Har du blitt “hen som håndterer GDPR-spørsmålene”? Du vet, den personen som kolleger sender e-poster til, som skal svare på spørsmål om samtykke, hendelser og AI-løsninger, og som plutselig skal stoppe eller godkjenne beslutninger som allerede er fattet. Kanskje er du den eneste juristen i en stor virksomhet, kanskje ny i rollen – men uansett: det forventes at du holder styr på alt, uten reell styring i ryggen.
Kjenner du deg igjen? Da er dette innlegget for deg.
Bloggserien: Byggesteiner for et modent personvern
Dette er første del i en serie der vi går gjennom seks sentrale aspekter som sammen danner grunnlaget for en moden organisasjon innen personvern og etterlevelse.
Målet er å hjelpe deg som jurist eller ekspert med å:
- Gjenkjenne hvor din organisasjon befinner seg
- Finne måter å påvirke – selv uten fullt mandat
- Få praktiske verktøy for å bygge struktur, tydelighet og samarbeid
Hvis du jobber i en organisasjon der personvern allerede er en integrert del av styringen – bli gjerne med videre. I neste innlegg går vi dypere inn i kontroll og oppfølging, og du vil kjenne igjen både styrker og mulige forbedringsområder.
Men først: Hva skjer når ansvar mangler eller er uklart?
Hvem har ansvaret for personvern – egentlig?
I teorien er det enkelt: det behandlingsansvarlige selskapet har det overordnede ansvaret. Men i praksis? Ofte er det slik:
- Juristen har “fått” GDPR-ansvaret, men uten noen reell myndighet
- Personvernombudets uavhengige og rådgivende rolle forveksles med et faktisk ansvar for etterlevelse
- Virksomheten tror det er juristens oppgave å godkjenne alt
- Ingen vet hvem som faktisk skal ta beslutninger om behandlinger og risikoer
Resultatet? Alle venter på noen andre – og ingenting skjer. Eller, det skjer masse uten at vi forstår hvor vi er på vei.
Når ansvar er utydelig øker risikoen
Når ansvar ikke er tydelig:
- Faller spørsmål mellom stolene
- Arbeidet blir reaktivt i stedet for forebyggende
- Øker avhengigheten av deg som jurist – selv om du mangler de nødvendige verktøyene
- Risikoen for regelbrudd og tapt tillit øker
Det forventes at du vinner Monaco Grand Prix i en Volvo 240.
Slik kan du skape endring – selv uten formelt mandat
- Lag et enkelt ansvarsbilde
Spør deg selv: Hvem bør gjøre hva i praksis? Knytt ansvar til konkrete aktiviteter i din organisasjon – for eksempel kundeservice, IT-utvikling, anskaffelse av nye systemer og hendelseshåndtering. Hold det konkret og virksomhetsnært.
- Samarbeid med de som allerede jobber med styring
Du trenger ikke bygge hele strukturen selv. Samarbeid med de som arbeider med:
- Compliance – ofte vant til å fordele og følge opp ansvar
- Risikostyring – kan sette personvern inn i et risikoperspektiv
- Informasjonssikkerhet – har ofte god innsikt i systemer, kontroller og forvaltning
- Intern styring – kanskje finnes det allerede en beslutningsmodell, kontrollplan eller delegasjonsordning du kan koble på; finn den som er ansvarlig for det
Personvern trenger ikke sitt eget styringssystem – det må bygges inn i det som allerede finnes.
- Bytt språk: fra “ansvarlig” til “utførende”
Mange kvier seg for å ta ansvar. Men de sier ofte ja til å utføre noe. Spør: Hvem er best egnet til å utføre denne oppgaven, for eksempel å svare på spørsmål om de registrertes rettigheter, utføre sletting av data, sende spørreskjema til nye leverandører eller kontrollere tilgang til et system?
Da får du fremdrift – selv uten formell delegering.
- Løft ansvaret som en risikofaktor
Når ansvaret ikke er fordelt:
- Risikerer spørsmål å falle mellom to stoler
- Risikerer tiltak å utebli
- Risikerer du å stå alene med et ansvar du ikke kan bære
Det er et budskap ledelsen lytter til - særlig hvis det kobles til risiko for overtredelsesgebyr og tap av tillit til virksomheten.
Til slutt: Du trenger ikke vente på mandat
Det er vanlig å tenke: “Jeg kan ikke utpeke ansvar – det bør ledelsen gjøre.” Og det er delvis riktig. Men du kan:
- Forberede en struktur ledelsen kan godkjenne
- Identifisere nøkkelpersoner og situasjoner der ansvar bør avklares
- Vise hvordan personvern kan integreres i eksisterende styringssystemer, i stedet for å konkurrere med dem
Når det blir konkret, relevant og koblet til virksomheten – da er det sjelden vanskelig å fordele ansvar.
Neste innlegg: Hvordan vet du at reglene følges?
I del 2 av bloggserien ser vi nærmere på kontroll og oppfølging. For selv om ansvaret er avklart – hvordan kan du være sikker på at personvernarbeidet faktisk fungerer i praksis?
Vi sees der.