1
Personvernombudsrollen noen observerte erfaringer og utfordringer KINS, personvernombudets dag, 6. juni 2019, Stavanger Ove Skåra, fagdirektør
Kraftig vekst i antall avviksmeldinger etter 20. juli 2018 1506 116 84 206 349 2014 2015 2016 2017 2018 3
Antall Antall virksomheter med personvernombud 1 715 pr 03.06.2019 448 registreringer på kommuner og fylkeskommuner 1484 450 470 554 755 2014 2015 2016 2017 2018 4
Virksomhetens ansvar mht personvernombudet Skal sørge for at personvernombud blir utnevnt iht kravene Faktisk oppnevne hvis obligatorisk Utpeke PVO på grunnlag av faglige kvalifikasjoner (dybdekunnskap og evne til å utføre oppgaver) Melde til Datatilsynet og offentliggjøre kontaktopplysninger Sørge for at ombudet har nødvendige ressurser til å utføre sine oppgaver Gi tilgang til personopplysninger og behandlingsaktiviteter Skal involvere PVO i prosesser, til rett tid Gi PVO mulighet til å opprettholde sin dybdekunnskap PVO skal rapportere til høyeste ledelsesnivå Respektere den uavhengige rollen. PVO skal ikke motta instrukser eller straffes Ikke gi PVO andre oppgaver som kan føre til interessekonflikt Art. 37 og 38 5
Virksomhetens ansvar mht personvernombudet Skal sørge for at personvernombud blir utnevnt iht kravene Faktisk oppnevne hvis obligatorisk Utpeke PVO på grunnlag av faglige kvalifikasjoner (dybdekunnskap og evne til å utføre oppgaver) Melde til Datatilsynet og offentliggjøre kontaktopplysninger Sørge for at ombudet har nødvendige ressurser til å utføre sine oppgaver Gi tilgang til personopplysninger og behandlingsaktiviteter Skal involvere PVO i prosesser, til rett tid Gi PVO mulighet til å opprettholde sin dybdekunnskap PVO skal rapportere til høyeste ledelsesnivå Respektere den uavhengige rollen. PVO skal ikke motta instrukser eller straffes Ikke gi PVO andre oppgaver som kan føre til interessekonflikt Art. 37 og 38 6
Opprette og melde PVO til Datatilsynet Avisen Agder 08.02.2019
Hvor er kontaktopplysningene til personvernombudet? 8
Slik skal det gjøres 9
10
Hva om Nederlandske sanksjoner blir harmonisert nivå? https://www.hldataprotection.com/2019/03/articles/international-eu-privacy/dutchdata-protection-authority-sets-gdpr-fines-structure/ 11
Men hvor tilgjengelig er personvernombudet i praksis?
Ressurser til å utføre oppgaven? 13
Ressurser til å utføre oppgaven, forts?
