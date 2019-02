Den siste tids debatt ved Oslo universitetssykehus (OUS) har i stor grad dreid seg om hvilken rolle et personvernombud skal ha. Debatten belyser noen av de utfordringene som virksomheten og ombudet står overfor.

EUs personvernforordning pålegger mange virksomheter å utpeke et personvernombud. Hensikten er å sikre at personvernspørsmål får tilstrekkelig oppmerksomhet i virksomhetene og at virksomheten har den kompetansen som er nødvendig for å håndtere den risikoen som behandling av personopplysninger innebærer.

Ledelsen har ansvaret

Personvernombudet har flere lovpålagte oppgaver. Blant annet skal ombudet gi ledelsen råd i spørsmål som angår behandling av personopplysninger, for eksempel om utvikling av nye tjenester og kjøp av nye it-systemer. Ombudet skal også kontrollere at virksomheten faktisk etterlever personvernlovgivningen og rapportere direkte til ledelsen.

Det er uansett ledelsen som har ansvar for at virksomheten opptrer i samsvar med all lovgivning, og ledelsen kan også gå imot ombudets råd. Ledelsen må derfor sørge for selv å ha kompetanse til å forstå og vurdere de rådene ombudet gir og å avveie disse mot andre hensyn. I noen tilfeller kan det være fornuftig å be om en andrehåndsvurdering fra en ekstern part.

Uavhengig og objektiv

Forordningen krever at personvernombudet opptrer uavhengig og gir ledelsen råd som er objektive og kvalifiserte. Det er forbudt å instruere ombudet om hvordan denne skal utføre sine lovpålagte oppgaver og å iverksette formelle og uformelle sanksjoner mot et ombud som utfører sine oppgaver. For at ombudet ikke skal komme i en posisjon hvor det oppstår konflikt mellom ombudsoppgavene og dennes øvrige oppgaver, bør ikke ombudsrollen ivaretas av en person som har internt ansvar for etterlevelse av personvernregelverket.

For å lykkes som personvernombud, er det ofte nødvendig å ha sterk personlig og faglig integritet. Ombudet må kunne stå for upopulære råd og vurderinger. Vel så viktig er det at ombudet er samarbeidsvillig og løsningsorientert og har gode kommunikasjonsevner. Et ombud som i for stor grad gjør seg til en intern motpart til ledelsen og andre ansatte, står i fare for å undergrave den tilliten som er helt nødvendig for at ombudet skal ha gjennomslagskraft.

Risiko for konflikt

I noen virksomheter vil det oppstå dype konflikter mellom personvern og andre legitime interesser, og det er en klar risiko for at det også oppstår mer personlige konflikter mellom ombudet, ledelsen og andre ansatte. Ledelsen må derfor sørge for at ombudet får nødvendig støtte og legitimitet og samtidig være tydelige på at det er ledelsen som er rette adressat for eventuell kritikk mot de beslutninger som treffes.

Dersom ledelsen er seg sitt ansvar bevisst og også evner å gjøre selvstendige vurderinger av de rådene ombudet gir, vil et velfungerende personvernombud være en uvurderlig støttespiller og premissleverandør i spørsmål som ofte er vanskelige og verdiladede.

Rønnevik har vært juridisk fagdirektør i Datatilsynet og er medforfatter av boken «Personvernforordningen – GDPR». Olsen har doktorgrad i personvernrett og er leder for Advokatforeningens lovutvalg for IKT og personvern.

