Virksomheten skal sikre at personvernombudet ikke mottar instrukser om utførelsen av oppgavene sine, hverken fra den behandlingsansvarlige eller andre. Dette betyr at ombudet ikke skal få instrukser om hva utfallet av en sak som er til vurdering hos ombudet skal være, hvordan ombudet skal gjennomføre kontroller eller undersøke en klage, eller hvorvidt ombudet skal rådføre seg med Datatilsynet.
Det at personvernombudet skal ha en risikobasert tilnærming til arbeidet, betyr at innsatsen bør legges der ombudet vurderer at risikoen for personvernet er høyest. Det trenger ofte ikke å være det samme som ledelsen mener at ombudet skal bruke tiden sin på. Ombudet skal altså selv prioritere og disponere sin tid innen de ressursrammer som er blitt gitt ombudsrollen.
Selv om en virksomhet har personvernombud, er det fremdeles den behandlingsansvarlige som har det juridiske ansvaret for at personvernlovgivningen følges. Hvis det tas avgjørelser som kan være i strid med personvernlovgivningen i virksomheten, eller de ikke tar hensyn til rådene fra personvernombudet, bør ombudet få mulighet til å legge fram sine vurderinger overfor de som skal ta avgjørelsen, og om nødvendig virksomhetens øverste ledelse.
Ombudet skal ikke avskjediges eller på andre måter straffes for å utføre oppgaver i kraft av sin rolle. Dette er viktig for å sikre uavhengigheten til ombudet. Forbudet mot å avskjedige eller sanksjonere ombudet, gjelder i den grad sanksjonene er knyttet til vedkommendes utførelse av sine oppgaver som personvernombud.
Sanksjonering i denne sammenhengen kan være at et ombud ikke får karriereopprykk, høyere lønn eller andre goder som ansatte normalt nyter godt av, eller at det kommer trusler om dette.
Hvordan unngå interessekonflikt?
Et personvernombud kan ha andre oppgaver og roller i virksomheten. Hvis det er tilfellet, må virksomheten sikre at de andre oppgavene ikke fører til en interessekonflikt. Dette er tett knyttet opp til forutsetningen om at ombudet skal kunne utføre sine oppgaver på en uavhengig måte.
Som hovedregel kan ikke en person være personvernombud og samtidig ha en rolle der det skal bestemmes formål og måter personopplysninger skal behandles på. Hver enkelt virksomhet er forskjellig og må gjøre sine vurderinger for å sikre at ombudet unngår interessekonflikt i sine roller i virksomheten.
Du kan som følge av dette ikke være personvernombud samtidig som du har en høy lederstilling (administrerende direktør, HR-sjef, IT-sjef, konsernadvokat ol). Men også andre stillinger i organisasjonen kan føre til interessekonflikt hvis rollen innebærer å bestemme (eller være en sentral premissgiver) formålet, eller måten behandlingen skal skje på.
For å unngå å komme opp i situasjoner med konflikt eller misforståelse om rollen og oppgavene til ombudet er det lurt å ha en arbeids- og rollebeskrivelse som tydelig definerer arbeidsoppgaver og ansvarsforholdet mellom ombudet og virksomheten.
Andre nyttige grep virksomheten kan ta for unngå en interessekonflikt i rollen som personvernombud er å:
- kartlegge hvilke potensielle interessekonflikter ombudet kan møte i virksomheten
- identifisere stillinger som er uforenlige med personvernombudsrollen
- lage interne retningslinjer for å unngå interessekonflikter
- være tydelig i utlysningen av ombudsstillingen om hvilke roller og oppgaver vedkommende kan, eller ikke kan, ha som personvernombud