Virksomheter som behandler store mengder personopplysninger daglig har garantert et behov for et personvernombud. Det norske Datatilsynet har gitt noen føringer på hvilke organisasjoner og bedrifter som skal ha ombud, som du kan lese her.
Ombudet kan hentes eksternt, men det gunstigste er å peke ut en ansatt fra egne rekker, som har inngående kjennskap til rutiner, bedriftskultur, personer, etc.
Det er en stor fordel at ombudet skjønner hvilke formål som ligger til grunn for personopplysningene og ikke minst hvilke fremgangsmetoder som benyttes. Det er samtidig vesentlig at personen i stillingen oppfattes som uavhengig og ikke har for nære relasjoner til de ansvarlige i en virksomhet. Denne balansen er vanskelig, men viktig.
Ombudets viktigste oppgaver
Et personvernombuds første, store oppgave blir å skaffe seg oversikt over virksomhetens behandlinger av personopplysninger. Da må man i tett dialog med den personen i bedriften som har ansvaret for behandlingen av personvernopplysninger, dvs. behandlingsansvarlig. Den behandlingsansvarlige må på sin side sørge for at det etableres rutiner som sikrer at ombudet involveres i alle spørsmål som gjelder vern av personopplysninger.
Ombudet skal i prinsippet fungere som en rådgiver for behandlingsansvarlig, mens den ansvarlige skal holde ombudet i «loopen» ved å inkludere han/hun i møter med ledelsen. Ombudet bør være til stede når viktige personvernsavgjørelser foretas, spørres ved avvik, varsles ved endrede rutiner, og informeres når nye IT-systemer eller sikkerhetstiltak innføres som berører enkeltpersoner.
Det er viktig med tilstrekkelig kompetanse og tyngde for å skape forståelse og få gjennomslag for tiltak og retningslinjer som blir innført, både i forhold til ledelse og ansatte
Har for eksempel ikke ledelsen innført et system for internkontroll må det etableres. Ved brudd på regelverket, skal ledelsen varsles umiddelbart. Det skal være en risikobasert tilnærming til personvernet, og ombudet bør prioritere sine aktiviteter og fokusere på områder der personvernrisikoen er størst.
Men minst like viktig er det å skape rom for tilgjengelighet og gi ombudet tid til å bistå ved spørsmål internt fra medarbeidere eller fra kunder/brukere. Ledelsen må ikke stille personvernombudet i en posisjon hvor han/hun verken får tid til å utføre den vanlige jobben (hvis det er deltid), eller den viktige ombudsstillingen.
Det er en plikt at den som innehar stillingen holder seg orientert om utviklingen innen personvern og er den faste kontaktperson til Datatilsynet.
Nødvendige ressurser skal stilles til disposisjon
Forankring og støtte fra øverste ledelse er en forutsetning, men det hjelper lite hvis andre deler av virksomheten stiller seg på bakbeina. Alle avdelinger skal i prinsippet involveres i større eller mindre grad. Både IT-seksjonen, men også avdelingene for HR, jus, sikkerhet, salg, marked, forretningsutvikling, etc. må inkluderes.
Tillit er et nøkkelord. Det er en stor fordel å velge et personvernombud med troverdighet, som man vet blir lyttet til, og som det er sannsynlig at de ansatte vil være lojale mot.
I denne sammenheng blir kommunikasjonsdelen essensiell. Husk på å informere alle ansatte om at det er opprettet et personvernombud og hva denne rollen innebærer for virksomheten. Gjør en forventningsavklaring med alle avdelinger om hva de skal bidra med, og la informasjonen komme fra øverste leder, så man skjønner at dette har prioritet.
En annen hovedoppgave for ombudet, i samarbeid med den behandlingsansvarlige, vil være å informere, gi råd og anbefalinger for å sikre etterlevelse av GDPR. Det vil være lurt å foreslå ansvarsfordeling for personvernoppgaver og generelt gjennomføre holdningsskapende arbeid gjennom opplæring av medarbeidere.
