Dette nettstedet bruker informasjonskapsler for å forbedre din opplevelse på siden. Du kan lese mer om hvorfor og hvordan her.

OK
Forside    Artikler    Lurer du på hva GDPR er og hva det har å si for deg som bedrift?

GDPR - Har du oversikt over dataene dine?

I forbindelse med GDPR er det viktig å ha klart for seg hvilke opplysninger som kvalifiserer som personopplysninger.

 

Hvilke krav stilles til dokumentasjon


Personopplysningsloven legger allerede i dag krav til virksomheter om at de skal drive internkontroll og dokumentere informasjonssikkerhet knyttet til personopplysninger. Som en følge av dette, må bedriften ha oversikt over: 

  • Hvilke personopplysninger samles inn?
  • Hvem samles personopplysningene inn fra?
  • Hvorfor samles personopplysningene inn?
  • Hvordan samles personopplysningene inn?
  • Hvilken lovhjemmel/avtale/kontrakt definerer formålet for innsamlingen?
  • Hvor lagres personopplysningene?
  • Hvem har tilgang til opplysningene?
  • Hvordan sikrer man at uvedkommende ikke har tilgang til opplysningene?

Hva er personopplysninger?

Hva som kvalifiserer som «personopplysning» er egentlig ganske enkelt, men samtidig ganske komplisert. Forordningsteksten definerer «personopplysninger» som «enhver opplysning om en identifisert eller identifiserbar fysisk person», det vil si alle opplysninger som er knyttet til en enkeltperson.  

I de fleste tilfeller er det ikke enkeltopplysninger som vil være krevende å håndtere, men flere opplysninger i samlede sett som gjør at man kan identifisere hvem opplysningene gjelder. Det kan også være situasjonsbetinget – ved at opplysninger om ansatte (for eksempel alder) i en spesifikk bedrift ikke kan identifisere enkeltansatte pga bedriftens størrelse, mens de samme opplysningene om ansatte i mindre bedrifter gjør det enkelt å identifisere de ansatte, særlig i sammenheng med andre opplysninger. 
 
Noe som kompliserer bildet er at finnes en rekke opplysninger om bedriften eller avdelinger i bedriften som ikke er knyttet til en enkeltperson, men kan forveksles med personopplysninger, som felles epostadresser, telefonnumre, kontonumre, adresser og statistiske data (for eksempel demografi, gjennomsnittsalder) etc. Selv om ikke GDPR dekker behandling av opplysningene, er det viktig å huske på at også annet regelverk som også kan regulere hvordan man kan bruke disse opplysningene, så det er ikke uten videre fritt frem, selv om de formelle kravene til håndtering og behandling kan være forskjellige. 
 
Det er åpning i forordningen for «pseudonymisering», det vil si å fjerne koplingen mellom opplysningene og den identifiserbare personen. Pseudonymisering kan være særlig aktuelt til statistiske formål eller i testmiljøer der man trenger realistiske data for å sjekke løsninger, men det ikke er avgjørende at opplysningene er 100% korrekte.
 

Hvem håndterer bedriften opplysninger om?

Egentlig et veldig enkelt spørsmål, som kan ha et ganske komplekst svar. Det kan naturligvis ikke besvares generelt, men vi skal forsøke å gi noen ledetråder som kan hjelpe for å få oversikt: 

Ansatte

Flertallet av norske bedrifter har faktisk ikke ansatte (ca 2/3), men veldig mange har også det. Som bedriftsleder er du da nødt til å håndtere en del opplysninger om dine ansatte, både som personlige opplysninger og opplysninger relatert til den ansattes jobb. 

Innleide/konsulenter

Mange av de samme opplysningene vil også gjelde evt. innleide konsulenter og andre som jobber hos eller for bedriften. Dette inkluderer vaktmestertjenester, vaskefirmaer, håndverkere, foredragsholdere, i tillegg til andre fagfolk som bidrar til bedriftens kjernevirksomhet etc. 

Tidligere ansatte

Mens terskelen for å samle og lagre informasjon er lav, er terskelen for å slette den igjen tilsvarende høy. Mange bedrifter har mye informasjon om tidligere ansatte. Det kan være gode grunner for dette, men bedriften bør ikke ta vare på informasjonen lenger enn de strengt tatt må. 

