Hvordan sikre ombudets uavhengighet?

Virksomheten skal sikre at personvernombudet ikke mottar instrukser om utførelsen av oppgavene sine. 

Dette innebærer at ombudet ikke skal få instrukser om hva utfallet av en sak som er til vurdering hos ombudet skal være, hvordan ombudet skal undersøke en klage, eller hvorvidt ombudet skal rådføre seg med datatilsynsmyndigheten. Videre skal ombudet ikke instrueres i sitt syn på regelverket, for eksempel hvordan en personvernrelatert lovgivning skal tolkes.

Selv om en virksomhet har personvernombud er det fremdeles den behandlingsansvarlige som har det juridiske ansvaret for at personvernlovgivningen følges. Hvis det i virksomheten tas avgjørelser som kan være i strid med personvernlovgivningen, eller ikke tar hensyn til rådene fra personvernombudet, bør ombudet få mulighet til å legge fram sine vurderinger overfor de som skal ta avgjørelsen, og om nødvendig virksomhetens øverste ledelse. 

Ombudet skal ikke avskjediges eller på andre måter straffes for å utføre oppgaver i kraft av sin rolle. Dette er viktig for å sikre uavhengigheten til ombudet og dets oppgaver. Forbudet mot å avskjedige eller sanksjonere ombudet under personvernforordningen gjelder bare hvis de er gitt som et resultat av at ombudet utfører sine oppgaver som personvernombud.

Sanksjonering i denne sammenhengen kan være at et ombud ikke får karriereopprykk, høyere lønn eller andre goder som ansatte normalt nyter godt av, eller at det kommer trusler om dette.

For å unngå å komme opp i konflikter eller misforståelser rundt rollen og oppgavene til ombudet er det lurt å ha en arbeidsbeskrivelse som tydelig definerer arbeidsoppgaver og ansvarsforholdet mellom ombudet og virksomheten.

Hvordan unngå interessekonflikt i rollen som personvernombud?

Et personvernombud kan selvsagt også ha andre oppgaver og roller i virksomheten. Hvis det er tilfellet må virksomheten sikre at de andre oppgavene og pliktene ikke fører til interessekonflikt. Denne bestemmelsen er tett knyttet til forutsetningen om at ombudet skal kunne utføre sine oppgaver på en uavhengig måte.

Som hovedregel kan en person ikke være personvernombud og samtidig ha en rolle der hun skal bestemme formålet og måten personopplysninger skal behandles på. Hver enkelt virksomhet er forskjellig og må gjøre sine vurderinger for å sikre at ombudet unngår interessekonflikt i sine roller i virksomheten.

I mange tilfeller vil det føre til interessekonflikter å være personvernombud samtidig som man har en høy lederstilling (administrerende direktør, HR-sjef, IT-sjef osv.). Men også andre stillinger i organisasjonen kan føre til interessekonflikt hvis rollen innebærer å bestemme formålet eller måten behandlingen skal skje på.

For å unngå en interessekonflikt i rollen som personvernombud kan virksomheten ta følgende grep:

  1. kartlegge hvilke potensielle interessekonflikter ombudet kan møte i virksomheten
  2. identifisere stillinger som er uforenlige med personvernombudsrollen
  3. lage interne retningslinjer for å unngå interessekonflikter
  4. være tydelig i utlysningen av ombudsstillingen om hvilke roller og oppgaver vedkommende kan, eller ikke kan, ha som personvernombud

Kan sikkerhetsansvarlig være personvernombud?

Hovedregelen er at en person ikke kan være ombud og samtidig ha en rolle der hun skal bestemme formålet og måten personopplysninger skal behandles på. Hvis sikkerhetsansvarlig har fått delegert ansvar for å bestemme formål eller verktøyet som skal brukes for å behandle personopplysninger, kan hun ikke samtidig være personvernombud.

Hvis en sikkerhetsansvarlig ikke bestemmer formål og verktøy, men har som arbeidsoppgave å gi råd om sikkerhet kan vedkommende ha rollen som personvernombud, men her er det fort gjort å komme i interessekonflikt. En person som både er sikkerhetsansvarlig og personvernombud må ofte gjøre avveiinger mellom sikkerhetshensyn og personvernhensyn, for eksempel ved logging i et IT-system av sikkerhetsgrunner. I en slik situasjon kan vedkommende lett komme i en interessekonflikt. På den ene siden er det en styrke at personvernombudet har sikkerhetskompetanse, men på den annen side skal ombudet vurdere personvernhensynene på en uavhengig måte.

Hver enkelt virksomhet må gjøre sine vurderinger om hvorvidt ulike roller er forenlig i virksomheten, og eventuelt iverksette tiltak for å unngå eller håndtere interessekonflikter på en god måte.