Internkontroll etter personopplysningsloven

av EKOR AS (1. juli 2013)

Dersom virksomheten din ikke har etablert systematisk internkontroll for behandling av personopplysninger, blir personopplysningene verken behandlet effektivt eller i henhold til lovverket. Det er egentlig ikke så mye som skal til for å få internkontrollrutinene på plass, og kvalitetsarbeid på personvernområdet gir store gevinster. Likevel syndes det, og jevnlig kan vi lese nyhetsoppslag om de merkeligste brudd på personopplysningsloven. Hva er internkontroll etter personopplysningsloven § 14, og hvorfor er mange virksomheter så skeptiske?

Personopplysninger
Personopplysninger er opplysninger og vurderinger som kan knyttes til enkeltpersoner. Selv om vi lever i en selvutleverende tidsalder, skal man ha respekt for enkeltmenneskets ønske om en viss selvråderett over egne personopplysninger.

Lovverket skiller mellom personopplysninger og sensitive personopplysninger, der sistnevnte har et særskilt vern. Som sensitive personopplysninger regnes informasjon om etnisk opphav, politisk oppfatning, verdisyn, helse, seksualitet og fagforeningstilhørighet. Hvorvidt den enkelte har vært mistenkt, siktet, tiltalt eller dømt for et straffbart forhold regnes også som en sensitiv opplysning. Andre personopplysninger kan være informasjon om bosted, utdanningshistorikk, sivilstand, arbeidserfaring, kundeforhold og personnummer. Vi må også huske at bilder, film- og lydopptak kan knyttes til enkeltpersoner.

Selv om noen personopplysninger er mindre sensitive enn andre, må vi alltid respektere at privatlivets fred er nær hjertet for mange.

Korrekt behandling av personopplysninger stiller mange krav til sikkerhet, organisering og regelmessighet. Et klokt førstesteg i arbeidet med internkontroll kan være at en prosjektgruppe diskuterer hvordan man ville ønsket at egne personopplysninger skulle behandles. Hvis diskusjonsgruppen etisk står inne for rutinene som følges samtidig som virksomhetens informasjonsbehov ivaretas, er man allerede et godt stykke på vei i utviklingen av internkontroll etter personopplysningsloven.

Privatpersonens rett
Min rett til et privatliv skal da ingen kunne ta fra meg! Jeg vil vite hvem som lagrer hva, og jeg vil være sikker på at personopplysningene mine ikke gjøres tilgjengelig for hvem som helst.Som privatperson vil jeg føle meg trygg på at personopplysningene som er samlet inn blir behandlet korrekt. Jeg kjenner rettighetene mine!

Sitatet utgjør mye av kjernen i arbeidet med internkontroll på personvernområdet, nemlig behovet for å ivareta privatpersonens rettigheter. Kvalitetsarbeidet innen personvern handler i første rekke om å vise respekt for enkeltmennesket som har avgitt opplysningene. Virksomhetens behov for behandling av personopplysninger er selvsagt også viktig, men dette må samsvare med hva som oppfattes som rimelig.

Virksomhetens plikt
Dersom du forvalter personopplysninger har du en lovpålagt plikt til å etablere og vedlikeholde et internkontrollregime for håndtering av personopplysninger. Selve etableringen av kontrollregimet kan gjerne organiseres som et prosjekt, men de faste arbeidsoppgavene som internkontrollen introduserer bør utføres regelmessig av faste medarbeidere etter stillingsinstruks. Selv om et internkontrollregime vil kreve tekniske og organisatoriske tilpasninger, trenger ikke endringene nødvendigvis å være så omfattende. I stedet for å frykte internkontrollen, bør virksomhetene se på dette som et nyttig bidrag til effektiv løsning av arbeidsoppgavene.

Alle virksomheter som behandler personopplysninger må sørge for at opplysningene samles inn, lagres, bevares og slettes i henhold til lovverket. Virksomheten må i tillegg legge til rette for at den som har avgitt opplysningene får innsyn i personopplysningene som er registrert. Privatpersonen har også rett til å be om at uriktige personopplysninger blir korrigert, og i noen tilfeller kan personen kreve at registrerte personopplysninger blir slettet.

Skriftlighet og ansvarsdeling
Vellykket behandling av personopplysninger krever systematisk kontroll og forutsigbarhet, og virksomhetens systematiske tilnærming på HMS-området vil ofte være en nyttig inspirasjonskilde. Ved etablering av internkontroll for personopplysninger er det naturlig å samle de ulike rutinene, skjemaene og instruksene i ett skriftlig dokument basert på Datatilsynets mal. Internkontrollens omfang beror på hvilke personopplysninger som virksomheten ønsker å behandle.

