Hvordan sikre ombudets uavhengighet?

Personvernombudet skal gi råd om de forpliktelsene virksomheten har etter personvernlovgivningen til den behandlingsansvarlige eller databehandleren, samt til de ansatte som utfører behandlingen av personopplysninger. Det er svært viktig at virksomheten legger til rette for ombudets uavhengighet for å unngå en interessekonflikt.

Virksomheten skal sikre at personvernombudet ikke mottar instrukser om utførelsen av oppgavene sine, hverken fra den behandlingsansvarlige eller andre. Dette innebærer at ombudet ikke skal få instrukser om hva utfallet av en sak som er til vurdering hos ombudet skal være, hvordan ombudet skal undersøke en klage, eller hvorvidt ombudet skal rådføre seg med Datatilsynet. Ombudet skal heller ikke instrueres i sitt syn på regelverket, slik som for eksempel hvordan en personvernregelverket skal tolkes.

Selv om en virksomhet har personvernombud, er det fremdeles den behandlingsansvarlige som har det juridiske ansvaret for at personvernlovgivningen følges. Hvis det i virksomheten tas avgjørelser som kan være i strid med personvernlovgivningen, eller ikke tar hensyn til rådene fra personvernombudet, bør ombudet få mulighet til å legge fram sine vurderinger overfor de som skal ta avgjørelsen, og om nødvendig virksomhetens øverste ledelse.

Ombudet skal ikke avskjediges eller på andre måter straffes for å utføre oppgaver i kraft av sin rolle. Dette er viktig for å sikre uavhengigheten til ombudet og dets oppgaver. Forbudet mot å avskjedige eller sanksjonere ombudet, gjelder i den grad sanksjonene er knyttet til vedkommendes utførelse av sine oppgaver som personvernombud.

Sanksjonering i denne sammenhengen kan være at et ombud ikke får karriereopprykk, høyere lønn eller andre goder som ansatte normalt nyter godt av, eller at det kommer trusler om dette.

Hvordan unngå interessekonflikt?

Et personvernombud kan ha andre oppgaver og roller i virksomheten. Hvis det er tilfelle, må virksomheten sikre at de andre oppgavene og rollene ikke fører til en interessekonflikt. Dette er tett knyttet opp til forutsetningen om at ombudet skal kunne utføre sine oppgaver på en uavhengig måte.

Som hovedregel kan en person ikke være personvernombud og samtidig ha en rolle der hun skal bestemme formålet og måten personopplysninger skal behandles på. Hver enkelt virksomhet er forskjellig og må gjøre sine vurderinger for å sikre at ombudet unngår interessekonflikt i sine roller i virksomheten.

I mange tilfeller vil det føre til interessekonflikter å være personvernombud samtidig som man har en høy lederstilling (administrerende direktør, HR-sjef, IT-sjef osv.). Men også andre stillinger i organisasjonen kan føre til interessekonflikt hvis rollen innebærer å bestemme formålet eller måten behandlingen skal skje på.

For å unngå å komme opp i situasjoner med konflikt eller misforståelse om rollen og oppgavene til ombudet er det lurt å ha en arbeidsbeskrivelse som tydelig definerer arbeidsoppgaver og ansvarsforholdet mellom ombudet og virksomheten.

Andre nyttige grep virksomheten kan ta for unngå en interessekonflikt i rollen som personvernombud er å:

  • kartlegge hvilke potensielle interessekonflikter ombudet kan møte i virksomheten
  • identifisere stillinger som er uforenlige med personvernombudsrollen
  • lage interne retningslinjer for å unngå interessekonflikter
  • være tydelig i utlysningen av ombudsstillingen om hvilke roller og oppgaver vedkommende kan, eller ikke kan, ha som personvernombud
21