Kort svar
Mange virksomheter håndterer sensitive personopplysninger uten å tenke over det. Derfor bør de vite når slike data faktisk er involvert og hvilke ekstra krav som følger med.
Før dere setter behandlingen i drift eller svarer den registrerte, bør dere ha kontroll på når virksomheten faktisk behandler sensitive personopplysninger, hvilket behandlingsgrunnlag og hvilke tiltak som kreves og hvordan slike opplysninger begrenses, lagres og slettes.
Når dette blir aktuelt
- når helseopplysninger, fagforeningsforhold eller andre særlige kategorier kan dukke opp
- når HR, kundeservice eller sikkerhetsarbeid behandler mer enn vanlige kontaktdata
- når virksomheten vil unngå å oppdage følsom behandling for sent
Det bedriften bør avklare først
| Spørsmål | Hvorfor det betyr noe |
|---|---|
| Når virksomheten faktisk behandler sensitive personopplysninger | avgjør om strengere vurderinger må gjøres |
| Hvilket behandlingsgrunnlag og hvilke tiltak som kreves | er viktig for lovlig og trygg behandling |
| Hvordan slike opplysninger begrenses, lagres og slettes | reduserer risikoen for unødig eksponering |
Slik bør dere gå fram
- Gå gjennom typiske arbeidsprosesser der slike opplysninger kan oppstå, også utilsiktet.
- Avklar hvorfor behandlingen er nødvendig og hvilket grunnlag som eventuelt brukes.
- Begrens tilgang, lagringstid og spredning mer enn for vanlige personopplysninger.
- Sørg for at rutiner og opplæring gjør ansatte i stand til å kjenne igjen slike situasjoner.
Dokumenter og spor som bør være på plass
I personvernspørsmål er det ofte kombinasjonen av formål, tilgangsstyring og dokumentasjon som avgjør om rutinen holder.
- kartlegging av prosesser der sensitive opplysninger kan forekomme
- grunnlagsvurdering og eventuelle særskilte rutiner
- tilgangs- og sletteregler for disse opplysningene
- intern opplæring eller veiledning om håndtering
Typiske feil
- virksomheten antar at den ikke håndterer slike data fordi det ikke er målet
- følsomme opplysninger blir liggende i fritekstfelt og e-post
- samme tilgangsnivå brukes som for vanlige personopplysninger
Når bør dere få konkret hjelp?
Når sensitive opplysninger kan forekomme i flere prosesser eller hos mange ansatte, bør opplegget kvalitetssikres før et avvik eller innsynskrav oppstår.
Slik bruker dere guiden i praksis
For en bedrift er ikke målet å lese seg opp på sensitive personopplysninger i seg selv. Målet er å avklare hva som må besluttes, hvem som eier oppfølgingen, og hvilke dokumenter som bør tåle en senere kontroll, tvist eller intern gjennomgang.
Bruk derfor guiden som en arbeidsliste: start med formål, datatyper, tilgang, leverandører og sletterutiner, og fordel deretter oppgavene mellom systemeier, ledelse og den som eier kundereisen eller HR-prosessen. Da blir vurderingen mer konkret enn en generell regelavklaring, og dere reduserer risikoen for for brede datainnsamlinger, uklare leverandørroller og svak håndtering av innsyn eller brudd.
Spørsmål som gir bedre avklaring
- Hvilke personopplysninger behandles, og hvilket konkret formål støtter de?
- Hvem bestemmer bruken av opplysningene, og hvem behandler dem på vegne av bedriften?
- Hvilke systemer, leverandører og tilganger må inngå i vurderingen?
- Hva sier rutinen om informasjon, innsyn, sletting og avvik?
- Hvilke valg bør dokumenteres slik at de kan forklares ved kontroll eller spørsmål?
Et godt beslutningsgrunnlag bør vise
| Del | Hva bør stå klart |
|---|---|
| Formål | hvorfor opplysningene brukes, og om bruken er nødvendig |
| Roller | hvem som bestemmer behandlingen, og hvem som leverer systemer eller tjenester |
| Kontroll | hvordan tilgang, sletting, innsyn og avvik følges opp i praksis |
Denne typen oversikt gjør det enklere å prioritere riktig nivå på arbeidet. Den hjelper også bedriften å skille mellom det som kan løses med bedre intern rutine, det som bør avklares med motpart eller leverandør, og det som bør vurderes før dere tar neste formelle steg.
Relaterte guider
- Deling av personopplysninger i konsern eller med rådgivere: hva må vurderes?
- Overføring av personopplysninger til land utenfor EØS
- Leverandørbytte og migrering av personopplysninger: hva må planlegges?