å utføre sine oppgaver. Personvernombudet skal rapportere direkte til det høyeste ledelsesnivået hos den behandlingsansvarlige eller databehandleren.

4. De registrerte kan kontakte personvernombudet angående alle spørsmål om behandling av deres personopplysninger og om utøvelsen av de rettighetene de har i henhold til denne forordning.

5. Personvernombudet skal være bundet av taushetsplikt eller en plikt til konfidensiell behandling av opplysninger ved utførelse av sine oppgaver i samsvar med unionsretten eller medlemsstatenes nasjonale rett.

6. Personvernombudet kan utføre andre oppgaver og ha andre plikter. Den behandlingsansvarlige eller databehandleren skal sikre at nevnte oppgaver eller plikter ikke fører til en interessekonflikt.

Relevante fortalepunkter

Utpeking av personvernombud*

97. Dersom behandlingen utføres av en offentlig myndighet, bortsett fra domstoler eller uavhengige rettshåndhevende myndigheter når de opptrer innenfor rammen av sin domsmyndighet, dersom behandlingen i privat sektor utføres av en behandlingsansvarlig hvis kjernevirksomhet består av behandlingsaktiviteter som krever regelmessig og systematisk monitorering i stor skala av de registrerte, eller dersom den behandlingsansvarliges eller databehandlerens kjernevirksomhet består av behandling i stor skala av særlige kategorier av personopplysninger og opplysninger om straffedommer og lovovertredelser, bør en person med dybdekunnskap om personvernlovgivning og -praksis bistå den behandlingsansvarlige eller databehandleren for å føre tilsyn med den interne overholdelsen av denne forordning. I privat sektor omfatter en behandlingsansvarligs kjernevirksomhet vedkommendes primære virksomhet og ikke behandling av personopplysninger som bivirksomhet. Det nødvendige nivået av dybdekunnskap bør fastsettes i henhold til de behandlingsaktivitetene som utføres, og det vernet som er nødvendig for personopplysningene som behandles av den behandlingsansvarlige eller databehandleren. Slike personvernombud, enten de er ansatt hos den behandlingsansvarlige eller ikke, bør kunne utføre sine funksjoner og oppgaver på en uavhengig måte.
*ikke offisiell overskrift

Engelsk tekst

Article 38. Position of the data protection officer

1. The controller and the processor shall ensure that the data protection officer is involved, properly and in a timely manner, in all issues which relate to the protection of personal data.

2. The controller and processor shall support the data protection officer in performing the tasks referred to in Article 39 by providing resources necessary to carry out those tasks and access to personal data and processing operations, and to maintain his or her expert knowledge.

3. The controller and processor shall ensure that the data protection officer does not receive any instructions regarding the exercise of those tasks. He or she shall not be dismissed or penalised by the controller or the processor for performing his tasks. The data protection officer shall directly report to the highest management level of the controller or the processor.

4. Data subjects may contact the data protection officer with regard to all issues related to processing of their personal data and to the exercise of their rights under this Regulation.

5. The data protection officer shall be bound by secrecy or confidentiality concerning the performance of his or her tasks, in accordance with Union or Member State law.

6. The data protection officer may fulfil other tasks and duties. The controller or processor shall ensure that any such tasks and duties do not result in a conflict of interests.

< Artikkel 37 | Artikkel 39 >