Seks råd for å behandle personopplysninger lovlig

JUSS ENKELT FORKLART: Personopplysningsloven

Det er tre år siden den juridiske «mørkemannen» stod på trappene til å bli norsk lov. Den fryktede og etterlengtede GDPR (General Data Protection Regulation), som er brorparten av den norske personopplysningloven, gikk ikke upåaktet hen.

Virksomheter rustet seg opp for å sikre at driften var i overenstemmelse med kravene. Når stormen stilnet, og GDPR ikke lenger var et like dagsaktuelt begrep, skiftet mange virksomheter fokus til andre relevante områder. Men de som sørget for at virksomheten etterlevde minimumskravene den gang, og som siden har gjort lite vedlikehold, bør børste støv av de gamle notatbøkene.

• Les også: Seks ting du må vite om algoritmer men ikke våger å spørre om

Datatilsynet, tilsynsmyndigheten som kontroller etterlevelse av personopplysningloven, skal føre tilsyn med virksomheter under loven, og gi veiledning innen personvern. I tiden etter innføringen ble tilsynet av GDPR nedprioritert. På tilsynets nettsider er det ikke mulig å finne sentrale avgjørelser for brudd på personopplysningsloven i 2018. I 2021 ser vi derimot en trend til at sentrale avgjørelser på brudd på personopplysningloven øker.

• Les også: Lar du bedriftene fråtse fritt med dataene dine?

Hva bør virksomheter gjøre?

Det enkle svaret er at du må sørge for at personopplysningsloven etterleves til punkt og prikke. Loven er et massivt lovverk som kan avskrekke virksomheter som ikke har juridisk kompetanse tilgjengelig.

Da kan det være nyttig med seks råd som kan hjelpe deg på veien:

1. Sørg for at behandlingen er lovlig, rettferdig og åpen. Behandlingen av personopplysninger skal ha et behandlingsgrunnlag. Det vil si et rettslig grunnlag som tillater behandlingen. Det kan være samtykke, avtaleforpliktelser, grunnlag gitt i form av lov, eller hvor virksomheten har en særlig interesse. Den skal også være nødvendig og forutsigbar. Samtidig skal all informasjon være tilgjengelig for den registrerte. Dette løses ofte med tydelige personvernerklæringer som beskriver hvordan opplysningene behandles.
2. Vær bevisst formålet med opplysningene. Alle personopplysninger skal ha en formålsbegrensning. Personopplysninger skal kun behandles til det eksplisitte formålet som den registrerte har fått oppgitt. En kunde som kun har oppgitt navn og adresse til en nettbutikk med kjøpsformål, skal ikke oppleve at den samme informasjonen blir brukt til å sende nyhetsbrev eller reklame. Dette er et helt annet formål enn hva den registrerte har gått med på. Enhver behandling skal ha tydelige formål.
3. Lagre kun nødvendige opplysninger. Virksomheten skal kun be om nødvendige personopplysninger for å oppfylle formålet. Dette kalles dataminimering. Det å samle inn mest mulig personopplysninger for det kan være «kjekt å ha», vil være i strid med dette kravet. Virksomhetene må vite hvilken type informasjon som må være på plass for å oppfylle formålet, alt annet må skrelles bort.
4. Sjekk om opplysningene er korrekte. Personopplysningene må være riktige. De registrerte skal ha mulighet til å endre opplysningene virksomheten sitter på, til å være korrekte og oppdaterte.
5. Slett opplysningene når formålet er oppnådd. Loven setter føringer på hvor lenge personopplysningene kan lagres. Kravet til lagringsbegrensning presser virksomheter til å ha en klar ide om hvor lenge man trenger opplysningene før de slettes. Dette er nok en gang et område hvor virksomheter kan gå i fella med «kjekt-å-ha-mentaliteten». Respekten til den registrertes personvern trumfer virksomhetens behov for å ha personopplysninger tilgjengelig. Opplysningene skal slettes når formålet er oppnådd. Avvikende behov for lagring må dokumenteres, og de registrerte skal informeres.
6. Sørg for at opplysningene er sikret. Siste krav ut er også den største sekkeposten: det skal være tilstrekkelig sikkerhet rundt håndteringen av personopplysningene. Integritet og konfidensialitet er stikkord i loven for hvordan sikkerheten skal ivaretas. Virksomheten skal ha rutiner, både organisatoriske og tekniske, som forhindrer ulovlig sletting, endring, tap, ødeleggelse eller annen ulovlig behandling. Rutinene for hvordan ansatte håndterer opplysningene skal være dokumenterbare.

• Les også: Hvordan nettsider styrer dine valg

I tråd med loven?

Har du klart å sjekke av alle de seks kravene? Da er behandlingen din lovlig. Virksomhetens drift er langt på vei til i tråd med personopplysningsloven. Skulle du derimot mangle en eller flere av punktene - begynn på nytt! Sørg for at virksomheten har avsjekket alle punktene før du fortsetter behandlingen. Enhver borger har krav på personvern, ikke bare etter personopplysningsloven, men også grunnloven. En beskyttelse i grunnloven gir klare signaler på at håndtering av personopplysninger skal gjøres riktig.

Referanser:

• Datatilsynet (2021, 24. august) Årsrapport for 2018. Tall og tendenser fra Datatilsynets virksomhet. Hentet fra: https://www.datatilsynet.no/globalassets/global/dokumenter-pdfer-skjema-ol/om-datatilsynet/aarsmelding/arsmeldingen2018.pdf
• Datatilsynet (2021, 24. august) Sentrale avgjørelser. Hentet fra: https://www.datatilsynet.no/regelverk-og-verktoy/lover-og-regler/avgjorelser-fra-datatilsynet/?y=2021

Tekst: Høyskolelektor Knut Erik Gaustad, Institutt for psykologi, pedagogikk og juss, Høyskolen Kristiania.

Vi vil gjerne høre fra deg!

Send dine spørsmål og kommentarer til denne artikkelen på e-post til kunnskap@kristiania.no