Den behandlingsansvarlige skal sørge for at det blir etablert rutiner som sikrer at ombudet på riktig måte og til rett tid involveres i alle spørsmål som gjelder vern av personopplysninger. Tidlig involvering legger til rette for etterlevelse av regelverket og for at personvernhensyn blir ivaretatt når det utvikles nye løsninger. Dette er nesten alltid bedre enn å måtte gjøre lovpålagte endringer senere i utviklingsprosessen, eller først etter at den nye løsningen er lansert.
For å sikre at personvernombudet blir informert og involvert i alle prosesser som er relevant, anbefaler Datatilsynet at virksomheten sørger for at:
- ombudet regelmessig blir invitert til å delta i møter med topp- og mellomledelsen
- ombudet er tilstede og blir hørt når avgjørelser med mulige personvernkonsekvenser blir tatt
- ombudet blir varslet når rutiner av betydning skal endres, eller nye IT-systemer og sikkerhetstiltak skal utvikles
- ombudets vurderinger blir hørt og tatt i betraktning. Hvis det er uenighet kan det være lurt å dokumentere begrunnelsen for at personvernombudets anbefaling ikke blir fulgt
- ombudet blir informert og rådspurt ved mulige brudd på personopplysningssikkerheten (avvik), eller andre hendelser som kan ha personvernmessige konsekvenser.
Virksomheten skal også stille til rådighet de ressursene som er nødvendig for at personvernombudet skal kunne utføre sine oppgaver. Dette inkluderer å gi tilgang til personopplysninger og behandlingsaktiviteter, og å gjøre det mulig for ombudet å opprettholde sin dybdekunnskap.
Virksomheten bør vurdere følgende tiltak for å sikre at ombudet har de nødvendige ressursene:
- Gi ombudet aktiv støtte fra øverste ledelse. Som ledd i dette også påse at personvernombudet får tilgang til, og støtte fra andre deler av virksomheten som personal-/HR-funksjonen, juridisk, IT, sikkerhetsansvarlig ol.
- Sørge for at ombudet gis nok tid og ressurser til å utføre oppgavene sine. Hvis en person er ombud på deltid bør det defineres en viss prosent av arbeidstiden til ombudsoppgaver. Avhengig av virksomhetens størrelse og kompleksiteten i behandlingen av personopplysninger vurder også om det kan være nødvendig å styrke ombudet med bistand fra andre medarbeidere i organisasjonen.
- Sett av tilstrekkelig med økonomiske midler og tekniske hjelpemidler (kontorplass, IT-utstyr osv.)
- Avtale regelmessig (og gjerne skriftlig) rapportering fra personvernombudet som gjennomgås på statusmøter mellom øverste ledelse og ombud, for eksempel kvartalsvis eller halvårlig.
- Informer alle ansatte om at det er blitt opprettet et personvernombud og hva denne rollen innebærer for virksomheten.
- Sørge for at personvernombudet får mulighet til å holde seg oppdatert på utviklingen innen personvern og den sektoren som virksomheten opererer innenfor. Ombudet bør oppfordres til å ta kurs eller delta i nettverk eller lignende.
Jo mer komplekse og/eller sensitive behandlingene i en virksomhet er, jo mer ressurser må personvernombudet kunne benytte for å ivareta sine oppgaver slik de er definert i persovernforordningen artikkel 39.
Se også personvernombudsundersøkelsen 2020/21 der vi til slutt i rapporten kommer med fem råd til personvernombudene og virksomhetens ledelse for å styrke ombudsrollen, og dermed også personvernarbeidet i virksomheten.