Internkontrolldokumentet skal blant annet definere ansvarsdelingen på personvernområdet, for eksempel systemeierskap. Det stilles i tillegg krav til at noen ivaretar rollen som sikkerhetsansvarlig, det vil si en medarbeider som sørger for at internkontrollen blir håndhevet i det daglige. I rollen som sikkerhetsansvarlig skal medarbeideren blant annet ta initiativ til rapportering og utbedring ved sikkerhetsavvik, samt bidra til at daglig behandling av personopplysninger tilfredsstiller kvalitetskravene.

I større virksomheter kan det være aktuelt å etablere rollen som personvernombud. Et personvernombud vil ofte ha de samme oppgavene som den sikkerhetsansvarlige, men har gjerne et utvidet ansvar for veiledning og informasjonsarbeid i tillegg. Det er også vanlig at ombudet har ansvar for kontakten med Datatilsynet.

Konsesjoner og meldinger
Som virksomhetsleder må du se til at du har hjemmel til å registrere personopplysninger. Ved mottak eller innsamling av personopplysninger er hovedregelen at privatpersonen som avgir opplysningene også har avgitt et informert og signert samtykke i forkant. Hvis personopplysningene som skal lagres og behandles er sensitive, må virksomheten i tillegg søke om konsesjon fra Datatilsynet før det elektroniske registeret kan opprettes. I andre tilfeller, for eksempel ved lagring av bilder fra overvåkningskameraet i resepsjonen, vil det være tilstrekkelig å sende en melding til Datatilsynet.

Konsesjoner fra Datatilsynet er ikke tidsbegrenset, men virksomheten må likevel sørge for at utvidelser og tillegg i det elektroniske registeret rutinemessig blir meldt inn. Meldinger må derimot fornyes hvert tredje år. Ansvaret for ajourhold og fornyelse av konsesjoner og meldinger er gjerne en viktig del av internkontrolloppgavene.

Korrekt og forutsigbart
Som tidligere nevnt legger internkontrollregimet til rette for at personopplysninger skal behandles korrekt og forutsigbart. Med et velfungerende internkontrollregime på plass har virksomheten sørget for at det bare er relevante personopplysninger som behandles, og at visse opplysninger blir slettet når formålet med behandling er oppnådd. Et godt internkontrollregime bidrar i tillegg til redusert risiko for ulike typer sikkerhetsbrudd, for eksempel at sensitive helseopplysninger blir deponert i ulåste søppelcontainere.

Kampen om hukommelsen
Det er i alles interesse at overflødige personopplysninger slettes, men for en privatperson er det samtidig en menneskerett å kunne lese om seg selv i arkivene. Hvordan kan begge hensyn ivaretas?

I noen tilfeller er privatpersonens rett til å bli husket en viktig menneskerettighet. Hvilken rettssikkerhet ville for eksempel justismordofre hatt dersom de ikke hadde fått anledning til å be om dokumentinnsyn? På en annen side kan også retten til å bli glemt være en menneskerett. De fleste ønsker for eksempel ikke at en avisselger skal fortsette å ringe i tiår etter at abonnementet ble sagt opp. Å definere hvilken hukommelse virksomheten skal og kan tillate seg i ulike sammenhenger er en vital oppgave i utviklingen av internkontroll for personopplysninger.

I forbindelse med behandling av personopplysninger er det nemlig viktig å være i stand til å skille mellom enkeltmenneskets rettighetsdokumentasjon og mer tilfeldige spor fra overvåkningskameraer eller kunderegistre.

Et velfundert internkontrollregime vil være et viktig redskap for korrekt vurdering av hukommelsen.

Internkontroll nå!
Dersom din virksomhet ikke har etablert tilfredsstillende internkontroll for behandling av personopplysninger, er dette et kritisk avvik som bør lukkes umiddelbart. Ved alvorlige brudd på personopplysningsloven har Datatilsynet anledning til å tilbakekalle konsesjoner og utstede bøter. Et tilbakekall av en konsesjon vil få store konsekvenser. Som nevnt er mangelfull internkontroll også en indikasjon på at virksomheten din antakeligvis kan jobbe mer effektivt. Dessuten er manglende respekt for kunder og klienters personvern fryktelig dårlig omdømmebygging.

Av mange grunner er det fornuftig å etablere internkontrollrutiner på personvernområdet. Ikke i morgen, men nå!

Kontakt: post(a)ekor.no

En PDF-versjon av teksten kan lastes ned her.

Reklamer

Daglig leder i EKOR - www.ekor.no

Publisert i Arkivfaglige tema, Lovverk, rutiner og policy
Kontaktinformasjon

EKOR AS, org.nr. 915003095
Post: Postboks 1406 Vika, 0115 Oslo
Besøk: Haakon VIIs gate 9, 0161 Oslo
Telefon: +47 901 14 042

%d bloggere like this: