Mars, 2018. John Arthur Berg – Personvernrådgiver, itslearning as
Dette er den første i en rekke av artikler skrevet av itslearning sin personvernrådgiver. Så la oss starte med å svare på det mest åpenbare spørsmålet; hva er en personvernrådgiver?
Spørsmålet er enkelt nok, men det krever litt forståelse for GDPR (General Data Protection Regulation), EU og prinsippene bak personvern.
For enhver EU-borger er retten til privatliv og beskyttelse av personopplysninger dekket i EUs pakt om grunnleggende rettigheter (Artikkel 7 og 8). Personopplysninger må beskyttes, håndteringen av dataene må ha lovlig hensikt og være behandlingen må være transparent for individet. Retningslinjene for å sikre dette så langt har vært en kombinasjon av EU-direktiver og lokale lovverk. Men fra 25. mai 2018, vil dette bli erstattet med GDPR, en forordning som automatisk blir EU-lov i alle land som hører inn under EU (og, indirekte, EØS).
Mange medlemsland har allerede hatt på plass ordninger for personvernrådgiver, enten obligatorisk eller frivillig. Med GDPR, er rollen som personvernrådgiver tatt inn i EU-loven. For noen institusjoner vil det å utnevne en personvernrådgiver være obligatorisk, mens andre kan frivillig underlegge seg regelverket. Følgende organisasjoner må utpeke en personvernrådgiver:
a) Offentlig / statlig institusjoner
b) Organisasjoner som behandler bestemte typer sensitive data i stor skala
c) Organisasjoner hvor behandlingen innebærer storskala overvåking.
I lys av at mange av våre kunder vil trenger å fylle denne rollen, har itslearning valgt å utnevne en personvernrådgiver.
Så tilbake til det opprinnelige spørsmålet; hva er en personvernrådgiver?
En enkel måte å si det på er at en personvernrådgiver skal beskytte de grunnleggende frihetene og rettighetene til de registrerte (brukerne) i forhold til personvern og datahåndtering. For å sikre at personvernrådgiveren setter rettighetene til den registrerte først, ikke pliktene til arbeidsgiver, er det særlige bestemmelser i GDPR for å sikre uavhengighet. En personvernrådgiver kan ikke instrueres av ledelsen eller straffes for det arbeidet som gjøres for å sikre beskyttelse av data. Han eller hun kan heller ikke ha en annen rolle som kan komme i konflikt med vern av personopplysninger.
En vanlig misforståelse om rollen er å tro at personvernrådgiver er ansvarlig for å overholde regelverket under GDPR. Det er faktisk motsatt, en personvernrådgiver kan ikke ha en formell rolle hvor det tas beslutninger som kan påvirke organisasjonens overenstemmelser i GDPR. Tenk på det som forskjellen på en regnskapsfører og en revisor, revisor kan til en viss grad gi råd om regnskapspraksis, men kan ikke føre regnskapet til en organisasjon.
På samme måte må personvernrådgiveren alltid konsulteres i viktige saker som angår datasikkerhet innenfor organisasjonen. Han eller hun skal ta ansvar for å lære opp andre i organisasjonen om deres plikter under EU’s personvernforordning. Personvernrådgiveren bør også være i stand til å proaktivt vurdere og overvåke overholdelse, og rapportere direkte til ledelsen i organisasjonen. Personvernrådgiveren er også organisasjonens kontaktperson for tilsynsmyndighetene.
Personvernrådgiver er også ansvarlig for å håndtere direkte forespørsler fra registrerte. Men disse henvendelsene er begrenset til å gjelde saker hvor organisasjonen er ansvarlig for formålet med behandlingen (behandlingsansvarlig). For itslearning, er flertallet av dataene vi behandler, noe vi gjør på vegne av våre kunder. Dersom du er en elev, lærer eller forelder som bruker våre kunders tjenester, må du ta kontakt med institusjonen hvor du hører til for å utøve dine rettigheter. Vår personvernrådgiver vil gjøre sitt ytterste for å støtte din institusjon og beskytte dine rettigheter.
Vi håper vi med dette har svart tilstrekkelig på spørsmålet «Hva er en personvernrådgiver?» Følg med, neste uke lanserer vi en ny artikkel i serien vår: «Hvorfor GDPR?»