Leverandører

Enten bedriften videreselger varer/produkter/tjenester eller bare bruker dem selv, har de fleste bedrifter leverandører, og gjerne en kontaktperson. Her inkluderes alt fra leverandører av IT-utstyr, telefoni, kontorrekvisita/møbler, regnskap/revisjon til produksjonsmateriell, markedsføring etc. 

Partnere

Noen bedrifter samarbeider med andre, enten det er formelt eller uformelt, og da har man gjerne informasjon om dem man jobber sammen med.

Myndigheter/offentlige etater

Alle bedrifter har en eller annen relasjon til det offentlige, og noen jobber tettere med enkeltpersoner i offentlige etater og myndigheter. 

Nåværende kunder

Mange bedrifter lagrer også informasjon om kundene, med god grunn. 

Tidligere kunder

På samme måte som med tidligere ansatte, er terskelen for å slette informasjon om tidligere kunder høy. Det kan jo hende kunden kommer tilbake, og det kan være nyttig at informasjonen ligger lagret. 

Potensielle kunder

De fleste bedrifter jobber for å få flere kunder, og samler derfor informasjon om potensielle kunder for markedsføringsformål. 
 
Dette er ikke en uttømmende liste, men som det ligger i kortene er det mange enkeltpersoner som en bedrift kan lagre opplysninger om, uten egentlig å tenke over det eller knapt nok være klar over at det gjøres. 


Hvilke opplysninger trenger bedriften å håndtere?

Her er det naturligvis ikke noen fasitsvar, men har man skaffet seg oversikt over hva man har, burde det være en nokså grei sak å sortere det forskjellige typene opplysninger i følgende grupper:
 

Sensitive opplysninger

Sensitive personopplysninger er opplysninger om rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning, at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, helseforhold, seksuelle forhold eller medlemskap i fagforeninger. Det er særskilte krav til behandling av sensitive personopplysninger, dekket av personopplysningsloven §§ 8 og 9.  

Lovpålagte opplysninger

De færreste lover og forskrifter gir direkte pålegg om lagring eller behandling av spesifikke opplysninger, men en del opplysninger må nødvendigvis lagres eller behandles for å kunne oppfylle andre lovkrav: Bedriften må ha en del opplysninger om sine arbeidstakere, som navn, personnummer, adresse og kontonummer, fordi den skal rapportere opplysninger til skattemyndighetene. 
 
Enkelte bransjer har også særskilt krav om personallister med navn og fødselsnummer, med det formål å motvirke svart arbeid, og en del andre lover med tilhørende forskrifter kan legge føringer på opplysninger som må samles inn og behandles for at virksomheten kan drive lovlig. Eksempler på dette er bokføringsloven, helseregisterloven, regnskapsloven, arkivlova, offentlighetsloven og diverse lover som regulerer finansvirksomheter. Noen av disse lovene vil dessuten gå på tvers av hverandre - for eksempel vil deler av arkivloven kunne overstyre personopplysningsloven. Datatilsynet har en oversikt over en del av lover og forskrifter som omhandler personopplysninger, men heller ikke denne er komplett.

Nødvendige opplysninger

Bedriften må nødvendigvis lagre opplysninger som kreves for at den ansatte skal få gjort jobben sin, f.eks. epostadresse og telefonnummer, eller at en kunde skal få varen eller tjenesten de har kjøpt - som navn og adresse, og evt. kontaktinformasjon dersom noe ikke går etter planen. 

Kjekt-å-ha-opplysninger

Dette er opplysninger som strengt tatt ikke er nødvendige, men kan være praktiske f.eks. for statistikk eller markedsføring. Typisk er dette opplysninger det vil kreves samtykke for å lagre og behandle. 

Unødvendige opplysninger

Dette er opplysninger som bedriften ikke trenger, og derfor kan slettes. De er derfor svært viktige å kartlegge, siden de ikke skal oppbevares.
 
Det er svært viktig å gjøre denne sorteringsjobben grundig, for det er her grunnlaget for fremtidige rutiner legges, og i en senere artikkel vil vi komme med konkrete metoder for å gjøre dette arbeidet.

 

Kilder:
 
Les lovteksten i personopplysningsloven 
 
En oversikt over lover og regler fra Datatilsynet (ikke komplett) 
 
Datatilsynet: "En veiledning om internkontroll og informasjonssikkerhet" 

 

Les mer om hva GDPR er og hva det har å si for deg.

Se flere artikler.