Innledning
I løpet av de siste tiårene har få reguleringer påvirket norske virksomheter i like stor grad som personvernforordningen (General Data Protection Regulation – GDPR) fra 2018. Regelverket har styrket innbyggernes personvernrettigheter, samtidig som det har skjerpet virksomhetenes ansvar. For å etterleve regelverket har både offentlige og private virksomheter sett seg nødt til å gjennomgå rutiner og praksis knyttet til behandlingen av personopplysninger.
Norske virksomheter blir stadig mer dataintensive. De fleste virksomheter samler inn store mengder opplysninger om grupper som ansatte, kunder, medlemmer og innbyggere, og det er varierende tillit knyttet til hvordan virksomheter behandler personopplysninger. Datatilsynets personvernundersøkelse (2019/2020) viste at nordmenn generelt har høy tillit til hvordan offentlige virksomheter behandler personopplysninger, mens det er utbredt usikkerhet knyttet til hvordan private aktører behandler opplysninger.
Ny forordning – nye plikter
I personvernforordningen stilles det mange krav til virksomhetenes behandling av personopplysninger. I tillegg til å forsikre seg om at de har lovlig grunnlag for i det hele tatt å behandle opplysningene, må de ivareta personopplysningssikkerheten. De må også vurdere henvendelser fra brukere og innbyggere som vil utøve sine personvernrettigheter.
Ordningen med personvernombud (PVO) har eksistert i Norge helt siden 2001, men med innføringen av personvernforordningen ble innholdet i ombudsrollen betydelig styrket. Ombudsordningen ble gjort obligatorisk for de fleste statlige etater og kommuner, og for en rekke private virksomheter og organisasjoner. Ved utgangen av 2020 var det registrert 1 341 personvernombud som representerte 1 891 virksomheter i Norge.
Personvernombudene er sentrale i virksomhetenes etterlevelse av personvernlovgivningen. Ombudets rolle er å gi råd om hvordan personverninteressene kan best mulig ivaretas, i tillegg til å kontrollere etterlevelsen av regelverket.
Det er imidlertid foreløpig lite kunnskap om personvernombudenes erfaringer med arbeidet. I november og desember 2020 gjennomførte derfor Datatilsynet en spørreundersøkelse blant personvernombudene.
Om undersøkelsen
Opinion utførte undersøkelsen på vegne av Datatilsynet i 2020, mellom 25. november og 17. desember. Undersøkelsen ble sendt til 1 082 personvernombud i Norge, og vi fikk inn 632 svar. Respondentene svarte på web.
Den forrige kartleggingen i Datatilsynets regi om personvernombudenes arbeidsvilkår, ble utført i 2011 av markedsanalyseselskapet Synovate.
Det vi ønsket svar på, var:
- Hvem er personvernombudene, og hvordan opplever de sine arbeidsvilkår?
- Hvordan erfarer ombudene virksomhetenes etterlevelse av personvernregelverket?
Her presenterer vi de viktigste funnene fra undersøkelsen. Vi gir også noen råd om hvordan ombudsrollen bedre kan ivaretas i virksomhetene.
Oppsummering
Personvernforordningen har styrket personvernombudsrollen i norske virksomheter
68 prosent av ombudene i undersøkelsen, har mellom ett og tre års erfaring med rollen som personvernombud, noe som betyr at opprettelsen kan sees i sammenheng med innføringen av personvernforordningen.
Stor variasjon i hvor mye tid som brukes i rollen
Av alle som svarte på undersøkelsen, jobber bare 17 prosent fulltid i rollen som personvernombud. Så mye som halvparten av alle ombudene oppgir at de bruker mindre enn 20 prosent av tiden på rollen, og over én av ti (11 prosent) oppgir at de ikke bruker tid på rollen i det hele tatt.
Flere opplever manglende ledelsesforankring og tilgang til ressurser
Nesten tre av ti ombud opplever at de ikke får satt av tilstrekkelig tid til arbeidet som ombud. Over halvparten av ombudene som svarte i undersøkelsen, har ikke faste møter med ledelsen. Mange ombud oppgir at ledelsen holder seg orientert og viser interesse for deres roller og ansvar, men likevel er det 31 prosent av ombudene som erfarer at ledelsen i liten, eller svært liten, grad holder seg orientert og viser interesse. Dette indikerer at ledelsen i en del virksomheter i Norge, ikke er oppdatert om personvernombudets virke og personvernarbeidet i virksomheten.
