Manglende personverntiltak kan koste dyrt
Personvern har stått sterkt i medias søkelys det siste året. Snowdens NSA-avsløringer, EUs personvernreform, EU-domstolens avgjørelse i Google-saken (retten til å bli glemt, red.anm.) og et ugyldiggjort datalagringsdirektiv. Dette er bare noen av sakene som har rettet samfunnets oppmerksomhet mot personvernspørsmål. I september vil debatten mest sannsynlig rulle videre etter en stille sommer. Da starter nemlig EU opp igjen arbeidet med en skjerpet personvernreform når Parlamentet avholder første plenumssamling, forteller advokat Ingvild Næss i Advokatfirmaet Thommessen AS.
Andre ting er viktigere
Næss mener det siste harmonerer godt med det Datatilsynet konkluderte med i sin befolkningsundersøkelse før sommeren.
– Datatilsynets konklusjon, basert på undersøkelsen, er at personvern ofte ikke vurderes som det som er viktigst å ta hensyn til når det settes opp mot behovstilfredsstillelse og andre hensyn, forteller hun.
At kryssende hensyn ofte veier tyngre enn personvernet, fritar imidlertid ikke bedriftene fra å vurdere hvordan de behandler personopplysninger. Selv om personvern ikke trenger å være det utslagsgivende hensynet, skal personvernet tas i betraktning, ifølge Næss. Hun forteller at personopplysningsloven pålegger alle bedrifter som sitter på opplysninger om ansatte, kunder eller andre enkeltpersoner å ha oversikt over hvilke opplysninger de har, og hvordan de bruker disse.
– Basert på denne oversikten må bedriftene deretter klarlegge hvilke krav som gjelder for disse personopplysningene. Både kunder, ansatte og offentlige myndigheter har en stadig økt forventning om at bedriftsledelsen innfører rutiner som ivaretar personverninteresser og kan dokumentere det, sier hun.
Om bedriftene fortsetter å overse personvernet, kan det vise seg å bli en ulønnsom investering. Bedriftene slipper ikke nødvendigvis unna dårlig PR og bøter – hvis de ikke engang har tatt personvern med i regnestykket, påpeker hun.
– EUs personvernreform burde også få flere varsellamper til å blinke. Reformen legger opp til skjerpede krav på personvernområdet og bøter på inntil 5 prosent av global årlig omsetning, eller 100 millioner euro. Norske bedrifter bør følge interessert med når EUs folkevalgte samles igjen i september. Det ligger til rette for en spennende høst for personvernet, understreker hun.
Manglende kunnskap
Bedrifter sitter på varierende mengder av personopplysninger; opplysninger om ulike grupper av enkeltpersoner; ansatte, kunder, kontakter hos ulike forretningsforbindelser og andre. Personopplysningsloven, som stiller en lang rekke krav for håndteringen av disse opplysningene, er imidlertid ikke kjent hos alle bedrifter.
– Mange bedrifter mangler kunnskap om personvern, og vet rett og slett ikke nok om loven, sier Næss.
Hun regner med at EUs personvernreform vil bidra til rask voksenopplæring innen emnet, akkurat slik tilfelle var med konkurransereglene.
– Dette er bevisst fra EU sin side. De vet dette, og innfører derfor kraftige bøter. Det gjorde de også i sin tid med konkurransereglene. Ingen bedrifter er i tvil om konkurransereglene er noe de må ta på alvor i dag, sier hun.
Denne saken er hentet fra ukens utgave av Ukeavisen Ledelse.
Resten av avisen kan du lese i e-avisen – blant annet disse sakene:
- Hovedsaken: Slik lykkes du med Lean
- Lærerne advarer mot for mye rapportering
- Brak vil undervise kulturnæringen i Bergen
Er du ikke abonnent? Registrer deg her og få første måned gratis.
Prøv Ukeavisen Ledelse på papir gratis i fire uker!
Send SMS LEDELSE UL til 2030
Disse kravene må bedriften din følge ved håndteringen av personopplysninger:
Oversikt og rutiner
Bedriftene må ha oversikt over personopplysningene og gjøre vurderinger av hvor sensitive opplysningene er og hvilke risikoelementer som gjør seg gjeldende ved håndteringen
Bedriftene må dessuten ha interne rutiner som regulerer alt fra hva slags opplysninger bedriften skal sitte på, hvem som skal ha tilgang til dem, hvordan og hvor lenge opplysningene skal lagres, hvordan bedriften skal informere om sin bruk av personopplysninger osv.
Videre må bedriftene sikre at opplysningene ikke kommer på avveie og for øvrig håndteres i tråd med personopplysningsloven
Merk at bedriftens rutiner må finnes skriftlig. Datatilsynet og ansatte kan kreve å få se de skrevne rutinene
Sensitive opplysninger
Det gjelder strenge krav for bruk av fødselsnummer og for sensitive opplysninger. Sitter man for eksempel på opplysninger om helseforhold og om straffbare forhold, kan det være nødvendig å søke konsesjon fra Datatilsynet
Andre ganger kan det være nødvendig å melde fra til Datatilsynet om opplysninger som bedriften håndterer
Databehandleravtaler
Bedrifter må ha avtaler med andre virksomheter som behandler personopplysninger på vegne av dem, såkalte databehandleravtaler
Avtalene må være skriftlige og fastslå rammene for hva som kan og ikke kan gjøre med personopplysningene. Det er for eksempel nødvendig å ha skriftlig databehandleravtale, hvis bedriften velger å sette ut kjøring av lønnssystemet sitt til en tredjepart
Overføring av opplysninger til utlandet
Det gjelder egne krav, hvis bedriften skal sende personopplysninger til mottakere i land utenfor EU/EØS
Bedriftene bør søke råd når de skal overføre opplysninger utenlands på denne måten, for å sørge for at overføringen skjer lovlig
Kilde: Ingvild Næss, advokatfirmaet Thommesen AS