EUs personvernforordning pålegger mange virksomheter å utpeke et personvernombud. Hensikten er å sikre at personvernspørsmål får tilstrekkelig oppmerksomhet i virksomhetene, og at virksomheten har den kompetansen som er nødvendig for å håndtere den risikoen som behandling av personopplysninger innebærer.
Personvernombudet har flere lovpålagte oppgaver. Blant annet skal ombudet gi ledelsen råd i spørsmål som angår behandling av personopplysninger, for eksempel om utvikling av nye tjenester og kjøp av nye it-systemer. Ombudet skal også kontrollere at virksomheten faktisk etterlever personvernlovgivningen, og rapportere direkte til ledelsen.
Ledelsens ansvar
Det er uansett ledelsen som har ansvar for at virksomheten opptrer i samsvar all lovgivning, og ledelsen kan også gå imot ombudets råd. Ledelsen må derfor sørge for selv å ha kompetanse til å forstå og vurdere de rådene ombudet gir, og å avveie disse mot andre hensyn. I noen tilfeller kan det være fornuftig å be om en andrehåndsvurdering fra en ekstern part.
Uavhengig og objektiv
Forordningen krever at personvernombudet opptrer uavhengig, og gir ledelsen råd som er objektive og kvalifiserte. Det er forbudt å instruere ombudet om hvordan denne skal utføre sine lovpålagte oppgaver, og å iverksette formelle og uformelle sanksjoner mot et ombud som utfører sine oppgaver. For at ombudet ikke skal komme i en posisjon hvor det oppstår konflikt mellom ombudsoppgavene og dennes øvrige oppgaver, bør ikke ombudsrollen ivaretas av en person som har internt ansvar for etterlevelse av personvernregelverket.
For å lykkes som personvernombud er det ofte nødvendig å ha sterk personlig og faglig integritet. Ombudet må kunne stå for upopulære råd og vurderinger. Vel så viktig er det at ombudet er samarbeidsvillig og løsningsorientert, og har gode kommunikasjonsevner. Et ombud som i for stor grad gjør seg til en intern motpart til ledelsen og andre ansatte, står i fare for å undergrave den tilliten som er helt nødvendig for at ombudet skal ha gjennomslagskraft.
Fare for konflikt
I noen virksomheter vil det oppstå dype konflikter mellom personvern og andre legitime interesser, og det er en klar risiko for at det også oppstår mer personlige konflikter mellom ombudet, ledelsen og andre ansatte. Ledelsen må derfor sørge for at ombudet får nødvendig støtte og legitimitet, og samtidig være tydelige på at det er ledelsen som er rette adressat for eventuell kritikk mot de beslutninger som treffes.
Dersom ledelsen er sitt ansvar bevisst, og også evner å gjøre selvstendige vurderinger av de rådene ombudet gir, så vil et velfungerende personvernombud være en uvurderlig støttespiller og premissleverandør i spørsmål som ofte er vanskelige og verdiladede.
Denne artikkelen ble først publisert i Aftenposten, mandag 11. februar 2019.