Eposthenvendelse fra det danske datatilsynet -As discussed at the Nordic Meeting in Stockholm, the Danish DPA has decided to do a follow up on our DPO audit from last year. With this follow up audit, we are going to look more carefully at the DPO s professional qualifications/expert knowledge, resources and tasks. Our audit will focus on DPOs working as DPO for several municipalities at the same time and Municipalities having bought the DPO service from a law firm We are now considering which questions we should ask the municipalities and we are looking for some inspiration. In that regard, we would like to hear if your DPAs have any guidelines, cases, views etc. where your DPA has taken a stand on the requirements of the DPO s professional qualities/expert knowledge, resources or tasks. 15
Dette svarte vi våre danske og svenske søsterorganisasjoner Foreløpig for tidlig å kontrollere PVOs kvalifikasjoner og ressurser Hovedsakelig innen kommunal sektor vi ser PVO for flere virksomheter Vi har ikke hatt saker som går på dette med PVOs faglige eller personlige kvalifikasjoner til behandling hos oss. Ei heller gitt spesifikk veiledning. Ikke hensiktsmessig nå å kontrollere formell kompetanse eller faglige kvalifikasjoner. Fortsatt riktigere å å bruke våre ressurser på å motivere og støtte de som er PVO. De må heller oppleve oss som støttende, enn at vi stiller spørsmål ved deres faglige eller personlige kvalifikasjoner. Realistisk sett kan vi ikke forvente at alle PVOer har dybdekompetanse på personvern enda Men dette er viktig å kontrollere Finner vi personvernerklæring og info om PVO på kommunens nettside? Er PVO kjent hos sentralbord og servicetorg, ytre ledd og medarbeidere? Og; vi kan etter hvert gjøre en kartlegging blant ombudene om for eksempel: Hvordan kom man inn i rollen Formelle kvalifikasjoner og bakgrunn Stillingsstørrelse Hva slags ressurser rår man over, muligheter til kompetanseutvikling osv Opplevelse av uavhengighet og rollekonflikter Tilgang til ledelsen og blir man involvert? Hva oppleves som utfordringer? En slik kartlegging kan vi gjøre i dialog med PVOene! 16
Datatilsynets «tilbud» overfor personvernombudene Dette tilbyr vi pr i dag: Temaside for PVO på datatilsynet.no Personvernkoordinator. Et kontaktpunkt for personvernombudene Nyhetsbrev/mailliste Stiller opp med foredragsholdere på kurs i regi av andre, bl.a: KINS Høgskolen i Innlandet BI Juristenes utd.senter Deloitte Dette tilbyr vi ikke: Egen kanal eller prioritet ved veiledningshenvendelser Ikke grunnopplæring for personvernombud i egen regi Pr i dag heller ikke konkrete planer om andre kurs- eller seminartilbud i regi av Datatilsynet Deltar på nettverkssamlinger Har oversikt over alle PVOer 17
Er du personvernombud bygg nettverk! KINS Norsk forum for personvernombud (over 80 kommunale PVOer) Fylkeskommunalt personvernforum Regionale kommunale nettverk Personvernforum (ca 40 hovedsakelig statlige etater) Departementene Underliggende etater helsedepartementet Forsvaret Akademikerne Helsesektoren Universiteter og høgskoler Finanssektoren (Finans Norge) Alumni Flere? 18
Vi har oversikt over personvernombud 19
Ni anbefalinger til deg som er personvernombud 1. Sett grenser tidlig mht hva som ligger i din rolle og at du ikke skal instrueres i dine oppgaver Sørg for å få en arbeids-/rollebeskrivelse godkjent hos ledelsen 2. Om du er deltids PVO; få avklart hvilken stillingsstørrelse rollen skal ha Dokumentér din tidsbruk og dine aktiviteter 3. Etablér strukturer som institusjonaliserer ledelsens og de ulike deler av organisasjonens oppmerksomhet Sørg for jevnlige statusmøter og formell rapportering til ledelsen 4. Vær behjelpelig og støttende innenfor grensene av din uavhengighet 5. Vær ikke hårsår! Det er i første rekke opp til deg selv å gjøre deg relevant 6. Sørg for å gå på kurs bygg kompetanse 7. Bygg nettverk og knytt relasjoner. Del kunnskap, verktøy og vurderinger 8. Søk dialog med Datatilsynet det er ikke opp til deg, men Datatilsynet å sette grenser for seg selv 9. Del opp elefanten du overkommer ikke alt! 20
Og ta gjerne kontakt med meg eller andre i Datatilsynet Datatilsynet Ove Skåra, fagdirektør Tlf 22 39 69 30 Mobil 917 91 797 Epost osk@datatilsynet.no www.datatilsynet.no www.personvernbloggen.no Twitter.com/datatilsynet Husk å abonnere på nyhetsbrevene fra Datatilsynet og personvernbloggen!
Rollen kan innebære vanskelige valg Gi muntlig råd til vedk. avd.leder Dokumentere rådet skriftlig Ta saken opp med ledelse (om nødv. skriftlig) Søke råd fra Datatilsynet Varsle Datatilsynet Trekke seg fra ombudsrollen? 22
23 14 %