Fag Rollen som personvernombud
Advokat Helene Dorans skriver her om hva et personvernombud egentlig er og hvorfor rollen kan være krevende å inneha.
Flere saker i media har den siste tiden satt søkelys på rollen som personvernombud. Vi har lest om ansatte ved OUS som raser mot virksomhetens personvernombud og om et ombud som blir omplassert.
Hva er egentlig et personvernombud og hvorfor kan denne rollen være krevende å inneha?
Mange bedrifter og organisasjoner behandler daglig store mengder personopplysninger. Disse virksomhetene kan være lovpålagt å oppnevne et personvernombud.
Hensikten med ordningen er å styrke virksomhetens evne til å etterleve regelverket for behandling av personopplysninger og å sørge for at virksomheten har den nødvendige kompetansen for å håndtere personopplysninger i tråd med regelverket.
Hvilke virksomheter må oppnevne personvernombud?
Virksomheter som behandler personopplysninger i et større omfang plikter å oppnevne et personvernombud.
Personvernforordningen artikkel 37 fastslår at alle offentlige virksomheter, med unntak av domstoler, er pålagt å utnevne et personvernombud. I tillegg skal virksomheter, hvor hovedaktiviteten består i regelmessig og systematisk å overvåke personer i stort omfang (bokstav b), eller virksomheter som behandler sensitive opplysninger i stort omfang (bokstav c), oppnevne personvernombud.
Hvem som er virksomhetens ombud, skal meldes til Datatilsynet.
Virksomhetens ledelse er øverste ansvarlig for behandlingen av personopplysninger og defineres som den behandlingsansvarlige. Databehandleren er den som behandler personopplysninger på vegne av en behandlingsansvarlig.
Hvem kan være personvernombud?
Forordningen fastsetter ikke noen formelle krav til hvem som kan være personvernombud. Dette innebærer som utgangspunkt at alle kan oppnevnes til rollen.
Forordningen artikkel 37 (5) stiller imidlertid tydelige krav til at den som oppnevnes har faglige kvalifikasjoner, kjenner godt til personvernregelverket og praksis samt har evne til å utføre oppgavene.
Den som har ombudsrollen skal bidra til å sikre at personvernspørsmål får tilstrekkelig oppmerksomhet i virksomhetene og at virksomheten har den kompetansen som er nødvendig for å håndtere den risikoen som behandling av personopplysninger innebærer.
For å kunne fungere godt i rollen er det en forutsetning at den som oppnevnes har kunnskap om organisasjonen og virksomheten. Dette for å kunne sette seg inn i og forstå hvordan personopplysninger behandles.
Bare fysiske personer kan inneha rollen. Den behandlingsansvarlige, kan ikke utnevne seg selv som personvernombud. Datatilsynet fraråder at den som er sikkerhetsansvarlig også påtar seg rollen som personvernombud da disse rollene ofte kan ha motstridende interesser.
Det er viktig å merke seg at personvernombudet har taushetsplikt, jf. artikkel 38 (5).
Personvernombudets oppgaver
Personvernombudets lovpålagte oppgaver følger av personvernforordningen artikkel 39. Sentrale gjøremål er blant annet å gi råd i egen organisasjon, til ansatte og til behandlingsansvarlig eller databehandler. Videre skal ombudet følge med på at egen virksomhet etterlever personvernregelverket.
Ombudet skal gi råd om vurderingen av personvernkonsekvensene og kontrollere gjennomføringen. Personvernombudets arbeid skjer i stor grad internt i egen organisasjon. Ombudet skal fungere som kontaktperson utad til de som virksomheten behandler personopplysninger om (de registrerte) og samarbeide med tilsynsmyndigheten.
Personvernombudet kan også utføre andre personvernrelaterte oppgaver i virksomheten enn det som følger av forordningen.
Arbeidsgiver plikter å stille nødvendige ressurser til rådighet for personvernombudet slik at ombudet får oppfylt sine lovpålagte oppgaver. Dette innebærer blant annet at ombudet skal gis mulighet til å gå på nødvendig kurs, fagsamlinger eller annet for å opprettholde sin dybdekunnskap, jf. artikkel 38 (2).
Interessekonflikt mellom personvern og virksomhetens øvrige formål
Et personvernombud skal opptre uavhengig og gi ledelsen råd som er objektive og kvalifiserte ut i fra personvernhensyn. Det er forbudt å instruere ombudet om hvordan denne skal utføre sine lovpålagte oppgaver. Det er behandlingsansvarlig eller databehandlers oppgave å ivareta ombudets uavhengighet og støtte opp om dets arbeid.
Personvernombudet har i oppgave å gi råd samt å kontrollere etterlevelse av relevant regelverk. Det er imidlertid ledelsen, som behandlingsansvarlig, som har ansvaret for at personvernlovgivningen følges. Ledelsen vil ha ansvaret for at virksomheten opptrer i samsvar med øvrig lovgivning, samt treffer de endelige beslutningene. I denne prosessen vil et personvernombud kunne oppleve at ledelsen går imot ombudets råd.
For å minimere ombudets utsatte posisjon er det viktig å skille mellom dets rådgivende funksjon og hvem som faktisk tar beslutningene. Dette innebærer at ledelsen må ha kompetanse til å forstå og vurdere de råd ombudet gir, og å avveie disse mot virksomhetens øvrige behov.
For å minimere risikoen for at ombudet i kraft av sin rolle kommer i en utsatt posisjon, bør enhver virksomhet gjøre nødvendige rolleavklaringer og videreformidle disse nedover i organisasjonen.
Avslutningsvis minner Juristforbundets advokatkontor om at det er forbudt å iverksette formelle og uformelle sanksjoner mot et ombud som utfører sine oppgaver, jf. artikkel 38.