Ombudenes rolle i virksomheten
Det er virksomhetenes ansvar å legge til rette for at personvernombudet kan utføre oppgavene sine.
For å unngå å komme i en situasjon der det er misforståelser om rollen eller oppgavene til ombudet, er det lurt å ha en rollebeskrivelse eller arbeidsinstruks som tydelig definerer arbeidsoppgavene og ansvarsforholdet mellom ombudet og virksomheten.
Vi spurte ombudene om de har en rollebeskrivelse, instruks eller avtale som avklarer oppgavene og ansvaret deres.
Svarene viser at:
- 44 prosent av ombudene har ikke en rollebeskrivelse/instruks eller avtale.
- Blant virksomheter med én til ni ansatte, mangler nærmere seks av ti ombud en rollebeskrivelse/instruks eller avtale.
At under halvparten har en rollebeskrivelse eller instruks for hvordan de skal jobbe som personvernombud, er bekymringsverdig. Vi ser at andelen som har fått utarbeidet en rollebeskrivelse er høyest i de største virksomhetene (61 prosent), mens i virksomheter med færre enn 10 ansatte, har bare drøyt fire av ti en slik beskrivelse. Det er rimelig å tro at dette kan skyldes at forholdene i store virksomheter krever tydeligere rutiner og ansvarsforhold.
Det er særlig innen forsikring og finans at ombudene har en rollebeskrivelse (87 prosent), dernest kommer statlig administrasjon og frivillige organisasjoner (61 prosent). De ombudene som i størst grad svarer at de ikke har en rollebeskrivelse, jobber i rådgivning- og konsulentvirksomheter og advokatfirma.
Av de som gikk inn i ombudsrollen etter ekstern utlysning, har hele 72 prosent en rollebeskrivelse som de og ledelsen kan forholde seg til. Det tilsvarende tallet for de som gikk inn i rollen uten egentlig å ha blitt spurt, er 45 prosent. Dette kan ha sammenheng med at disse jobber i virksomheter som kan ha viet mindre oppmerksomhet til ombudsrollen og hvilke oppgaver rollen medfører.
Rollekonflikter
Et personvernombud kan ha andre oppgaver og roller i virksomheten i tillegg til oppgavene som ombud. Som denne undersøkelsen har vist, kombinerer hele 83 prosent ombudsrollen med andre oppgaver. I de tilfellene må virksomheten sikre at de andre oppgavene og rollene ikke fører til en interessekonflikt. Dette er knyttet opp til forutsetningen om at ombudet skal kunne utføre sine oppgaver på en uavhengig måte.
Vi spurte personvernombudene om de har opplevd utfordrende rollekonflikter mellom sin egen stilling og ombudsrollen.
Svarene viser:
- De fleste ombudene ikke har opplevd en rollekonflikt (74 prosent).
- En av fire ombud har opplevd å minst én gang ha kommet i en utfordrende rollekonflikt (25 prosent).
Gitt at de som har svart på undersøkelsen har en god forståelse for rollen sin, viser undersøkelsen at de fleste ombudene sjelden kommer i situasjoner hvor de utfordres på uavhengigheten sin i forhold til andre oppgaver i virksomheten.
Rollekonflikter kan for eksempel gjelde situasjoner hvor ombudet også har andre roller, slik som å bestemme formålet til behandlingen av personopplysninger, eller måten behandlingen skal skje på. Denne type situasjon vil for eksempel kunne oppstå hvis ombudet selv er leder eller har ansvar for IT-sikkerhet eller regelverksetterlevelse på andre områder. Tydelige rollebeskrivelser og rutiner for hvordan virksomheten håndterer interessekonflikter, er essensielt for å kunne håndtere denne type situasjoner på en god måte.
Ombudets rolle i forbindelse med brudd på personopplysningssikkerheten
Ved brudd på personopplysningssikkerheten (avvik) skal den behandlingsansvarlige melde bruddet til Datatilsynet (avviksmelding). Dette gjelder med mindre bruddet etter all sannsynlighet ikke vil medføre en risiko for fysiske personers rettigheter og friheter.
Å oppdage og følge opp mulige brudd på personopplysningssikkerheten, er en viktig del av virksomhetens internkontroll og informasjonssikkerhetsarbeid. Personvernombudet bør spille en naturlig rolle i dette arbeidet. I personvernforordningen er det derfor også tatt inn et krav om at personvernombudets kontaktopplysninger skal oppgis i meldingene som sendes inn til Datatilsynet. Det er imidlertid virksomheten som er ansvarlig for de vurderingene som gjøres i avviksmeldingen, ikke personvernombudet.
Vi har sett nærmere på hvilken rolle personvernombudet har når det gjelder selve innsendingen av meldingen om brudd på personopplysningssikkerheten til Datatilsynet.
Svarene viser at:
- Annenhver virksomhet har meldt om brudd til Datatilsynet.
- Det er i første rekke personvernombudet (64 prosent) som står for utformingen og innsendingen av meldingen til Datatilsynet. Innen forsikring og finans, er tallet 88 prosent.
- To av ti ombud (20 prosent) oppgir at den sikkerhetsansvarlige eller systemansvarlige står for utforming og innsending.
- Seks prosent av ombudene svarer at de ikke vet hvem som normalt står for innsendingen av slike meldinger. Denne svarprosenten er høyest innen statlig administrasjon hvor ti prosent av ombudene svarer at de ikke vet.
Det at personvernombudet melder inn et brudd på personopplysningssikkerheten på vegne av virksomheten, kan lett føre til at ombudets integritet og uavhengighet blir utfordret. Ved brudd på personopplysningssikkerheten kan det være at ombudet har andre vurderinger enn ledelsen når det gjelder årsak og konsekvenser av et brudd, samt hvilke tiltak som bør gjennomføres. Dette gjelder ikke minst også når det gjelder vurdering av risikoen for de registrertes rettigheter og friheter. Ombudet skal likevel alltid informeres når det er sendt inn en avviksmelding til Datatilsynet.