Persónuverndarfulltrúi er aðili sem opinberar stofnanir og tiltekin fyrirtæki munu tilnefna samkvæmt nýjum lögum um persónuvernd og vinnslu persónuupplýsinga nr. 90/2018 („persónuverndarlög“). Í starfi mínu hjá Dattaca Labs hef ég aðstoðað opinberar stofnanir og fyrirtæki við að aðlaga starfsemi sína að kröfum nýrra persónuverndarlaga. Í þeirri vinnu hefur undirritaður orðið var við ólíkar hugmyndir manna um hver eigi að taka að sér hlutverk persónuverndarfulltrúa. Margir telja að hér sé einungis um formsatriði að ræða og óhætt sé að fela einhverjum af núverandi starfsmönnum að bera titilinn „persónuverndarfulltrúi“. Hér á undirritaður einkum við þau tilvik þegar lítið hefur verið kannað hvaða kröfur persónuverndarlög gera til slíks aðila. Í þessari grein ætlar höfundur að varpa ljósi á þá þætti sem þarf að hafa í huga áður en auknum skyldum, sem til koma vegna hlutverks persónuverndarfulltrúa, er bætt á núverandi starfsmann.

Hefur viðkomandi starfsmaður næga þekkingu?

Í fyrsta lagi þarf að ganga úr skugga um að viðkomandi starfsmaður búi yfir nægjanlegri þekkingu. Persónuverndarlög gera kröfu um að persónuverndarfulltrúi sé tilnefndur á grundvelli faglegrar hæfni sinnar og einkum sérþekkingar á lögum og lagaframkvæmd á sviði persónuverndar. Vissulega er ákveðið svigrúm veitt og viðkomandi starfsmaður á að eiga þess kost að sækja sér þá þekkingu sem til þarf. Hvað sem því líður verður hann að hafa áhuga á og vera tilbúinn að sækja sér og viðhalda þekkingu á persónuverndarlögum.

Að persónuverndarfulltrúi hafi næga þekkingu helst í hendur við þá kröfu um að hann geti sinnt þeim verkefnum sem undir hann heyra. Hér er til dæmis átt við að hann verður að vera í stakk búinn til að svara spurningum frá starfsfólki og viðskiptavinum um álitaefni sem varða persónuvernd. Þá verður persónuverndarfulltrúi einnig að vera vel með á nótunum um þróun persónuverndar og fræða og þjálfa starfsfólk með reglubundnum hætti.

Eru hagsmunaárekstrar til staðar?

Í öðru lagi þarf að hafa í huga að persónuverndarlög gera kröfu um að persónuverndarfulltrúi sinni hlutverki sínu með sjálfstæðum hætti og taki hlutlausar ákvarðanir út frá persónuverndarlögum. Í því samhengi verður meðal annars að kanna hvort viðkomandi starfsmaður hafi önnur óskyld verkefni með höndum sem leitt geta til hagsmunaárekstra.

Einkum geta hagsmunaárekstrar verið til staðar þegar persónuverndarfulltrúi gegnir jafnframt stjórnunarhlutverki af einhverju tagi, til dæmis hlutverki framkvæmdastjóra, fjármálastjóra, markaðsstjóra eða yfirmanns upplýsingatæknimála. Hagsmunaárekstrar koma vel fram í eftirfarandi dæmi:

„Markaðsstjóri kemur auga á hugbúnað sem safnar persónuupplýsingum og auðveldar fyrirtækjum að nálgast einstaklinga og bjóða þeim ákveðna þjónustu. Slíkar upplýsingar eru augljóslega verðmætar og koma fyrirtækjum til góða. Markaðsstjórinn er jafnframt fullmeðvitaður um að hann verður verðlaunaður fyrir góða frammistöðu í starfi. Hér er augljóst að erfitt væri fyrir markaðsstjórann að leggja hlutlaust mat á það hvort hugbúnaðurinn uppfylli kröfur persónuverndarlaga enda hefur hann hagsmuna að gæta. Með öðrum orðum, það væri óheppilegt ef hann væri jafnframt persónuverndarfulltrúi.“

Það er því skynsamlegra að starfsmaður sem ekki hefur stjórnunarstörf með höndum taki að sér hlutverk persónuverndarfulltrúa. Fyrirtæki verða þó að gæta að því að sjálfstæði hans sé tryggt og að hann verði ekki fyrir áhrifum frá öðrum, til dæmis stjórnendum, þegar til stendur að taka ákvarðanir um málefni sem varða persónuvernd.

Fær viðkomandi starfsmaður nægan tíma til að sinna hlutverkinu?

Í þriðja lagi þarf að tryggja að persónuverndarfulltrúi hafi nauðsynleg úrræði. Með því er til dæmis átt við að hann fái nægan tíma til að sinna þeim verkefnum sem undir hann heyra. Starfsmaður í fullu starfi er ólíklegur til þess að hafa tíma til að sinna hlutverki persónuverndarfulltrúa. Ef slíkur aðili tekur samt sem áður að sér hlutverkið er mikilvægt að það liggi fyrir áætlun um hlutfall þess tíma sem hann á að eyða í verkefnið. Að öðrum kosti gæti forgangsröðun orðið óljós og leitt til þess að viðkomandi starfsmaður vanræki skyldur sínar sem persónuverndarfulltrúi.

Er hugsanlega betra að tilnefna utanaðkomandi aðila?

Auk alls framangreinds er skynsamlegt að kanna hvort heppilegra sé að tilnefna utanaðkomandi aðila sem persónuverndarfulltrúa. Mögulega hefur sá aðili alla þá þekkingu sem til þarf og að sama skapi er ólíklegra að sá aðili hafi önnur verkefni með höndum sem leitt geta til hagsmunaárekstra. Jafnframt er hann ólíklegri til að vera undir þrýstingi frá stjórnendum fyrirtækis. Með algjörlega hlutlausu mati frá utanaðkomandi aðila aukast líkurnar til muna á að viðkomandi fyrirtæki starfi í anda persónuverndarlaga.

Að lokum – Tökum upplýsta ákvörðun

Ákvörðun um hvort bæta eigi auknum skyldum á núverandi starfsmann og fela honum hlutverk persónuverndarfulltrúa þarf að vera vel ígrunduð. Mikilvægt er að taka tillit til allra þeirra þátta sem undirritaður hefur rakið að framan. Að öðrum kosti er hætt við því að persónuverndarsjónarmið fari forgörðum. Það gefur augaleið að starfsmaður sem ekki hefur tilskilda þekkingu, eða hefur ekki tíma til sinna hlutverkinu, gagnast þeim sem hann vinnur fyrir að mjög takmörkuðu leyti. Að sama skapi er líklegt að álit persónuverndarfulltrúa missi marks þegar hann hefur hagsmuna að gæta eða er undir áhrifum frá öðrum. Höfundur hvetur alla þá sem í hyggju hafa að tilnefna persónuverndarfulltrúa að vanda vel til verka. Jafnframt ættu allir að hafa markmið lagaákvæða um tilnefningu persónuverndarfulltrúa í huga, þ.e. að auðvelda fyrirtækjum að framfylgja persónuverndarlögum en ekki að gera þeim erfiðara fyrir.