Av Izabella Salicath og Christin Flatland


Ny personvernforordning fra EU(1) trer i kraft 25. mai 2018. Fra dette tidspunkt pålegges flere norske virksomheter å ha et Personvernombud (PVO)(2), som skal bidra til å sikre at personopplysninger behandles på betryggende måte. Kravene i forordningen til ombudet er på flere punkter sammenfallende med krav som stilles til Compliance Officer og/eller en compliance funksjon. Compliance Nettverket i IIA Norge ønsket derfor å se nærmere på kravene, samt diskutere om rollen kan ivaretas av en compliance funksjon under medlemsmøtet «Compliance & Kaffe» 8. mars.

 

Kari Laumann fra Datatilsynet.

Kari Laumann fra Datatilsynet, foto: privat

Kari Laumann fra Datatilsynet gikk gjennom kravene til personvernombudet i EU forordningen(3). Laumann startet med å peke på de viktigste endringene, samt hvilke virksomheter som må ha et ombud. Hun la hovedvekten på kravene til private virksomheter og hvilke vurderingstema virksomhetene må ha fokus på når virksomheten vurderer om ombudsordningen er obligatorisk(4).

Deretter gikk Laumann gjennom hvordan ombudet bør utpekes, samt dets oppgaver og stilling. Både behandlingsansvarlige og databehandlere som faller inn under kravene har i utgangspunktet plikt til å oppnevne PVO. Selv om virksomheten ikke har en direkte plikt, kan PVO oppnevnes på frivillig basis. Norske myndigheter kan pålegge andre virksomheter enn de som faller inn under forordningen å oppnevne en PVO.

Når det gjelder ombudets stilling, nevnte Laumann blant annet at PVO må involveres, skal få ressurser og tilgang, skal ha mulighet til å opprettholde sakkunnskap, skal ikke motta instrukser eller straffes og skal rapportere til høyeste ledelsesnivå. I tillegg må PVO ikke ha andre oppgaver som fører til interessekonflikt, herunder kan PVO ikke ha stilling som innebærer at ombudet skal bestemme formålet og metode for behandling av personopplysninger.

Avslutningsvis ønsket Laumann blant annet å fremheve følgende:

Personvernombudsordningen er styrket i det nye regelverket fra EU. Det at mange norske virksomheter vil ha et personvernombud kan gjøre en stor forskjell for personvernet. Vi i Datatilsynet ser at det å ha en dedikert ressursperson med kompetanse og fokus på personvern i en virksomhet fører til sterkere regeletterlevelse og bedre behandling av personopplysninger. 

Ann Christin Flatland, leder av Nettverk Compliance, pekte i sitt foredrag på likhetstrekk mellom en compliance funksjon og PVO rollen, samt noen utfordringer dersom PVO rollen legges i en compliance funksjon. Sammenligningen tar utgangspunkt i Veiledning for compliancefunksjonen, utarbeidet av Nettverk Compliance(5). Felles for begge roller er at de:

  • kan ikke pålegges å komme frem til et bestemt resultat
  • har en risikotilnærming ved utføring av oppgaver
  • må ha tilgang til relevant informasjon og ressurser
  • må håndtere compliance avvik
  • skal overvåke etterlevelse
  • bør sørge for dokumentasjon av compliance
  • er et kontaktpunkt ved tilsynsbesøk(6)
  • må oppfylle krav til faglige kvalifikasjoner(7)

Forordningens krav til PVO innebærer at vedkommende må ha spisskompetanse innenfor personvern og muligens gå noe mer i dybden med hensyn til rådgivning og oppfølging av personvernrelaterte avvik enn en generell compliance kontroll funksjon organisert i andre linje8 normalt vil gå.

Figur 1 Analogisk anvendelse av «revisjonsviften»

Figur 1 Analogisk anvendelse av «revisjonsviften»

Flatland konkluderte imidlertid med at PVO rollen kan ivaretas av en compliance funksjon, dersom det tas nødvendige forholdsregler under organisering av funksjonen og gjennomføring av arbeidet, slik at funksjonen ikke kontrollerer eget arbeid. Som illustrasjon viste hun til revisjonsviften som kan benyttes analogisk for en compliance kontroll funksjon. Konklusjonen understøttes av det danske Justitsministeriet som under et stormøte om den nye forordningen 9. februar 2017 uttaler at PVO «Kan være organisationens compliance officer».

Under diskusjon og spørsmålsrunde kom det frem at kravene til en PVO er tydeligere enn etter gjeldende regler, men at det fortsatt er rom for fortolkning. Det ble vist til IAPP Privacy Advisor «What skills should your DPO absolutely have?», som blant annet fremhever at PVO bør ha juridisk kompetanse, ha kulturell forståelse, ha leder egenskaper og erfaring med styresaker, kunne formidle reglene på en enkel måte, samt ha IT, internrevisjon og risiko kompetanse. I tillegg må vedkommende forstå bransjen virksomheten opererer i. Dette taler for at rollen ivaretas av et team. På spørsmål om Datatilsynet vil akseptere dette, svarte Kari Laumann at dette vil være opp til virksomhetene, men at det må utpekes et formelt kontaktpunkt som er ansvarlig ihht. forordningen.

Izabella Salicath, Chief Compliance Officer i GIEK ivaretar rollen som personvernombud etter dagens regelverk. Hun sier følgende om betydningen av ny GDPR og arbeidet som PVO fremover:

Det virker som om GDPR virkelig har satt fokus på personvern, og med fokuset kommer også større forståelse av viktigheten av å arbeide med personvern. Ledere etterspør mer informasjon om både regelverket og PVO-rollen. I så måte gir også tonen fra toppen en større legitimitet for PVO-rollen i organisasjonen. Det er selvfølgelig utfordrende å arbeide med GDPR, men også spennende, og ikke minst viktig. Personvern er tross alt en grunnleggende rettighet som virkelig er blitt satt på agendaen.

Kilder
Forordningen (engelsk):
http://eur-lex.europa.eu/legal-content/EN/TXT/ PDF/?uri=OJ:L:2016:119:FULL

Datatilsynet:
https://www.datatilsynet.no/Personvernombud/hva-betyrnytt- lovverk-for-ombudene/

Presentasjonen tok utgangspunkt i høringsversjon av Veiledning og FAQ fra EU Working Party (WP) 29: http://ec.europa.eu/information_society/newsroom/image/ document/2016-51/wp243_en_40855.pdf http://ec.europa.eu/information_society/newsroom/image/ document/2016-51/wp243_annex_en_40856.pdf

Endelig veiledning fra WP 29, se:
https://www.datatilsynet. dk/fileadmin/user_upload/wp243_dpo.pdf

Veileder for compliance funksjonen:
http://iia.no/om-iianorge/ compliance/#veileder-for-compliance

Stormøde om databeskyttelsesforordningen 9. februar 2017:
https://erhvervsstyrelsen.dk/sites/default/files/media/praesentation_fra_stormoede_om_databeskyttelsesforordningen. pdf

IAPP Privacy Advisor, 24. januar 2017: «What skills should your DPO absolutely have?»:
https://iapp.org/ news/a/what-skills-should-your-dpo-absolutely-have/