Ny personvernforordning fra EU trådde i kraft i 2018 og påla flere norske virksomheter å ha et personvernombud. Rollen til et personvernombud er å sikre at personopplysninger behandles på betryggende måte. Kravene i forordningen er på flere punkter sammenfallende med krav som stilles til compliance.
I et nettverksmøte i regi av IIA Norge våren 2018 gikk Kari Laumann fra Datatilsynet gjennom kravene til personvernombudet i EU forordningen. Laumann startet med å peke på de viktigste endringene, samt hvilke virksomheter som må ha et ombud. Hun la hovedvekten på kravene til private virksomheter og hvilke vurderingstema virksomhetene må ha fokus på når virksomheten vurderer om ombudsordningen er obligatorisk.
Deretter gikk hun gjennom hvordan ombudet bør utpekes, samt dets oppgaver og stilling. Både behandlingsansvarlige og databehandlere som faller inn under kravene har i utgangspunktet plikt til å oppnevne et personvernombud (PVO). Selv om virksomheten ikke har en direkte plikt, kan PVO oppnevnes på frivillig basis. Norske myndigheter kan pålegge andre virksomheter enn de som faller inn under forordningen å oppnevne en PVO.
Når det gjelder ombudets stilling, nevnte Laumann blant annet at PVO må involveres, skal få ressurser og tilgang til informasjon, skal ha mulighet til å opprettholde sakkunnskap, skal ikke motta instrukser eller straffes og skal rapportere til høyeste ledelsesnivå. I tillegg må PVO ikke ha andre oppgaver som fører til interessekonflikt, herunder ikke inneha en stilling som innebærer at ombudet skal bestemme formålet og metode for behandling av personopplysninger.
Avslutningsvis fremhevet Laumann følgende:
Personvernombudsordningen er styrket i det nye regelverket fra EU. Det at mange norske virksomheter vil ha et personvernombud kan gjøre en stor forskjell for personvernet. Vi i Datatilsynet ser at det å ha en dedikert ressursperson med kompetanse og fokus på personvern i en virksomhet fører til sterkere regeletterlevelse og bedre behandling av personopplysninger.
Datatilsynet har etter ikrafttredelsen av ny personopplysningslov oppdatert hjemmesiden med en egen landingsside som beskriver PVO rollen og oppgavene nærmere[1].
Ann Christin Flatland, fra Nettverk Compliance, pekte i sitt foredrag på likhetstrekk mellom en compliance funksjon og PVO rollen, samt noen utfordringer dersom PVO rollen legges i en compliance funksjon. Sammenligningen tar utgangspunkt i Veileder for Compliancefunksjonen, utviklet av Nettverk Compliance (2015). Felles for begge rollene er at de:
- kan ikke pålegges å komme frem til et bestemt resultat
- har en risikotilnærming ved utføring av oppgaver
- må ha tilgang til relevant informasjon og ressurser
- må håndtere compliance avvik
- skal overvåke etterlevelse
- bør sørge for dokumentasjon av compliance
- er et kontaktpunkt ved tilsynsbesøk
- må oppfylle krav til faglige kvalifikasjoner
Forordningens krav til PVO innebærer at
vedkommende må ha spisskompetanse innenfor personvern og muligens gå noe mer i
dybden med hensyn til rådgivning og oppfølging av personvernrelaterte avvik enn
en compliancefunksjon organisert i andrelinjen normalt vil gå.
| Core role | Legitimate role (with safeguards) | Not to be undertaken |
| Give assurance on compliance risk management process | Facilitate identification and evaluation of compliance risks | Accountability forcompliance risk management |
| Give assurance that compliance risks are correctly evaluated | Coach management in responding to risks | Implement risk response on behalf of management |
| Evaluate compliance risk management process | Coordinate compliance management activities | Make decisions on risk responses |
| Evaluate and report on key compliance risks | Consolidate reporting on compliance risks | Management assurance on compliance risks |
| Review the management of key compliance risks | Maintain and develop compliance management program | Impose risk management processes |
| Champion the establishement of compliance program & culture | Set the risk appetite | |
| Develop compliance management strategy for board approval |
Figur 1 typiske oppgaver når compliancefunksjonen har ansvar for kontrolloppgaver
Flatland konkluderte med at PVO rollen kan ivaretas av en compliancefunksjon, dersom det tas nødvendige forholdsregler under organisering av funksjonen og gjennomføring av arbeidet, slik at funksjonen ikke kontrollerer eget arbeid. Figur 1, inspirert av ‘Revisjonsviften’ kan i denne sammenheng benyttes analogisk for en compliancefunksjon. Konklusjonen understøttes av det danske Justitsministeriet som under et stormøte om den nye forordningen 9. februar 2017 uttaler at PVO
«Kan være organisationens compliance officer».
Den påfølgende diskusjonen indikerte at kravene til en PVO er tydeligere enn etter gjeldende regler, men at det fortsatt er rom for fortolkning. Det ble vist til IAPP Privacy Advisor «What skills should your DPO absolutely have?», som blant annet fremhever at PVO bør ha juridisk kompetanse, ha kulturell forståelse, ha lederegenskaper og erfaring med styresaker, kunne formidle reglene på en enkel måte, samt ha IT, internrevisjons- og risiko kompetanse. I tillegg må vedkommende forstå bransjen virksomheten opererer i. Dette taler for at rollen ivaretas av et team. På spørsmål om Datatilsynet vil akseptere dette, svarte Laumann at dette vil være opp til virksomhetene, men at det må utpekes et formelt kontaktpunkt som er ansvarlig ihht. forordningen.
Et personvernombud uttrykte det som følger:
GDPR har virkelig satt fokus på personvern, og med fokuset kommer også større forståelse av viktigheten av å arbeide med personvern. Ledere etterspør mer informasjon om både regelverket og PVO-rollen. I så måte gir også tonen fra toppen en større legitimitet for PVO-rollen i organisasjonen. Det er utfordrende å arbeide med GDPR, men også spennende, og ikke minst viktig. Personvern er tross alt en grunnleggende rettighet som virkelig er blitt satt på agendaen
Kommentar: Denne reviderte artikkelen ble opprinnelig publisert i SIRK nummer 1, 2018 og er fortsatt aktuell. Endringene er gjort i samråd med de opprinnelige forfatterne; Ann Christin Flatland og Izabella Salicath.
Kilder
[1] Nærmere om PVO rolle og oppgaver, se: https://www.datatilsynet.no/rettigheter-og-plikter/virksomhetenes-plikter/personvernombud/
Presentasjonen tok utgangspunkt i høringsversjon av Veiledning og FAQ fra EU Working Party (WP) 29
Stormøde om databeskyttelsesforordningen 9. februar 2017:
https://erhvervsstyrelsen.dk/sites/default/files/media/praesentation_fra_stormoede_om_databeskyttelsesforordningen. pdf
IAPP Privacy Advisor, 24. januar 2017: «What skills should your DPO absolutely have?»
