RODO - dette begrepet går igjen på mange områder i livet. Ofte er vi imidlertid ikke klar over risikoen som lekkasje av personopplysningene våre medfører. Det er viktig å være klar over hva som må gjøres i et slikt tilfelle. Det kan være farlig både for oss selv og for selskapet vi jobber for. Det lønner seg å ta et kurs i personvern, men du lurer kanskje på om det er obligatorisk. I denne artikkelen tar vi for oss de juridiske problemstillingene og gir deg den viktigste informasjonen om emnet.
Hva dekker RODO?
Vi kommer i kontakt med behandling av personopplysninger i mange tilfeller når vi er på jobb. Det er viktig å først ta stilling til hva vi kan betrakte som personopplysninger. Det er nemlig informasjon som gjør at vi kan finne ut noe om en bestemt person. Noen ganger er en enkelt opplysning nok til at vi kan gjenkjenne noen, for eksempel en bestemt stillingstittel. Noen ganger trenger vi imidlertid mer informasjon. Det kan dreie seg om generelle opplysninger som navn og etternavn, men det finnes også sensitive opplysninger som religion eller seksuell legning. På arbeidsplassen kan vi behandle personopplysninger på ulike måter. For det første er de inkludert i ulike dokumenter som sendes til kunder, f.eks. kontrakter og reklamasjoner. Vi har dem også synlige på navngitte fakturaer. De kan til og med behandles i små mengder, men den ansatte bør likevel være klar over hva det dreier seg om.
Obligatorisk opplæring?
Det finnes ingen eksplisitt informasjon i RODO, personvernforordningen, om plikten til å gi ansatte opplæring i dette. Det er imidlertid mulig å finne noen henvisninger til dette, f.eks. i artikkel 39, der personvernombudets oppgaver er angitt. Punkt 1b i denne artikkelen spesifiserer at en slik inspektør skal overvåke at RODO og annen EU-lovgivning overholdes. Med dette menes blant annet aktiviteter som øker bevisstheten, samt opplæring av ansatte hvis data behandles. Det er viktig å merke seg at ikke alle selskaper er forpliktet til å utnevne et personvernombud. Likevel har også slike selskaper opplæringsplikt. Når det ikke er utpekt en stilling som personvernombud, er det den behandlingsansvarlige - det kan være eieren av selskapet - som utfører oppgavene. Han eller hun er forpliktet til å iverksette egnede tekniske og organisatoriske tiltak for å handle i samsvar med RODO. Et slikt tiltak bør være opplæring, så dette kan betraktes som en forpliktelse.
Hvem er kurset for?
La oss begynne med hvem som bør gi opplæring i personvern generelt. Generelt sett finnes det ingen klare retningslinjer på dette området. I en bedrift kan det være et personvernombud som er ansvarlig for dette, eller hvis det ikke finnes en slik person, finnes det flere alternativer. For små selskaper vil det beste alternativet være at dette gjøres av eieren, som har den relevante kunnskapen om emnet. Opplæringen kan også utføres av en ansatt med passende kvalifikasjoner. Det siste alternativet er et kurs i regi av et eksternt selskap, og dette er den beste løsningen fordi vi da har å gjøre med spesialister på området. Opplæringen bør skreddersys etter virksomhetens art og hvor mye data den behandler. Hvis bedriften har separate avdelinger, f.eks. personalavdelingen eller PR-avdelingen, er det verdt å vurdere å ta et kurs for hver avdeling separat. I så fall kan emnene tilpasses bedre til stillingen de jobber i.
Når skal jeg gjøre det?
Vi kan i hvert fall nevne noen situasjoner der kurset bør gjennomføres. I første omgang bør det finne sted før den ansatte begynner å jobbe. Da er den behandlingsansvarlige (ADO) forpliktet til å autorisere ham/henne til å arbeide med opplysningene. Før en slik autorisasjon utstedes, må den behandlingsansvarlige gi eller henvise til opplæring. Et annet tilfelle er når det skjer en mulig endring i regelverket som regulerer databeskyttelse, samt i regelverket som regulerer bransjen vi arbeider i. Når det skjer en endring i organisasjonsstrukturen eller en endring i regelverket i selskapet, må det også gjennomføres opplæring. Ansvarsområdene kan endres i de aktuelle stillingene, og det samme gjelder dokumentflyten. Og bedriftens sikkerhetspolicy kan endres av ulike årsaker. Det siste viktige aspektet for å gjennomføre et kurs er en hendelse som har oppstått ved at personopplysninger har lekket ut på arbeidsplassen. Da bør de ansatte gjøres oppmerksomme på hvorfor dette skjedde, og konsekvensene av slike handlinger synliggjøres.
Mislighold fra ansattes side
89% sikkerhetsbrudd er forårsaket av ansatte - ifølge Information Security Report 2019. I hvilke situasjoner kan det oppstå datalekkasje? Du bør være på vakt når det gjelder å ta med deg kontorutstyr utenfor arbeidsplassen. Det er like farlig å etterlate dokumenter uten tilsyn. Når ansatte ikke bruker makuleringsmaskin, men kaster ark med konfidensiell informasjon i søpla, utsetter de også entreprenører for datalekkasje. Andre situasjoner knyttet til bedriftens enheter som er farlige for bedriften, er å etterlate dem på offentlige steder, ikke sikre dem med f.eks. passord, ikke sikkerhetskopiere en slik enhet eller få tilgang til privat e-post på slikt utstyr. Vi utsetter oss også for fare hvis en ansatt får tilgang til bedriftens e-postboks på sin private datamaskin. En vanlig feil er å forveksle en e-postadresse, noe som også fører til et sikkerhetsbrudd. Det finnes altså mange slike situasjoner, og på overflaten varsler de ikke om noe ille. Hvis noen av disse oppstår i din bedrift, betyr det at opplæring i personvern er et must.
Konsekvenser av datalekkasje
Når en datalekkasje har funnet sted i en bedrift, kan man med sikkerhet forvente et tilsyn fra Datatilsynet. Tilsynet kan ilegge arbeidsgiveren en sanksjon i form av en bot. I tillegg kan fornærmede personer kreve erstatning dersom en slik sak ser dagens lys. Avhengig av hvor mange som får erstatning, kan det medføre økonomiske tap for bedriften, noe som kan føre til masseoppsigelser. Det er derfor ikke verdt risikoen.
Hvis det er behov for å lære opp ansatte hos et eksternt selskap, CSO Operatøropplæringssenter tilbyr kurs i personvern. Vår måte å undervise på er virkelig effektiv. For mer informasjon, ta gjerne kontakt med oss på telefon eller via kontaktskjemaet. Sikkerheten til bedriften din er viktig, så vi oppfordrer deg til å delta på dette kurset!
