Hvordan forholde seg til krav om innsyn og sletting av ustrukturerte personopplysninger i eposter og dokumenter etter GDPR?

Et spørsmål som kommer opp ofte knyttet til GDPR er innsyn i og sletting av personopplysninger som er lagret i eposter og andre ustrukturerte personopplysninger. Å gi innsyn eller slette ustrukturerte personopplysninger kan både være en omfattende eller komplisert oppgave. Men det å slette eller gi innsyn kan medføre ytterligere behandling av personopplysninger, som i enkelte tilfelle kan være ulovlig. Man må derfor være påpasselig med hvilke tiltak som iverksettes for de ustrukturerte personopplysningene.

Personvernforordningen (GDPR) og personopplysningsloven gjelder for alle personopplysninger (se her for hva som anses å være personopplysninger). Derfor omfatter personvernreglene også såkalte ustrukturerte personopplysninger, som vil si personopplysninger som ikke er ordnet i en strukturert form, som f.eks. en database. Ustrukturerte personopplysninger som forekommer oftest i virksomheter, er personopplysninger i epostkasser (som oftest er i Outlook) og filområder (enten det er på harddisken på en PC, på servere eller i systemer, som f.eks. Sharepoint).

Utfordringen med ustrukturerte data vil bl.a. oppstå dersom en person (en registrert) ber om innsyn i de opplysningene som behandles om vedkommende eller krever å få personopplysninger om seg selv slettet. Hvordan skal slike anmodninger håndteres, og hvordan skal det sikres at krave etterkommes for personopplysninger i epost eller på filområder?

Foreligger informasjonen i strukturert form, som i en database, er det enkelt å finne opplysninger om personen, ved at opplysningene kan være organisert etter navn eller andre identifikatorer. Men for ustrukturerte personopplysninger vil det nødvendigvis måtte foretas et søk for å finne frem til personopplysningene. I en virksomhet vil det være mange epostkasser (normalt minst én per ansatt) og mange filområder, herunder private filområder, både på PCer og på servere. Å foreta en gjennomgang av virksomhetens totale ustrukturerte datamengde for å finne personopplysninger om en enkelt registrert, vil dermed kunne være en meget stor og omfattende oppgave, kan være tidkrevende, og kan by på juridiske utfordringer som å foreta søk i epostkasser og personlige filområder for ansatte.

Plikten til å gi innsyn og slette personopplysninger gjelder også for personopplysninger i eposter og filområder, og andre steder det kan forekomme ustrukturert informasjon, men det kan være lite praktisk og kanskje ikke lovlig under personvernforordningen å etterkomme anmodning om sletting eller innsyn fra registrerte når man ser nærmere på hvordan krav om sletting og innsyn skal kunne etterkommes.

For å ta krav om innsyn først, så har den registrerte (dvs. den som personopplysningene gjelder) rett til innsyn etter GDPR Artikkel 15. Innsynet gjelder både informasjon om behandlingen og innsyn i selve opplysningene, sistnevnte ved at behandlingsansvarlige skal gjøre tilgjengelig en kopi av personopplysningene (f.eks. gi en utskrift av opplysningene). Å gi informasjon om hvordan behandlingen skjer er normalt uproblematisk, men å gi den registrerte kopi/utskrift av de konkrete personopplysningene ved eposter og dokumenter er ikke like rett frem.

Det følger av GDPR (Artikkel 15 nr. 4) at innsyn eller utlevering av personopplysninger til den registrerte skal ikke krenke andre registrertes rettigheter. Dette innebærer at det normalt ikke kan utleveres epost, siden en epost vil så godt som alltid inneholde informasjon om andre enn den registrerte (som avsender eller mottakere som er andre enn den registrerte).

Retten til å motta en kopi av personopplysningene som behandles skal ikke krenke andres fysiske personers personvernrettigheter.

GDPR Artikkel 15 nr. 4 (omskrevet)

I tillegg vil det å søke gjennom ansattes eposter etter personopplysninger om den registrerte kunne være en krenkelse av de ansattes personvern, og i strid med reglene om epostinnsyn vi har i Norge dersom ikke visse prosedyrer følges. Og et krav om innsyn fra en registrert er ikke et tilstrekkelig grunnlag til å kreve innsyn etter reglene om epostinnsyn.

