Instruks for UiOs personvernombud

1. Innledning

Instruks for personvernombud ved Universitetet i Oslo (UiO) definerer rolle, ansvar og myndighet som ligger til stillingen.

Som offentlig virksomhet er UiO pliktig ? utpeke et personvernombud, jf. personvernforordningen artikkel 37, nr. 1 a.

UiO m? offentliggj?re kontaktopplysningene til personvernombudet og meddele disse til tilsynsmyndigheten, jf. forordningen art. 37, nr. 7.

1.1 Overordnet ansvar for personvern

Universitetsdirekt?ren er daglig behandlingsansvarlig og dermed ansvarlig for at behandlingen av personopplysninger ved Universitetet i Oslo skjer i tr?d med gjeldende regelverk. Universitetsstyret ved rektor er formelt ansvarlig for universitetets behandling av personopplysninger.

1.2 Vedtakelse av og endringer i instruksen

Instruksen skal vedtas av universitetsstyret.

Personvernombudet skal gjennomg? og revurdere instruksen ?rlig, og presentere eventuelle behov for endringer for universitetsdirekt?ren.   

2. Kvalifikasjoner

UiOs personvernombud skal utpekes p? grunnlag av faglige kvalifikasjoner og s?rlig p? grunnlag av dybdekunnskap om personvernlovgivning og praksis p? omr?det samt evne til ? utf?re oppgavene nevnt i artikkel 39, jf. art. 37 nr. 5.

3. Ansettelse og fratredelse

Personvernombudet er administrativt tilsatt og blir ansatt ihht. UiOs til enhver tid gjeldende ansettelse- og fratredelsesrutiner.

4. Rolle og oppgaver

Personvernombudet skal:

• bidra til at UiO ivaretar personvernet til ansatte, studenter og forskningsdeltakere i tr?d med bestemmelsene i personvernforordningen, personopplysningsloven og andre relevante regelverk med personvernbestemmelser, samt UiOs egne interne retningslinjer for personvern
• informere og gi r?d om forpliktelsene UiO har i henhold til personvernforordningen
• gi UiO r?d og veiledning om behandling av personopplysninger, jf. personvernforordningen art. 38 nr. 1 og 39
• p? anmodning fra UiO, gi r?d om vurderingen av personvernkonsekvenser (Data Protection Impact Assessment ¨C DPIA) og kontrollere gjennomf?ringen av personvernkonsekvensvurderingen
• v?re kontaktpunkt for de registrerte ved sp?rsm?l om behandling av deres personopplysninger og om ut?velsen av de rettigheter de har etter personvernforordningen
• v?re kontaktpunkt for og ÑDz©ÓéÀÖ¹ÙÍø_ÑDz©ptÊÖ»ú¿Í»§¶ËµÇ¼e med tilsynsmyndighetene
• gi UiO r?d i avvikssaker p? anmodning fra behandlingsansvarlig
• motta avviksrapporter fra behandlingsansvarlig og oversende dem til tilsynsmyndigheten der det er n?dvendig etter art. 33
• ÑDz©ÓéÀÖ¹ÙÍø_ÑDz©ptÊÖ»ú¿Í»§¶ËµÇ¼e med interne og eksterne r?dgivere for ? ivareta personvern i forskning
• gi r?d om og delta i internkontroll av behandling av personopplysninger i ÑDz©ÓéÀÖ¹ÙÍø_ÑDz©ptÊÖ»ú¿Í»§¶ËµÇ¼ med ut?ver av behandleransvaret

Personvernombudet skal ut?ve sine oppgaver p? en uavhengig m?te, jf. personvernforordningen art. 38, nr. 3. Personvernombudet skal ikke instrueres om hva utfallet av en sak som er til vurdering hos personvernombudet skal v?re, hvordan personvernombudet skal unders?ke en klage, eller hvorvidt personvernombudet skal r?df?re seg med tilsynsmyndighetene eller andre eksterne r?dgivere.

Personvernombudet kan utf?re andre oppgaver og ha andre plikter. UiO skal sikre at slike eventuelle oppgaver og plikter ikke f?rer til en interessekonflikt.

Hvis det blir reist tvil om uavhengigheten eller objektiviteten til personvernombudet, skal det avklares med universitetsdirekt?ren snarest.

5. Personvernombudets involvering

UiO skal sikre at personvernombudet blir involvert p? riktig m?te og til rett tid i alle sp?rsm?l som gjelder vern av personopplysninger.

UiO skal sikre at personvernombudets r?d og vurdering blir h?rt og tatt i betraktning. Personvernombudets r?d og vurderinger til UiO skal dokumenteres og f?lge saken frem til beslutningstaker.

Hvis det ved UiO blir tatt avgj?relser som kan v?re i strid med personvernlovgivningen eller det ikke blir tatt hensyn til personvernombudets r?d, skal personvernombudet f? mulighet til ? legge frem sine vurderinger til dem som skal ta avgj?relsen, og om n?dvendig virksomhetens ?verste ledelse ved universitetsdirekt?ren. Dersom forholdet ikke blir avklart, kan personvernombudet rapportere forholdet til universitetsstyret.

6. Personvernombudets ressurser og tilgang

UiO skal st?tte personvernombudet i utf?relsen av rollen og oppgaver ved ? stille til r?dighet de ressurser og tilganger som er n?dvendig for ? utf?re dette. Dette inkluderer tilgang til personopplysninger og behandlingsaktiviteter i den grad det er n?dvendig for at personvernombudet skal kunne utf?re sine oppgaver.

UiO skal gj?re det mulig for personvernombudet ? opprettholde sin dybdekunnskap.

7. Taushetsplikt

Personvernombudet er bundet av taushetsplikt etter personopplysningsloven ¡ì 18, jf. personvernforordningen art. 38, nr. 5 og forvaltningsloven ¡ì 13.

8. Rapportering

Personvernombudet skal rapportere direkte til det h?yeste ledelsesniv?et hos UiO.

Rapporteringen skal omfatte:

• jevnlig rapportering til universitetsdirekt?r i enkeltsaker og generell status for UiOs behandling av personopplysninger
• ?rlig rapportering til universitetsstyret