Forsvarlig behandling av personopplysninger

Publisert:

​I et ansettelsesforhold vil arbeidsgiver motta en rekke opplysninger om den ansatte. Det inngås en arbeidsavtale, det kan bli gitt advarsel og det gjennomføres medarbeidersamtaler. Opplysningene som fremgår av dette er å anse som personopplysninger.

Alle opplysninger eller vurderinger som kan knyttes til en enkeltperson er å anse som en personopplysning, det kan for eksempel være navn, adresse, telefonnummer, e-postadresse, bilde og fødselsnummer.

En virksomhet mottar gjerne også opplysninger om kunder, brukere, pasienter ol, som også vil være personopplysninger. Enkelte personopplysninger er sensitive, dette er for eksempel informasjon om hvilke sykdommer en person har, bruk av medisiner, straffedommer og seksuell legning.

Oppbevaring og behandling av personopplysninger er underlagt regler. Personopplysningloven pålegger virksomheten å ha rutiner for sin bruk og beskyttelse av opplysningene.

Etablering av internkontroll

For å sikre en forsvarlig behandling av personopplysningene må virksomheten etablere et internkontrollsystem. Internkontroll handler om å utarbeide tiltak for å sikre at virksomheten oppfyller lovens krav til behandling av personopplysninger.  De fleste virksomheter er kjent med at det må arbeides systematisk med helse, miljø og sikkerhets (HMS) arbeidet i virksomheten. Tilsvarende arbeid må gjøres i forhold til de personopplysninger virksomheten håndterer.

Det er virksomhetens daglige leder som er ansvarlig for at regelverket knyttet til personopplysninger følges. Oppgaven med å utarbeide et internkontrollsystem kan delegeres, men ansvaret påhviler alltid daglig leder.

Jeg skal i korte trekk gå inn på de enkelte punktene som utgjør virksomhetens internkontroll. Fremgangsmåten og rutinene må dokumenteres skriftlig. Jeg anbefaler at virksomheten går inn på Datatilsynet sine nettsider for å få mer informasjon om hvordan man skal utarbeide et internkontrollsystem for personopplysningene. 

Datatilsynet har utarbeidet en veileder for virksomheter som kun håndterer opplysninger om egne ansatte, eller ikke- sensitive kundeopplysninger. Øvrige virksomheter kan bruke veilederen "internkontroll og informasjonssikkerhet".

1. Kartlegge bruken av personopplysninger i virksomheten

For det første må det kartlegges hvilke personopplysninger virksomheten håndterer. Videre må virksomheten forklare hvorfor virksomheten håndterer disse opplysningene. Virksomheten må også knytte håndteringen av de enkelte personopplysningene til et hjemmelsgrunnlag. Hjemmelsgrunnlag kan være: samtykke, lov eller vurdering av en nødvendighet som er definert i personopplysningsloven.

2. Utarbeide rutiner for håndtering av personopplysninger  Utarbeide rutiner for håndtering av personopplysninger 

Behandling av personopplysninger medfører plikter for virksomheten. Virksomheten må identifisere pliktene den er underlagt. På bakgrunn av dette må det utarbeides rutiner som er tilpasset pliktene. Rutinene må gjøres kjent for medarbeiderne.

Eksempel på rutiner som kan være relevante for virksomheten er:

  • Rutine for iverksettelse eller opphør av behandling av personopplysninger
  • Rutine for overholdelse av melde- og eventuelt konsesjonsplikt
  • Rutine for sletting av personopplysninger
  • Rutine for utlevering, innsyn og retting av personopplysninger til andre
  • Rutine for innsyn i privat e-post private filområder

Virksomheten må sørge for at rutinene blir fulgt og at de holdes oppdatert.

3. Foreta en risikovurdering av informasjonssikkerheten
Uansett i hvilken form personopplysningene er lagret, må de beskyttes på en tilfredsstillende måte. Virksomheten plikter å beskytte verdiene som finnes i den informasjon de håndterer. Personopplysningene må beskyttes i forhold til:

  • Konfidensialitet; at uvedkommende ikke får tilgang til opplysningene
  • Integritet; at opplysningene ikke endres uten at det er tilsiktet og gjøres av rettmessig bruker
  • Tilgjengelighet; at opplysningene er tilgjengelige for autoriserte brukere ved behov

Virksomheten må med tanke på disse forholdene foreta en risikovurdering og vurdere om personopplysningene er tilfredsstillende sikret. Virksomheten må identifisere mulige uønskede hendelser og eventuelle konsekvenser av dette. Dersom risikovurderingen avdekker hendelser som ikke kan vurderes som akseptable må virksomheten iverksette tiltak.

4. Utarbeide rutiner for avvikshåndtering
Som siste ledd av internkontrollen må virksomheten utarbeide kontrollrutiner som jevnlig kontrollerer at tiltakene virker etter sin hensikt. Rutinene må ta høyde for å oppdage avvik, iverksette tiltak for å lukke avvik, gjenopprette normaltilstand og hindre gjentakelse.