I mange år har mange norske bedrifter hatt personvernombud. Det har etter dagens lov vært en frivillig ordning og Datatilsynet har oppmuntret til at virksomheter bør ha et personvernombud. Når personvernforordningen (GDPR) trer i kraft, blir innholdet i stillingen ganske annerledes enn i dag.
Med GDPR blir ordningen med personvernombud obligatorisk for en rekke virksomheter, mens den i dag er frivillig. Likevel beholdes et element av frivillighet ettersom virksomheter som ikke pålegges å ha et ombud kan velge å ha ett.
Det er viktig å være klar over en vesensforskjell mellom rollene til dagens personvernombud og personvernombudene som skal fungere etter GDPR. Etter GDPR er det store krav til at ombudet er uavhengig og ikke har fått interessekonflikter i utøvelsen av sin rolle. Dette betyr at de som er med på å bestemme formål med behandling av personopplysninger og hvordan de skal behandles, ikke skal være personvernombud. Årsaken er at de som er med på å bestemme hvordan personopplysninger skal behandles, ikke vil være uavhengige i vurderingen av om behandlingen er lovlig eller ikke.
EU (artikkel 29-gruppen) anbefaler derfor at ledende posisjoner som CFO, CEO, CTO, Markedssjef, HR-direktør og lignende ikke kan ha rollen som personvernombud. Avhengig av hva de daglige oppgavene er, kan heller ikke roller lenger ned i organisasjonen ha en slik funksjon hvis de er med på å bestemme hvordan personopplysninger behandles.
Kravet om uavhengighet er ikke helt enkelt i praksis. Det kan bli organisasjonsmessig upraktisk om den som kanskje kan mest om personvernreglene ikke kan være med på å gi konkrete råd om hvordan bedriften bør forvalte sine personopplysninger. Det er nettopp det mange av dagens personvernombud bruker mesteparten av sin tid på.
GDPR er tydelige på at artiklene om personvernombud skal gjelde dersom en virksomhet oppnevner et personvernombud selv om det ikke er pliktig til å gjøre dette. Det kan altså få store konsekvenser hva man kaller en stilling – er det «formelt» personvernombud eller er det noe annet. EU anbefaler at en virksomhet er tydelig på om en posisjon er en personvernombud eller ikke.
Alt i alt betyr dette at personvernombudets rolle blir mer kontrollerende og mindre rådgivende enn i dag. Det betyr også at det i dag finnes personvernombud som antakelig bør skaffe seg en annen tittel dersom de skal fortsette med å ta avgjørelser i organisasjonen.
Til slutt nevnes at det norske lovutkastet benevner personvernombud som personvernrådgiver. Hvilken betegnelse som blir stående i den endelige norske loven, vites ikke enda. I vurderingen av hva en personvernstilling skal hete og hvilket ansvar den får, må man ta hensyn til den endelige betegnelsen, da det er den som blir avgjørende for de formelle rollene til stillingen