Personvern-ABC ved sammenslåing av kommuner

Region- og kommunereformen pågår for fullt. Vi får mange henvendelser om personvern særlig i tilknytning til kommunesammenslåingen. Her er noen personverntips som det er viktig å ta med seg underveis i prosessen.

Behandlingsansvar

Behandlingsansvaret vil alltid ligge hos den som eier behandlingen, i dette tilfellet vil det si aktuell kommune. Når en virksomhet (kommune) opphører, vil behandlingsansvaret umiddelbart flyttes til den nye virksomheten som overtar all portefølje fra den som opphører. Dette vil selvsagt også gjelde personopplysninger. Så lenge en personopplysning ikke er slettet, vil altså behandlingsansvaret ligge hos den nye virksomheten.

Les mer om behandlingsansvarlig og databehandler

Ansvar for informasjonssikkerhet

Informasjonssikkerhet er alltid et lederansvar. Dette ansvaret kan ikke delegeres, men aktivitetene for å gjennomføre og utøve informasjonssikkerhet kan selvsagt settes ut til andre i organisasjonen. Det som er viktig å huske på, er at man ikke gjør informasjonssikkerhet til en «IT-ting», fordi det vil alltid være mye mer enn nettopp det. Det vil også i særlig grad gjøre seg gjeldende når man skal flytte personopplysninger mellom kommunene som opphører til en ny virksomhet. 

Les mer om informasjonssikkerhet og internkontroll 

Ressurspersoner

Etter gjeldende personopplysningslov (GDPR), skal alle offentlige organisasjoner ha personvernombud. Dette betyr at det i forbindelse med en kommunesammenslåing vil være minst to personvernombud involvert. Noen kommuner deler imidlertid personvernombud og noen kjøper tjenesten. Personvernombudene representerer mye kunnskap om og kjennskap til personvern, hvilke regler som gjelder og hvilke utfordringer som finnes. Det er avgjørende at personvernombudene involveres i slike prosesser som en kommunesammenslåing er. Erfaringsmessig er det også andre ressurspersoner innenfor personvern og informasjonssikkerhet, men det vil avhenge av størrelse på kommunen(e). Slike kan være kommuneadvokater, sikkerhetsledere, IT-leder, arkivledere osv. Det er et lederansvar å sørge for at prosessene går riktig for seg, at lover overholdes og at de riktige personer blir involvert.

Les mer om personvernombud

Protokoll over behandlinger

Etter gjeldende personopplysningslov (GDPR) skal alle virksomheter føre protokoll over alle behandlinger som gjøres av personopplysninger, med hvilke opplysninger dette gjelder, med hvilken hjemmel man behandler opplysningene, slettefrister m.m..  Protokollen er et helt nødvendig verktøy for å kunne sikre at man har kontroll på alle opplysninger som skal flyttes fra en virksomhet til en annen. Har man ikke denne protokollen er man ganske enkelt nødt til å lage den, for å kunne sikre full kontroll på alle personopplysninger i overføringsfasen og for framtiden. Dette vil selvsagt også gjelde for de virksomheter som skal opphøre. Det er de som må kjenne til hvilke behandlinger de har, før de kan overføre dem til andre.

Les mer om protokoll over behandlingsaktiviteter

Sletting, retting og arkivering

Som i alle andre «flytteprosesser» vil også en kommunesammenslåing være en fin mulighet til å rydde. Benytt anledningen til å slette personopplysninger dere ikke trenger, personopplysninger dere lurer på om dere har hjemmel til å ha og personopplysninger dere vet dere ikke har hjemmel til å behandle. Også her vil protokoll over behandlinger være til stor nytte og hjelp. 

Pass også på å rette personopplysninger som er feil, slik at de opplysninger som overføres til ny virksomhet er riktige. Å overføre personopplysninger med feil, kan i verste fall få alvorlige personvernkonsekvenser for den opplysningene gjelder.

Husk imidlertid på å avstemme med annen lovgivning før dere sletter, dette gjelder for eksempel arkivlovgivning, regnskapslovgivning og lignende. Involver de riktige personer med kunnskap på disse områdene.

Les mer om retting og sletting

Informasjon og åpenhet

Virksomhetene har plikt til å behandle personopplysninger på en åpen måte. Dere må gi kort og forståelig informasjon om hvordan de behandler personopplysningene. Det stilles også krav til hvordan man kommuniserer med enkeltpersoner.

Les mer om Informasjon og åpenhet

Dokumentasjon

Dokumenter det dere gjør, det vil gjøre det mye enklere for dere selv å finne fram i ettertid. Ved å dokumentere viser dere hva dere får til, og det er viktig å ha hvis noe går galt eller ikke fungerer som for eksempel Datatilsynet eller andre tilsynsmyndigheter.

Les mer om internkontroll og styrende dokumentasjon

Lurer du på noe mer?

Vi ønsker alle lykke til med arbeidet med kommunesammenslåinger. Hvis dere har spørsmål, sjekk om dere finner informasjonen på våre nettsider, eller kontakt vår veiledningstjeneste.

Les mer om Kommunereformen på regjeringen.no 

Les mer om Regionreformen på regjeringen.no

20