Foto

Dreamstime.com

Manglende personverntiltak kan koste dyrt

Publisert: 22. august 2014 kl 09.05
Oppdatert: 23. mai 2016 kl 22.33

Personvern har stått sterkt i medias søkelys det siste året. Snowdens NSA-avsløringer, EUs personvernreform, EU-domstolens avgjørelse i Google-saken (retten til å bli glemt, red.anm.) og et ugyldiggjort datalagringsdirektiv. Dette er bare noen av sakene som har rettet samfunnets oppmerksomhet mot personvernspørsmål. I september vil debatten mest sannsynlig rulle videre etter en stille sommer. Da starter nemlig EU opp igjen arbeidet med en skjerpet personvernreform når Parlamentet avholder første plenumssamling, forteller advokat Ingvild Næss i Advokatfirmaet Thommessen AS. 

Advokat Ingvild Næss, advokatfirmaet Thommesen AS

Foto

CF-Wesenberg / Kolonihaven.no 

– Med all medieoppmerksomheten er det rimelig å anta at problemstillinger knyttet til personvern har kommet på radaren hos mange norske bedrifter. Likevel kan det virke som om det ofte blir med tanken. Noen ganger skyldes det at bedriftsledelsen ikke ser relevansen av personvernspørsmål for deres virksomhet. Andre ganger handler det om at personvernet bare er et av flere, og ofte kryssende, hensyn norske bedrifter må ta i sin daglige virksomhet, sier hun til Ukeavisen Ledelse. 

Andre ting er viktigere

Næss mener det siste harmonerer godt med det Datatilsynet konkluderte med i sin befolkningsundersøkelse før sommeren. 

– Datatilsynets konklusjon, basert på undersøkelsen, er at personvern ofte ikke vurderes som det som er viktigst å ta hensyn til når det settes opp mot behovstilfredsstillelse og andre hensyn, forteller hun. 

At kryssende hensyn ofte veier tyngre enn personvernet, fritar imidlertid ikke bedriftene fra å vurdere hvordan de behandler personopplysninger. Selv om personvern ikke trenger å være det utslagsgivende hensynet, skal personvernet tas i betraktning, ifølge Næss. Hun forteller at personopplysningsloven pålegger alle bedrifter som sitter på opplysninger om ansatte, kunder eller andre enkeltpersoner å ha oversikt over hvilke opplysninger de har, og hvordan de bruker disse. 

– Basert på denne oversikten må bedriftene deretter klarlegge hvilke krav som gjelder for disse personopplysningene. Både kunder, ansatte og offentlige myndigheter har en stadig økt forventning om at bedriftsledelsen innfører rutiner som ivaretar personverninteresser og kan dokumentere det, sier hun. 

Saken fortsetter under annonsen

Om bedriftene fortsetter å overse personvernet, kan det vise seg å bli en ulønnsom investering. Bedriftene slipper ikke nødvendigvis unna dårlig PR og bøter – hvis de ikke engang har tatt personvern med i regnestykket, påpeker hun. 

– EUs personvernreform burde også få flere varsellamper til å blinke. Reformen legger opp til skjerpede krav på personvernområdet og bøter på inntil 5 prosent av global årlig omsetning, eller 100 millioner euro. Norske bedrifter bør følge interessert med når EUs folkevalgte samles igjen i september. Det ligger til rette for en spennende høst for personvernet, understreker hun.

Manglende kunnskap

Bedrifter sitter på varierende mengder av personopplysninger; opplysninger om ulike grupper av enkeltpersoner; ansatte, kunder, kontakter hos ulike forretningsforbindelser og andre. Personopplysningsloven, som stiller en lang rekke krav for håndteringen av disse opplysningene, er imidlertid ikke kjent hos alle bedrifter.

– Mange bedrifter mangler kunnskap om personvern, og vet rett og slett ikke nok om loven, sier Næss.

Hun regner med at EUs personvernreform vil bidra til rask voksenopplæring innen emnet, akkurat slik tilfelle var med konkurransereglene.

– Dette er bevisst fra EU sin side. De vet dette, og innfører derfor kraftige bøter. Det gjorde de også i sin tid med konkurransereglene. Ingen bedrifter er i tvil om konkurransereglene er noe de må ta på alvor i dag, sier hun.

Saken fortsetter under annonsen

Denne saken er hentet fra ukens utgave av Ukeavisen Ledelse.

Resten av avisen kan du lese i e-avisen – blant annet disse sakene:

  • Hovedsaken: Slik lykkes du med Lean
  • Lærerne advarer mot for mye rapportering
  • Brak vil undervise kulturnæringen i Bergen

Er du ikke abonnent? Registrer deg her og få første måned gratis.

Prøv Ukeavisen Ledelse på papir gratis i fire uker!

Send SMS LEDELSE UL til 2030

Krav til personvern
søn 20.02.2022 23:47

Disse kravene må bedriften din følge ved håndteringen av personopplysninger: 

Oversikt og rutiner

Bedriftene må ha oversikt over personopplysningene og gjøre vurderinger av hvor sensitive opplysningene er og hvilke risikoelementer som gjør seg gjeldende ved håndteringen

Bedriftene må dessuten ha interne rutiner som regulerer alt fra hva slags opplysninger bedriften skal sitte på, hvem som skal ha tilgang til dem, hvordan og hvor lenge opplysningene skal lagres, hvordan bedriften skal informere om sin bruk av personopplysninger osv.

Videre må bedriftene sikre at opplysningene ikke kommer på avveie og for øvrig håndteres i tråd med personopplysningsloven

Merk at bedriftens rutiner må finnes skriftlig. Datatilsynet og ansatte kan kreve å få se de skrevne rutinene

Sensitive opplysninger

Det gjelder strenge krav for bruk av fødselsnummer og for sensitive opplysninger. Sitter man for eksempel på opplysninger om helseforhold og om straffbare forhold, kan det være nødvendig å søke konsesjon fra Datatilsynet

Andre ganger kan det være nødvendig å melde fra til Datatilsynet om opplysninger som bedriften håndterer

Databehandleravtaler

Bedrifter må ha avtaler med andre virksomheter som behandler personopplysninger på vegne av dem, såkalte databehandleravtaler 

Avtalene må være skriftlige og fastslå rammene for hva som kan og ikke kan gjøre med personopplysningene. Det er for eksempel nødvendig å ha skriftlig databehandleravtale, hvis bedriften velger å sette ut kjøring av lønnssystemet sitt til en tredjepart

Overføring av opplysninger til utlandet

Det gjelder egne krav, hvis bedriften skal sende personopplysninger til mottakere i land utenfor EU/EØS 

Bedriftene bør søke råd når de skal overføre opplysninger utenlands på denne måten, for å sørge for at overføringen skjer lovlig

Kilde: Ingvild Næss, advokatfirmaet Thommesen AS