Personvern og internkontroll – den praktiske gjennomføringen

Internkontroll for å ivareta personvernet er en viktig funksjon i enhver virksomhet. Men hvor bevisst er din bedrift på ansvaret og forpliktelsene som ligger i kravet om internkontroll?

Personopplysningsloven krever at virksomheter som behandler personopplysninger skal etablere et system for internkontroll i form av etablering og vedlikehold av planlagte og systematiske tiltak for å oppfylle lovkravene. Dette kan oppsummeres som rutiner for oppfyllelse av virksomhetens plikter og de registrertes rettigheter, samt rutiner og tekniske tiltak for informasjonssikkerhet.

Virksomhetens ledelse er ansvarlig for at det settes i gang aktiviteter for å etablere internkontroll i virksomheten, herunder et spesielt ansvar for å utarbeide policy, målsetning, identifisere forpliktelser, klarlegge intern organisering og ikke minst tydelig identifisere ansvar og myndighet. Ledelsen har videre ansvaret for at det etableres prosedyrer og instrukser basert på en risikovurdering i forhold til personvern. Ledelsen må ta stilling til hvilke rutiner som er påkrevd for å sikre samsvar mellom den etablerte systematikken og aktivitetene som faktisk utføres i virksomheten.

Ledelsen har således en sentral rolle i arbeidet, men selve utarbeidelsen og arbeidet med internkontrollen er også avhengig av konkret ekspertise og praktisk erfaring på ulike områder. Internkontroll krever dermed innsats fra ulike ressurser i virksomheten. Hvem som skal delta i slikt arbeid er avhengig av virksomhetens organisatoriske struktur, men det er klart at følgende aspekter må ivaretas; IT, HR, juridisk kompetanse, internrevisjon og kvalitetsansvarlig.

En systematisk tilnærming av internkontroll deles gjerne opp i tre hovedelementer:

  1. En styrende del som omfatter ledelsens beslutninger og føringer som ligger til grunn for internkontrollen, overordnede rammer, mål og strategi for internkontroll.
  2. En gjennomførende del som omfatter konkrete rutiner/behandlingsregler tilpasset den enkelte virksomhet som gjelder for de ansatte i det daglige arbeidet.
  3. En kontrollerende del som omfatter tiltak som skal iverksettes for å fange opp avvik i systemet, for eksempel periodiske gjennomganger, vedlikehold og revisjon.

Det er viktig at internkontroll er godt forankret nedover i organisasjonen i det daglige arbeidet. Det er således viktig å påse at alle ansatte er informert og fått tilstrekkelig opplæring i å kunne ivareta personvernhensyn og følge retningslinjene satt i internkontroll regimet. Dette kan gjennomføres på ulike måter og er avhengig av virksomhetens størrelse og struktur.

I tillegg er det viktig at arbeidet med internkontroll er godt dokumentert, og dokumentasjonen over systemet for internkontroll skal være tilgjengelig for de ansatte i virksomheten og Datatilsynet.

Det er altså ikke godt nok å vise til at internkontroll er gjennomført om man ikke kan dokumentere dette. Påse at alle de tre hovedelementene nevnt over er tilstrekkelig dokumentert og systematisert.

Se tidligere blogginnlegg om personvern og internkontroll her.

Ønsker du bistand eller har spørsmål til personvern, er du velkommen til å ta kontakt med advokat Siri Fjeld-Nielsen i Visma Advokater på mail siri.fjeld-nielsen@visma.no eller telefon +47 928 54 989.

Se andre blogginnlegg fra Siri Fjeld-Nielsen her, og bli gjerne medlem av vår LinkedIn-gruppe for å få rask tilgang på blant annet aktuelle seminarinvitasjoner samt relevante innlegg og nyheter.

 

visma.no/advokater

Siri er advokat i Visma Advokater. Siri arbeider med generell forretningsjus, herunder spesielt kontraktsrett og kontraktsforhandlinger, personvern, IKT og arbeidsrett.
Kontakt Siri: