Trenger man personvernombud, og er rette person ombud?

Datatilsynet har nå lagt ut en oversikt over hvem som er personvernombud (PO) i virksomheter i Norge på sine nettsider. Denne oversikten gir grunn til noen refleksjoner:

Mange har PO uten å trenge det

PO kreves bare for noen virksomheter, se hvilke i GDPR artikkel 37 nr. 1, men mange av virksomhetene i listen har personvernombud uten at dette virker nødvendig. Det er fordeler med PO, men det er også mange plikter og krav. Bl.a. skal PO ha «faglige kvalifikasjoner og dybdekunnskap om personvernlovgivningen», og ombudet må holde seg oppdatert på personvernområdet, mange oppgaver og aktiviteter, krav til involvering mv.

Følges ikke pliktene, så er det brudd på GDPR. Det bør vurderes grundig, eventuell med ekspertise, om man skal ha PO (spesielt når man bryter reglene bare ved å ha ombud, se nedenfor). Mange vil nok være tjent med å ha en ansvarlig for personvern enn PO.

Det informeres ikke om kontaktopplysningene til PO

Mange av de som har meldt inn PO til Datatilsynet har ikke kontaktopplysninger for ombudet i listen. Da er det et krav at det informeres om kontaktopplysningene andre steder, som i personvernerklæringen. Men mange har ikke gjort dette, og da er det et brudd på regelverket.

Den som er PO kan ikke være det

Den som skal være PO skal ikke bli instruert, ikke ha interessekonflikter, skal kunne rapportere til den øverste ledelsen, skal kontrollere om regelverket følges, gi uavhengige råd mv. Allikevel er flere av ombudene i listen daglige ledere, it-sjefer, eiere osv., som vil kunne ha interessekonflikter og ikke operere fritt. Det må da oppnevnes en person som er i henhold til kravene i GDPR.

Er det rutiner for PO og følges disse ved å melde endringer i kontaktopplysninger?

Hensikten med listen er – ifølge Datatilsynet – bl.a. å gjøre det mulig å sjekke innmeldte kontaktopplysninger til PO. Dette fordi Datatilsynet mistenker at mange virksomheter ikke har rutiner for å melde fra til Datatilsynet. Så det bør være rutiner på plass for PO for å overholde reglene i GDPR.

Mange gjør feil

Etter en rask (og høyst uvitenskapelig) gjennomgang av de tre første sidene på listen (uten konsernselskap), så brøt 10 av de 26 virksomhetene minst ett av 2. og 3. punkt ovenfor.

Av disse var det 19 virksomheter (73 %) som ikke ser ut til å trenge å ha PO ut fra beskrivelsen på nettsidene. Er disse tre sidene representative for virksomhetene i listen, er det over 1500 virksomheter som har, men ikke trenger, PO. Vi får håpe det ikke stemmer.

Nedenfor er det en oversikt over resultatene av gjennomgangen, som er stokket om for å verne om virksomhetenes «personvern».

Noen oppnevner kanskje PO siden man ikke har satt seg godt nok inn i reglene, at man er usikker og derfor oppnevner ombud «for sikkerhets skyld», eller at man tror det virker som at man tar personvern mer seriøst ved å ha PO (selv om det kan heller tyde på det motsatte).

Uansett bør en del virksomheter revurdere å ha PO og/eller gå gjennom kravene til hvem som er ombud.

Personvernombud
Personvernombud

Se og kommenter artikkelen i post på LinkedIn:

Nyhetsbrev