Orden på opplysningene?

De fleste bedrifter behandler personopplysninger. – Det er viktig å ha regelverket i bakhodet, sier advokat Anders Kjøren.

Mens jusprofessor Jon Bing forklarte personvern som en upresis samlebetegnelse for det vern som gis privatlivets fred, beskriver Datatilsynet personvern som ”vernet den enkelte har i å ha kontroll og oversikt over behandlingen av opplysninger om seg selv”.

Det gir uansett føringer for de aller fleste bedrifter som håndterer personopplysninger.

- Personopplysningsloven har som formål å beskytte mot at personvernet blir krenket gjennom behandling av personopplysninger. Opplysningene skal behandles i tråd med behov for personlig integritet og privatlivets fred, sier advokat Anders Kjøren i Steinkjeradvokatene ANS.

Loven omfatter elektronisk behandling av personopplysninger, men også annen behandling der disse inngår i et personregister.

Viktige forutsetninger

Personopplysninger kan bare behandles dersom den registrerte samtykker.

- Men opplysningene kan også lagres og behandles om det er nødvendig for å oppfylle en juridisk forpliktelse, eller gjennomføre en kontrakt med den registrerte, for eksempel når man har et avtaleforhold, sier Kjøren.

Den som er registrert, har rett til innsyn og retting eller sletting av ukorrekte opplysninger.

- Hvilke krav stilles til lagring av personopplysninger?

- Det stilles det vi kaller alminnelige kvalitetskrav. Opplysningene skal lagres trygt, korrekt og sikkert. Her gir Datatilsynet noen generelle retningslinjer. Ved brudd, kan Datatilsynet gi sanksjoner eller bøter. Likevel kan negativ omtale og svekket omdømme gjerne ramme hardere enn en bot, sier Kjøren.

Strenge krav

Så helt konkret, hva regner Datatilsynet som ”innenfor” når det gjelder behandling av personopplysninger? Anders Kjøren bruker et strømselskap som innfører automatisk målesystem som eksempel:

- Datatilsynet kan ikke se at det er nødvendig å behandle identifiserbare personopplysninger for andre formål enn fakturering.

- Andre eller nye formål som for eksempel tilleggstjenester, må vurderes konkret av nettselskapet.

- Nettselskapet kan behandle opplysninger om strømforbruk, og bare opplysninger som er nødvendige og relevante for å fastsette riktig pris på strømleveransen.

- Hvilken avtale har kunden? Dersom kunden har fastprisavtale, er det vanskelig for nettselskapet å hevde at de må behandle store mengder opplysninger om det abonnentens løpende strømforbruk for faktureringsformål. Nettselskapet må derfor tilpasse avlesningshyppigheten til avtalen.

Datatilsynet setter også krav til sikkerheten.

- Det settes krav til at sikkerhetsbestemmelsene i personopplysningsforskriften er oppfylt og dokumentert før selskapet kan registrere og behandle opplysningene. Medarbeidere må underlegges taushetsplikt og systemene skal kun brukes til oppgaver som er relevante. Dessuten skal det være jevnlige sikkerhetsrevisjoner, med dokumentasjon og avviksrapport, forteller Kjøren.