Ombudene opplever at virksomhetene etterlever personvernregelverket
I snitt svarer nesten åtte av ti personvernombud (77 prosent) at virksomhetene etterlever personvernregelverket i stor eller svært stor grad. De ombudene som i størst grad opplever at regelverket etterleves, jobber innenfor rådgivning, konsulentvirksomheter eller advokatbyråer. Det er ombudene som jobber i kommuner og fylkeskommuner som i minst grad opplever at virksomhetene etterlever regelverket.
Ofte er konkrete lovkrav på plass, men mange sliter med manglende kompetanseheving og opplæring av ansatte
Det ser ut til at de fleste virksomhetene har konkrete lovkrav som databehandleravtaler, protokoller, rutiner for innsyn og system for å rapportere brudd på personopplysningssikkerheten på plass. Det virksomhetene i minst grad har på plass, er knyttet til kompetanseheving og opplæring i personvern. Konsekvensene kan da være at styringssystemer for personvern og informasjonssikkerhet er formelt etablert, men at de ansatte ikke er gjort bevisste på dem.
Menneskelige ressurser, og fungerende rutiner og prosesser er de største utfordringene, mens få opplever at regelverket er til hinder for gode løsninger
Rundt halvparten av ombudene opplever at mangel på menneskelige ressurser og fungerende rutiner og prosesser, i stor grad er en utfordring for etterlevelsen av dagens personvernlovgivning. Men dagens personvernlovgivning oppleves i liten grad som et hinder for innovasjon og etablering av gode, tekniske løsninger.
Personvernombud i Norge
I Norge har vi hatt en personvernombudsordning siden 2001. Statistisk Sentralbyrå var den første som opprettet et personvernombud i 2002. Det var også flere kommuner som var tidlig ute med å utpeke personvernombud.
I den forrige personopplysningsloven hadde alle virksomheter plikt til å melde all behandling av personopplysninger til Datatilsynet. Dersom en virksomhet søkte om å opprette personvernombud, søkte den samtidig om unntak fra denne meldeplikten. Å opprette et personvernombud var en frivillig ordning hvor den behandlingsansvarlige kunne vise at man tok et større ansvar selv.
Norge var et av få land som hadde en slik ordning før 2018. Historisk sett har ordningen vært svakt forankret i personvernregelverket, men da den europeiske personvernforordningen (GDPR) ble innført, ble ordningen gjort obligatorisk for mange virksomheter både i Norge og i Europa. Forordningen inneholder flere bestemmelser om hvem som må ha personvernombud, personvernombudets stilling og personvernombudets oppgaver. Antall personvernombud i Norge har steget fra 173 i 2010, til 1 341 ved utgangen av 2020.
Ifølge personvernforordningen skal personvernombudet jobbe sammen med ledelsen for at personvernregelverket etterleves. Dette medfører også at ombudet skal være personvernets ambassadør i virksomheten. Men selv om personvernombudet er sentral i overholdelsen av personvernregelverket, er det virksomheten selv som står ansvarlig for brudd på regelverket.
Ombudets oppgaver er nærmere beskrevet i personvernforordningen artikkel 39:
1. Personvernombudet skal minst ha følgende oppgaver:
a) informere og gi råd til den behandlingsansvarlige eller databehandleren og de ansatte som utfører behandlingen, om de forpliktelsene de har i henhold til denne forordning, og i henhold til andre av Unionens eller medlemsstatenes bestemmelser om vern av personopplysninger,
b) kontrollere overholdelsen av denne forordning, av andre av Unionens eller medlemsstatenes personvernregler og den behandlingsansvarliges eller databehandlerens personvernretningslinjer, herunder fordeling av ansvar, holdningsskapende tiltak og opplæring av personellet som er involvert i behandlingsaktivitetene, og tilhørende revisjoner,
c) på anmodning gi råd om vurderingen av personvernkonsekvenser og kontrollere gjennomføringen av den i henhold til artikkel 35,
d) samarbeide med tilsynsmyndigheten,
e) fungere som kontaktpunkt for tilsynsmyndigheten ved spørsmål om behandlingen, herunder forhåndsdrøftingene nevnt i artikkel 36, og ved behov rådføre seg med tilsynsmyndigheten om eventuelle andre spørsmål.
2. Personvernombudet skal ved utførelsen av sine oppgaver ta behørig hensyn til risikoene forbundet med behandlingsaktivitetene, idet det tas hensyn til behandlingens art, omfang, formål og sammenhengen den utføres i.