Fjöldinn allur af persónuverndarfulltrúum hefur nú tekið til starfa fyrir hina ýmsu aðila, þ.e. bæði fyrir fyrirtæki og opinberar stofnanir. Sá aðili sem ber starfsheitið „persónuverndarfulltrúi“ er ekki beint hinn hefðbundni starfsmaður ef svo má segja, a.m.k. ekki þegar hann sinnir hlutverki sínu sem slíkur aðili. Um hlutverkið gilda lög um persónuvernd og vinnslu persónuupplýsinga nr. 90/2018 („persónuverndarlög“). Þar er kveðið á um hvernig þeir, sem hafa persónuverndarfulltrúa á sínum snærum, skuli umgangast hann og styðja í starfi. Í þessari grein ætlar höfundur að varpa nánara ljósi á það.

Persónuverndarfulltrúi skal koma að málefnum sem varða persónuvernd

Persónuverndarfulltrúi verður að koma að málefnum fyrirtækis sem varða persónuvernd. Ef sú er ekki raunin er hætta á að hún verði fyrir borð borin. Hér má hugsa sér tilvik þar sem fyrirtæki ætlar að nýta sér lausn frá þriðja aðila þar sem geyma á upplýsingar um einstaklinga. Áður en það er gert verður að leita ráða hjá persónuverndarfulltrúa um hvaða kröfur séu gerðar til slíkrar lausnar og hvort heimild standi til þess að taka hana í notkun. Hér er átt við að það verður raunverulega að óska eftir áliti persónuverndarfulltrúa. Ekki gengur upp að ákvörðun hafi þegar verið tekin og að hann skuli eingöngu leggja blessun sína á að allt sé í lagi. Ganga verður úr skugga um að álit persónuverndarfulltrúa hafi mikið vægi og jafnframt að hann fái tíma og svigrúm til að meta nauðsynlega þætti áður en ákvörðun er tekin.

Persónuverndarfulltrúi á ekki að fá fyrirmæli um störf sín

Ekki má gefa persónuverndarfulltrúa fyrirmæli um hvernig hann eigi að haga sínu starfi. Hér er til dæmis átt við að ekki má þrýsta á hann að komast að tiltekinni niðurstöðu um málefni sem varða persónuvernd, svo sem að tiltekin meðferð á persónuupplýsingum skuli teljast heimil. Hlutverk persónuverndarfulltrúa er ekki að komast að niðurstöðu sem er fyrirtækjum í hag, heldur einungis að meta hvað sé rétt að gera út frá persónuverndarlögum.

Sú staða getur auðvitað komið upp að aðilar eru ósammála um hvað sé rétt að gera í skilningi laganna. Þegar tekin er ákvörðun sem fer gegn ráðleggingum persónuverndarfulltrúa er góð framkvæmd að skjalfesta forsendur þeirrar ákvörðunar og rökstyðja af hverju hún samrýmist persónuverndarlögum.

Ekki má refsa persónuverndarfulltrúa fyrir að sinna hlutverki sínu

Upplýsingar um einstaklinga geta falið í sér gríðarleg verðmæti fyrir fyrirtæki. Líkt og rakið var að framan getur persónuverndarfulltrúi komist að niðurstöðu sem ekki samrýmist hagsmunum þess sem hann vinnur fyrir. Til dæmis má hugsa sér fyrirtæki sem vill vinna persónuupplýsingar í þeim tilgangi að nálgast einstaklinga með nýjum hætti og auka þannig umsvif sín. Ef persónuverndarfulltrúi telur að um ólögmætt athæfi sé að ræða, þá er óheimilt að refsa honum fyrir þá afstöðu sína, til dæmis með því að segja honum upp störfum. Dulbúin refsing er líka óheimil, til dæmis að neita persónuverndarfulltrúa um fríðindi sem aðrir starfsmenn njóta eða að sleppa því að senda honum boðskort á árshátíðina.

Persónuverndarfulltrúi á að fá virkan stuðning frá æðstu stjórnendum

Fyrirtækjum ber að láta persónuverndarfulltrúa í té nauðsynleg úrræði. Felur það meðal annars í sér að hann njóti virks stuðnings frá æðstu stjórnendum. Þeim ber að grípa inn í ef eitthvað bjátar á, til dæmis ef millistjórnendur eða starfsmenn sniðganga athugasemdir persónuverndarfulltrúa um atriði sem betur mega fara. Aðkoma æðstu stjórnenda á að tryggja að persónuvernd skuli tekin alvarlega innan fyrirtækis.

Að lokum

Hlutverki persónuverndarfulltrúa fylgir mikil alvara. Ekki er nóg að vera með hann upp á flottheitin og gefa sig út fyrir að vera aðili sem tekur persónuvernd alvarlega. Raunverulegur vilji verður að vera þar á bak við og verða fyrirtæki án nokkurs vafa að skapa rétta umgjörð fyrir persónuverndarfulltrúa. Að öðrum kosti er hætta á að markmið um fullnægjandi persónuvernd náist ekki.