Det norske Datatilsynet opplevde en nær firedobling av antallet avviksmeldinger fra 2017 til 2018, men har foreløpig kun gjennomført tilsyn med kommuner. Bergen og Oslo kommune har blitt ilagt bøter på henholdsvis 1,6 millioner og 2 millioner kroner for manglende informasjonssikkerhet i skolesektoren.
Om din kommune eller fylkeskommune sliter med å komme i gang med GDPR-arbeidet, eller ikke kommer videre, kan Sticos bistå. Vi tilbyr både en skreddersydd GDPR workshop og rådgivning.
Særlig ansvar på personvernområdet
I sakene fra Bergen og Oslo la Datatilsynet vekt på flere momenter. I begge sakene vektlagt tilsynet at personvernbruddet rammet mange og det gjaldt opplysninger om barn som har krav på en særlig beskyttelse etter personvernforordningen. I tillegg la tilsynet vekt på at kommunene hadde brutt en grunnleggende rettighet.
Det er ikke bare risikoen om bøter som kan gjøre et stort innhugg i kommuneøkonomien, som bør skjerpe kommunene. Etter innføringen av GDPR ser vi at befolkningen har blitt veldig bevisst på at de eier opplysningene om seg selv. Innbyggere og ansatte vil ha en klar forventning til at kommuner behandler personopplysningene deres på en korrekt måte. Dersom dette ikke skjer, vil det kunne føre til omdømmetap og at det kan bli vanskeligere å tiltrekke seg kompetent arbeidskraft.
I sakene ovenfor vektla også tilsynet at offentlige virksomheter har et særlig ansvar på personvernområdet. Datatilsynet uttalte at brukere av kommunens tjenester har en klar og beskyttelsesverdig interesse mot mangelfulle sikkerhetstiltak hvor fortrolighet er påkrevd. Tilsynet understreket at offentlige etater, herunder kommuner, ofte behandler opplysninger om som innbyggerne ikke selv har kontroll over og som de heller ikke har noe valg om de vil utlevere eller ikke.
Personvernombud i kommunene
Alle offentlige organer plikter å opprette personvernombud. Oppgavene for ombudet er å informere og å gi råd om virksomhetens forpliktelser etter GDPR, og kontrollere a virksomhetene følger forpliktelsene. GDPR stiller ikke krav til at enhver enhet i en kommune har et personvernombud. Flere enheter kan velge et felles personvernombud, såfremt det tas hensyn til organisasjonsstrukturen og størrelsen. Kommunalt eide bedrifter vil som utgangspunkt heller ikke ha krav til å ha et personvernombud. Tall fra Datatilsynet viser at mange kommuner fortsatt mangler personvernombud.
Hva må din kommune ha på plass
Vår erfaring er at det fortsatt flere kommuner som ikke har satt i gang arbeidet med GDPR, og vi ser at arbeidet stagnerer hos de som har startet. Mange kommuner opplever at GDPR-regelverket er abstrakt og at det er vanskelig å vite konkret hva kommunen må ha på plass.
Nedenfor har vi laget en oversikt GDPR krever.
• Undersøk om din virksomhet er pålagt å ha personvernombud
• Kartlegg de personopplysninger virksomhet behandler;
1. Definer et klart formål
2. Finn behandlingsgrunnlag til hver personopplysning
- Dette dokumenteres i en protokoll
• Hvordan ivaretas den registrertes rettigheter?
- Dette dokumenteres ved rutiner og en personvernerklæring
• Etabler et internkontrollsystem, herunder et avvikssystem
• Lag en sikkerhetspolicy
• Gjør en risikovurdering og sett opp handlingspunkter
- Dette dokumenteres i et skjema
Arbeidsmetodikken fra HMS kan være til hjelp
Når en kommune jobber med personvern, er det greit å ta utgangspunkt i arbeidsmetodikken som blir brukt i HMS-arbeidet. Arbeidet med HMS og GDPR har nemlig mange likhetstrekk. Lederen er ansvarlig for å dokumentere personvernjobben som er gjort, det må utarbeides rutiner og en risikovurdering, samt få på plass en god internkontroll. Lederen må sørge for at virksomheten har kunnskap om personvern og at det skapes en bedriftskultur som tar personvern på alvor. Akkurat som ved HMS er GDPR et kontinuerlig arbeid, og lederen må sørge for ha gode avviksrutiner som bidrar til stadig forbedring.
Få aktuelle nyheter innen personal, regnskap, økonomi og personvern. Meld deg på vårt nyhetsbrev og følg Sticos på Facebook og LinkedIn