Siden mai 2018 har databeskyttelse blitt mye strengere. GDPR (“General Data Protection Regulation”/personvernforordningen) er nå obligatorisk for alle som behandler personopplysninger. Mange selskaper har måttet gjøre seg kjent med de 7 prinsippene for databeskyttelse og har måttet tilpasse seg raskt. Reglene kan være vanskelige å forstå og enda vanskeligere å implementere, noe som er årsaken til at mange selskaper har bestemt seg for å ansette en behandlingsansvarlig for behandling av data («data protection officer»/DPO/personvernombud). Forhåpentligvis vil denne artikkelen hjelpe deg å forstå personvernombudet sin rolle, når du bør ha en og hvilke fordeler dette kan ha for organisasjonen din.
Hva er et personvernombud?
Personvernombudet er noen som er ansatt i selskapet for å kontrollere at behandling av personopplysninger skjer i samsvar med personvernlovgivningen. Når et selskap samler og behandler personopplysninger, er det selskapets og deres ansattes ansvar å gjøre dette på en lovlig måte. Dette påvirker alle, fra forretningspartnere til kunder og ansatte, som bør føle seg sikre på at opplysningene deres er beskyttet. Personvernombudet er involvert når det oppstår et problem relatert til behandling av personopplysninger, og skal sikre at organisasjonen opererer på en lovlig måte. De kan blant annet være ansvarlige for opprettelse av relevante datahåndteringsprotokoller, opplæring av ansatte i datareguleringer og overvåke at GDPR/personvernforordningen blir fulgt.
Les mer: Hvordan sikre at bedriften din er GDPR compliant
Selv om personvernombudet har en rolle i å kontrollere at regelverket blir fulgt, er det fremdeles den behandlingsansvarlige eller databehandleren som er ansvarlig for at personvernlovgivningen følges.
Når trenger et selskap et personvernombud?
Uavhengig av størrelsen på selskapet ditt eller bransjen den opererer innen, vil selskapet ditt håndtere personopplysninger på en eller annen måte. Det er derfor obligatorisk å ha noen som kan sikre at alt skjer i samsvar med personvernforordningen/GDPR, men hvem må ha et personvernombud? Det er tre tilfeller hvor man skal utpeke et personvernombud.
-
Offentlig myndighet – Personopplysninger blir håndtert av et offentlig organ
-
Masseovervåkning og regelmessig overvåkning – Behandling av personopplysninger er en kjerneaktivitet og utføres jevnlig
-
I stor skala av særlige kategorier – Behandling av spesifikke “spesielle” opplysninger, også kjent som sensitive opplysninger, som en kjerneaktivitet i stor skala.
Noen ganger kan det være at en organisasjon ikke faller under noen av disse kategoriene, men som fortsatt kan dra nytta av å ha et personvernombud. Senere vil jeg forklare hvordan de kan føre til overholdelse av GDPR. Mange selskaper i vekst oppsøker et personvernombud for å få hjelp med den økende mengden personopplysninger.
Det å ha et personvernombud er allikevel ikke nødvendigvis passende for alle. Dersom du jobber i en liten bedrift kan det være enklere og mer kostnadsbesparende å la ansvaret for compliance med GDPR fordeles på flere ansatte. Det kan også være at organisasjonen din kun håndterer minimale mengder personopplysninger, som vil være enkelt å behandle på en lovlig måte. Det er også mulig at du allerede har utviklet et funksjonelt og effektivt system som ikke har behov for omstrukturering. Alt avhenger av selskapet.
Hva gjør et personvernombud?
Personvernombudets funksjon er å sikre at selskapet opererer i samsvar med EUs reguleringer, som håndheves av din nasjonale databeskyttelsesmyndighet, datatilsynet i Norge. Overtredelse av personverforordningen/GDPR kan ha alvorlige konsekvenser og organisasjoner kan bøtelegges €20 millioner eller 4 % av sin globale omsetning. Siden personvernombudets sitt arbeid er konfidensielt, rapporterer personvernombudet vanligvis direkte til øverste ledelsesnivå uten innblanding fra organisasjonen.