Hovedregelen må derfor være at krav om innsyn ikke omfatter personlige epostkasser samt arbeidstakeres personlige områder hvor det kan lagres filer og annet. Tilsvarende vil også gjelde for annet elektronisk utstyr som arbeidsgiver har stilt til arbeidstakers disposisjon til bruk i arbeidet, som PCer og mobiltelefoner.

For sletting (etter GDPR Artikkel 17) vil det samme gjelde, siden det vil ikke være mulig å gjøre et søk for å avdekke personopplysninger knyttet til den registrerte uten å gjøre et innsyn i personlige epostkasser og filområder mv.

Hva gjelder epostkasser som ikke er personlige eller filer og annen informasjon lagret på fellesområder, så vil det kunne gis innsyn, såfremt dette ikke krenker andres personopplysninger. Det er derfor heller ikke her anledning til å utlevere kopier av personopplysninger til registrerte dersom disse inneholder andre personers personopplysninger (gitt at det ikke er gitt samtykke fra de andre registrerte). For sletting derimot, så vil det kunne etableres løsninger for å avdekke personopplysninger knyttet til den registrerte som kan slettes dersom den registrert krever dette. Men også her vil ikke slettingen kunne krenkes andres personvern, og det er ikke alltid at den registrerte har krav på å personopplysningene slettes. Foreligger det fremdeles et formål for å beholde personopplysningene, så går dette foran retten til å få opplysningene slettet. Tilsvarende gjelder dersom den behandlingsansvarlige har behov for opplysningene for å avklare sin rettslige stilling på et tidspunkt, som om det kan rettes et krav mot den behandlingsansvarlige, eller den behandlingsansvarlige vil kunne fremme et krav selv.

Ut fra ovennevnte, så vil det som regel ikke være anledning til å etablere f.eks. løsninger som kan søke i ansattes eposter eller personlige filområder. Det er blitt hevdet at slike løsninger må etableres for å være «GDPR-compliant», men det motsatte vil heller ofte være tilfelle: Ved å etablere slike løsninger vil man risikere å bryte personvernreglene. Og ofte så vil de ikke være nødvendige, siden sletting ikke kan gjøres av andre regler. Det kan også spørres om den behandlingsansvarlige må anskaffe it-systemer for å gjøre det mulig å gi innsyn eller slette ustrukturerte personopplysninger. Som det fremkommer ovenfor, så vil et it-sytem som gir mulighet til å søke å ustrukturerte data på personlige områder eller eposter både være unødvendig og trolig også ulovlig.

Hva bør man så gjøre vedrørende ustrukturerte personopplysninger? Det bør etableres prosedyrer og rutiner som minimerer problemet med ustrukturerte data og håndterer innsyns- og slettingskrav på en lovlig måte. Slike rutiner kan være at ustrukturerte personopplysninger struktureres (hvis mulig), at det lagres eposter og filer på områder som er felles tilgjengelig fremfor på personlige områder, herunder systemer som lagrer opplysninger på sak/kunde/oppdrag, osv. Det må imidlertid etableres prosedyrer som sikrer at andre regler ikke brytes når krav om innsyn og sletting etterkommes og sikres at prosedyrene i seg selv ikke legger opp til at reglene brytes. Å etablere en prosedyre ved at man sender ut informasjon til alle ansatte om at personopplysninger om NN skal slettes eller utleveres vil også være en ytterligere behandling (man informere om at en person har anmodet om sletting eller innsyn i sine personopplysninger). Det er vanskelig å se at en slik løsning skal kunne gjøre en virksomhet mer i overensstemmelse med personvernforordningen. Tilsvarende gjelder løsninger om å «tagge» personopplysninger eller annet som kan gjøre det mulig å identifisere personopplysningene som er lagret ustrukturert.

Det vil også trolig komme mer veiledning og avklaring for behandling av ustrukturerte personopplysninger, og inntil da bør det avventes med investeringer og anskaffelser i systemer. Det er lite trolig, om ikke utenkelig, at Datatilsynet vil mene at man ikke er «GDPR-compliant» om det ikke anskaffes it-system for søk eller organisering av ustrukturerte data. Tvert i mot vil risikoen ved å anskaffe et slikt system være at man kan bryte andre regler, og vil trolig kreve at man foretar en personvernvurdering. Da er kostnadene og ressursbruken ved anskaffelsen av it-systemet både bortkastet, og har negativ virkning.

Denne artikkelen er også tilgjengelig på LinkedIn: https://www.linkedin.com/pulse/hvordan-forholde-seg-til-krav-om-innsyn-og-sletting-av-jan-sandtr%C3%B8/