Slik oppnår man forståelse i hele bedriften for hvorfor rutiner bør følges. Samtidig kan man unngå at det blir snakket for mye i gangene…
Blir det for mange oppgaver for én person, bør man vurdere støttefunksjoner fra egen organisasjon. Dette er selvsagt avhengig av omfanget av jobben, virksomhetens natur og størrelse, samt kompleksiteten i behandlingen av personopplysninger. Uansett skal ikke tid og ressurser være et hinder for at ombudet klarer å gjennomføre de oppgavene som han/hun er pålagt. Tilstrekkelig med økonomiske midler og tekniske hjelpemidler (kontorplass, IT-utstyr, osv.) er åpenbare forutsetninger for å få jobben gjort.
Interessekonflikter kan oppstå
Varslere vet hvor stor belastningen kan være ved å melde fra om straffbare forhold internt. For at et ombud skal fungere skikkelig, er det en selvfølge at man verken kan sparkes eller ilegges sanksjoner hvis ombudet oppdager tvilsomme forhold man er pliktig til å rapportere.
Sanksjoner kan for eksempel være tap av goder som ansatte vanligvis nyter godt av, eller forbigåelse ved karriereopprykk og/eller lønnsforhøyelser.
Det er dessuten viktig med tilstrekkelig avstand og integritet for at ombudet ikke skal bli trukket inn som part i interessekonflikter mellom avdelinger og/eller mellom ansatte og ledelse
Det man i fellesskap blir enige om bør dokumenteres: La det komme tydelig frem i en arbeidsbeskrivelse. Klare arbeidsoppgaver og ansvarsforhold mellom ombud og ledelse skal ned på papiret. Er det en deltidsstilling, skal også stillingsprosenten oppgis. Men det må gå klart frem at ombudsoppgavene er prioriterte.
Og det er her konflikter kan oppstå: Ombudet skal utføre oppgavene uavhengig av andre posisjoner i selskapet. Derfor er ikke denne rollen for eksempel forenelig med en høy lederstilling. Men det beste er å identifisere stillinger som er uforenlige med personvernombudsrollen i forkant av utlysningen. Det gjelder å være tydelig om hvilke roller og oppgaver vedkommende kan/ikke kan ha som personvernombud.
I tillegg er det en god øvelse å identifisere hvilke potensielle interessekonflikter ombudet kan møte, samt lage interne retningslinjer for nettopp å unngå slike interessekonflikter.
Organisasjonen må uansett våge å stille de viktige spørsmålene, slik at personvernet er på agendaen ved viktige beslutninger, uten at det oppfattes som påtvunget eller belastende. Personvernombudets rolle er blant annet å forsøke å se organisasjonen med et utenfra-og-inn perspektiv, selv om det kan føre til noen upopulære beslutninger. Da er tillit til vurderingene og lojalitet til beslutningene igjen veldig viktige.
Sikkerhetshensyn
En person kan ikke være personvernombud og samtidig ha en rolle der han/hun skal bestemme måten personopplysninger skal behandles på. Hvis sikkerhetsansvarlig i en organisasjon har fått delegert ansvaret med å bestemme formål eller verktøyet som skal brukes for å behandle personopplysninger, forsvinner uavhengigheten.
Det er selvsagt en styrke at personvernombudet har sikkerhetskompetanse. Men en person som både er sikkerhetsansvarlig og innehar en stilling som personvernombud kan komme i situasjoner hvor man er nødt til å gjøre avveiinger mellom sikkerhets- og personvernhensyn, for eksempel ved logging i et IT-system av sikkerhetsgrunner.
I en slik situasjon kan vedkommende havne i en interessekonflikt.
Åpenhet og kontinuerlig dialog rundt disse problemstillingene er universalnøkkelen for å unngå konflikt. Alt bør og må forankres i øverste ledelse, ellers vil dette viktige arbeidet bli en uforholdsmessig stor belastning for organisasjonen.
Les også: Bedrifter panikksender epost til kundene: – Unødvendig og muligens ulovlig