Ved introduksjonen av den nye personvernforordningen brukte virksomheter mye tid på å sette seg inn i regelverket, kartlegge personopplysninger, gjøre risikovurderinger og oppdatere rutinebeskrivelser for å møte kravene. Flere måtte også bytte ut eller oppgradere systemene de bruker til behandling av personopplysninger. Det ble også brukt mye tid på å forhandle databehandleravtaler og innhente dokumentasjon. Nå, over to år senere, har forståelsen av regelverket modnet og det som var ansett som akseptabel dokumentasjon av etterlevelse i 2018, er ikke lenger tilstrekkelig.
Elisabeth Denham, som er leder for Datatilsynet i England, skrev i sin årsrapport i 2019:
I Norge ligger vi langt foran i bruk av teknologi og digitalisering, men når det gjelder personvern ligger vi etter. Mange virksomheter har et stort gap mellom hvordan personopplysninger er tenkt behandlet og hva som skjer i praksis.
En ‘personopplysning’ er enhver opplysning som direkte eller indirekte kan knyttes til en fysisk person.
'Behandling’ er enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten automatisert eller ikke.
Ettersom de aller fleste prosesser i en virksomhet omfatter personopplysninger i en eller annen form, være seg om en kunde, ansatt eller lignende, må personvernet stå sentralt. GDPR stiller en rekke krav det er helt nødvendig å forholde seg til for ikke å bryte loven. Det betyr at presisjonen i personvernarbeidet og dokumentasjon må være god, og at ledelsen må sikre seg nødvendig oversikt.
Så hva skal til for å sikre at virksomheten ivaretar reelt personvern og overholder GDPR i løpende drift? Hvilke krav er det som stilles?
I GDPR er behandlingsansvarlig et sentralt begrep. Behandlingsansvarlig er definert som
«en fysisk eller juridisk person, en offentlig myndighet, en institusjon eller ethvert annet organ som alene eller sammen med andre bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes….» (GDPR artikkel 4.7).
Men, hva menes med ansvarlig? Dette er definert i prinsippene i regelverket.
«Den behandlingsansvarlige er ansvarlig for og skal kunne påvise at personvernprinsippene overholdes» (GDPR artikkel 5.2).
Dette betyr altså ansvar for at man løpende overholder grunnprinsippene om å ha et lovlig grunnlag, ha informert korrekt, ikke behandle mer data enn nødvendig, og kun for de spesifikt angitte formål, at dataene er riktige og at man sletter data så snart formålene er oppfylt. Så lenge man har dataene så skal de sikres mot uautorisert eller ulovlig behandling, herunder utilsiktet tap, ødeleggelse eller skade.
Rent formelt er det vanlig at det er virksomheten, ved daglig leder, som er behandlingsansvarlig. Imidlertid har daglig leder som oftest verken nødvendig kunnskap eller innsikt til å håndtere dette i praksis. Den reelle databehandlingen foregår jo ute i virksomheten. For eksempel, når koronapandemien slo inn var det mange som var kreative i bruk og analysering av data for å sikre inntekter. Men, selv om man har muligheten til å benytte data, betyr ikke det nødvendigvis at man har lov.
De fleste virksomheter har utpekt en personvernansvarlig eller et team, ofte med tilknytning til HR-, juridisk- eller risk/compliance. Ansvaret for personvernarbeidet er organisert sentralt og medfører ofte egne prosesser hvor dokumentasjon på behandling av personopplysninger innhentes og revideres ved gitte intervaller.
Samtidig kan det skapes en oppfatning om at det er det sentrale teamet som tar ansvaret for personvernet. Det er en stor feil som øker risikoen for at den faktiske behandlingen av personopplysninger avviker fra hva som er beskrevet i dokumentasjonen.
Dette skillet mellom i praksis og på papiret skapes av at det er i linjen behandlingen av personopplysningene skjer, og her er ofte kompetansen og forholdet til personvernregelverket mer begrenset enn hos det sentrale teamet. Samtidig vil teamet som sitter sentralt, i mange tilfeller, ikke ha forutsetningene for å kunne vurdere hvilke personopplysninger som faktisk behandles for hvilke formål ute i virksomheten. I realiteten har vi ALLE et ansvar for å behandle personopplysninger riktig. Om vi ønsker å sette i gang med nye aktiviteter, eller ta i bruk ny teknologi må vi stoppe opp og sikre at dette er noe vi faktisk har mulighet til.
Har virksomheten organisert personvernarbeidet sentralt er det vanskelig og kostnadsdrivende å oppfylle kravet om ansvarlighet. Derfor er det flere som har delegert ansvaret til operativt behandlingsansvarlige. Dette er personer som sitter ute i linjen med beslutningsmyndighet og eierskap til dataene. De trenger ikke være eksperter på personvern, men må ha en grunnleggende forståelse som setter dem i stand til å gjøre reelle vurderinger i behandlingen av personopplysninger og særlig ved endringer av forretningsaktiviteter.
På samme måte som en linjeleder har et resultatansvar innen økonomi, må han eller hun også ha det for personvern. Dette bør både reflekteres i stillingsbeskrivelse og i kompetansekravene ved rekruttering av ledere.
Hvorfor linjen? Det beste argumentet for å dette er at det er her data oppstår. Altså, det er her dybdekunnskapen om dataene sitter, og derfor må ansvarlig dataeier være her.
Dette vil være den mest effektive og sikreste måten å ivareta kravene etter GDPR, spesielt å sikre informasjonsplikten og at formålsbeskrivelsen stemmer med virksomhetens behandling. Da vil det også være mye enklere for dataeier å sikre at opplysningene kan brukes til å skape verdi.
I tillegg vil det bli enklere å gå til anskaffelse av støttesystemer, samt kvalitetssikring av nye systemer. Det å iverksette kontrolltiltak vil også bli lettere. Alt i alt vil dette føre til bedre governance. Når ansvaret ligger i linjen og det tas eierskap til dataene, vil virksomheten effektivt kunne maksimere verdi og redusere risiko.
Det er viktig at ledelsen forstår betydningen av å validere kvaliteten på personvernarbeidet som gjennomføres i virksomheten. Kravene i personvernregelverket er ikke en sjekkliste som må krysses av for å gjøre ledelsen fornøyd.
På samme måte som dokumentasjon på økonomisk utvikling er tett knyttet til underliggende forretningsprosesser må også dokumentasjonen på etterlevelse av personvernet skapes som en del av løpende drift og ikke være en prosess utenfor normale arbeidsprosesser. Ved å delegere ansvar ut i linjen og samtidig automatisere dokumentasjon av praksis er det også enklere å rapportere og holde oversikt sentralt.
Er du nysgjerrig på hvordan du kan gjøre dette i praksis og har lyst til å se en helt konkret og praktisk løsning. Ta kontakt for en uforpliktende prat.
Les også: Hva er GDPR?
Skrevet av Caroline Rasmussen og Christian Butenschøn