Mer presist jobber personvernombudet med å:
-
Svare på spørsmål og håndtere bekymringer rundt GDPR
-
Informere organisasjonen og dens ansatte om deres GDPR-forpliktelser
-
Kontrollere overholdelsen av GDPR gjennom opplæring av ansatte og gjennomføring av revisjoner
-
Gi råd om vurdering av personvernkonsekvenser
-
Samarbeide og kommunisere med datatilsynet
Hvilke kvalifikasjoner trenger et personvernombud?
Det første steget er å finne en kvalifisert kandidat. GDPR oppgir ikke noen spesifikke krav, men de foreslår at personvernombudet bør ha sterk faglig tyngde når en virksomhet behandler komplekse data. Her er noen forslag til hva du kan se etter i en kandidat:
-
Relevant erfaring fra arbeid med EU og globale personvernlover (utarbeiding av forslag til retningslinjer for personvern, teknologiforsyning og personell som jobber med compliance)
-
Har jobbet med IT-programmering eller infrastruktur (inkludert sertifisering i standarder for informasjonssikkerhet)
-
Betydelig erfaring med gjennomføringer av revisjoner av informasjonssystemer, sertifiseringer og risikovurderinger
-
Demonstrerer evnen til å koordinere med flere parter og overordnede over flere pågående prosjekter
-
Kunne kommunisere med ansatte fra forskjellige avdelinger med varierende kunnskapsnivå (inkludert styret, ledere, IT-ansatte og advokater)
-
Evnen til å tilegne seg nødvendig kunnskap i dynamiske miljø
-
Juridisk erfaring, og faring innen teknisk opplæring og bevisstgjøring
-
Erfaring med håndtering av ulike forretningskulturer og bransjer
Det kan være utfordrende å finne en ny ansatt til å fylle denne stillingen. Dessverre er etterspørselen etter egnede personvernombud veldig høy, noe som vil si at ansettelsesprosessen kan være tidkrevende og utfordrende.
Et godt sted å starte søket er din egen IT-avdeling eller juridiske avdeling, siden de allerede forstår hvilken type data som blir behandlet og hvordan den blir behandlet. Siden overholdelse av GDPR forandrer seg hele tiden må personvernombudet være god til å lære ny kunnskap om sikkerhetsnivå og nylige utviklinger i trå med forandringene. Dersom det er nødvendig bør den ansatte gjennomgå opplæring og sertifisering innenfor GDPR.
Fordelen ved å ha et personvernombud
Her er en kort liste for hvorfor din organisasjon kan være tjent med å ha et personvernombud:
-
Personvernombudet veileder deg gjennom de komplekse GDPR-reguleringene og bistå i at datahåndtering foregår på en lovlig måte
-
De øker compliance ved å instruere styremedlemmer, ledere og ansatte i håndtering av personopplysninger
-
Ved eventuelle sikkerhetsbrudd vil personvernombudet bringe frem nødvendige protokoller om hvordan man skal respondere internt og offentlig, siden bruddet må rapporteres til myndighetene innen 72 timer.
-
De kan gi deg råd ved distribuering av tekniske ressurser for styrking av cybersikkerhet, som inkluderer databeskyttelse
Det er så mye mer du kan gjøre!
Som du kan se, kan et personvernombud forenkle den daglige driften i organisasjonen din. De kan minske usikkerhet og hjelpe deg med utfordringene som oppstår når man behandler persondata. Personvernombudet kan hjelpe deg med å unngå store bøter og datasikkerhetsbrudd.
Men det å ha et personvernombud er ikke den eneste løsning når det gjelder datahåndtering, og er ikke nødvendigvis alltid en passende løsning. Som ved mange andre områder innen cybersikkerhet, spiller hvert enkelt medlem av organisasjonen din en viktig rolle innen beskyttelse og behandling av personopplysninger. Derfor kan ansatte ha nytte av bevisstgjøring og opplæring innenfor personvern. Alle ansatte bør lære om hva personopplysninger er, hva de 7 prinsippene for databeskyttelse er, hvordan håndtere personopplysninger og mye mer. Så ved øking av ansattes bevissthet vil du økte sikkerheten i din organisasjon.
