Bedre med et gjerde på toppen av stupet, enn en ambulanse i bunn

Små feil – store bøter

Det har vært et par saker fra Datatilsynet hvor det er gitt bøter på store beløp. Felles for sakene var at bruddene på personvernregelverket kunne trolig vært forhindret med forholdsmessig små grep med mindre investeringer i tid og ressurser.

Treningskjeden Sats fikk bot på kr 10 mill. for å ikke etterkomme krav fra fire personer for innsyn i egne personopplysninger og for manglende sletting av opplysninger. I tillegg mente tilsynet at det ikke var gitt tilstrekkelig informasjon om hvordan personopplysninger ble behandlet og slettet, og det var ikke klart hva det lovlige grunnlaget var for behandling av enkelte personopplysninger.

Så fikk selskapet Argon Medical Devices en bot på kr 2,5 mill. for å sende melding om personvernbrudd etter fristen på 72 timer.

Nå skal jeg skynde meg å si at det kan være, og er, forhold som kompliserer disse sakene (begge sakene er grundig omtalt på Datatilsynets nettsider, og det er begrenset hva man får med i en LinkedIn-post). Så jeg skal ikke gå inn på hver enkelt sak, og sakene er ikke endelige kan bli klaget inn for Personvernnemda og/eller bragt inn for domstolene.

Men det kan trekkes den læring av sakene at i de fleste tilfelle er det å svare opp henvendelser fra de som man behandler personopplysninger om (de registrerte), sørge for rett informasjon, sikre sletting og melde inn brudd på personvernet ganske rutinemessige og enkle oppgaver. Og det skal ikke mye arbeid til for å sørge for at man ikke bryter personvernregelverket.

Enhver som behandler personopplysninger, bør derfor (blant annet) sikre:

  • At man vet hvordan man skal håndtere henvendelser fra registrerte, som hvordan det skal gis tilstrekkelig informasjon om hvordan man behandler personopplysninger, hvordan det gis kopi av opplysningene til de registrerte på en riktig måte og når og hvordan personopplysninger skal slettes. Helst bør man ha en rutine/prosedyre skrevet for å sikre at alt blir riktig.
  • Å gi tilstrekkelig og fullstendig informasjon om behandlingen som gjøres av personopplysninger for de registrerte bl.a. i personvernerklæringen. Her er det mange som synder, og det skal ikke mye innsats til for at det gjøres riktig. Her må det stå lovlig grunnlag for behandlingen og når man skal slette opplysningene.
  • Sørge for at personopplysninger slettes så snart de ikke er nødvendig å behandle lenger. Mange lagrer opplysninger uten grunn, og tar dermed unødvendig risiko.
  • Sikre at personvernbrudd meldes innen fristen (72 timer!) på riktig måte. Ved brudd er det knapt med tid, og da er det ofte avgjørende med gode rutiner.

Det skal ikke mye tid til for å få dette på plass. Da reduseres også risikoen for bøter, som etter hvert begynner å bli høye. Ganske god investering med andre ord, og som bonus slipper man å få omtale på Datatilsynets nettsider og i media om ting er på stell.

(Illustrert av min sønn Herman med at det er bedre å ha et gjerde på toppen av stupet enn en ambulanse i bunnen …)

Kurs for smu00e5 og mellomstore bedrifter