Personvern = forvaltning av tillit
Med økt digitalisering får vi flere dokumenter og opplysninger i ulike tjenester. Økt kompleksitet i lagring og håndtering øker sannsynligheten for at noe går galt, og omfanget kan bli mye større. Det er vanskeligere å miste et arkivskap enn en minnepinne. Eller et passord.
15.11.2021
av
Eirik Randsborg Lie, personvernombud i Fagforbundet
Sist oppdatert: 02.12.2021
Tillitsvalgte behandler alt fra fødselsnummer til sensitive historier fra privat- og arbeidsliv. Personvern handler ikke om å unngå overtredelsesgebyrer fra Datatilsynet – det handler om å forvalte den tilliten vi har fått fra medlemmene.
Personvernprinsippene GDPR
Under er en nokså fri gjendikting av personvernprinsippene fra personvernforordningen (GDPR) artikkel 5:
Personopplysninger skal lagres og brukes:
- på en lovlig, rettferdig og gjennomsiktig måte
- kun for de formålene de ble samlet inn for
- så det ikke samles inn flere opplysninger enn nødvendig
- kun så lenge som er nødvendig for å oppnå formålet
- så de ikke blir lest, endret eller slettet av uvedkommende
- innenfor rammer hvor man kan bevise at disse prinsippene følges
Hva gjør du?
Start med å finne ut hvorfor du har dette dokumentet, hva er formålet? Du kan lagre personopplysninger så lenge det er nødvendig for å oppnå formålet – men ikke lenger. På et tidspunkt, eller gitt et kriterium, skal opplysningene slettes.
Om et medlem trenger hjelp i en sak kan du lagre opplysningene så lenge saken er aktiv. Dokumenter kan bli relevante i en senere og tilsynelatende ny sak. Det er viktig å ikke slette opplysninger som det er sannsynlig at medlemmet vil trenge senere.
Trygt og tilgjengelig
I levetiden til dokumentet må du passe på tilgangen. Det må være lagret trygt og bare de med behov (i tråd med formålet) skal ha tilgang. Men det må også være tilgjengelig i tilfelle du blir syk eller på andre måter indisponert.
Om dokumentet finnes fysisk er det nokså greit å sjekke sikkerheten ved lagringen. Er det i et låsbart skap? Brannsikkert? Vanntett, eller plassert under sprinkleranlegg? Men digital er det verre. Hvor står serveren? Hvem har tilgang til den? Er opplysningene kryptert? Er det leverandører utenfor EØS? Blir det tatt backup? Hvor lenge? Finnes det en databehandleravtale? Risikovurdering?
Lovpålagt plikt
Kjennskap til personvernprinsippene, tillitsvalgtes ønske om å ivareta medlemmene og bevissthet i valg av digitale tjenester – er et godt utgangspunkt for lovlig behandling av personopplysninger.
Dette må løses på organisasjonsnivå, men om du velger egne løsninger må du være klar over alle pliktene loven pålegger behandlingsansvarlig.
Så finnes det unntak:
- Lovpålagt lagring
- Arkivering for ettertiden
- Forenlige formål