Virksomheters bruk og misbruk av personopplysninger

Sørg for at det ikke er din virksomhet som lekker informasjon kriminelle kan benytte. Om opplysningene kommer i feil hender, kan de misbrukes til identitetstyveri.

De fleste virksomheter behandler personopplysninger om mennesker som er tilknyttet virksomheten. Det kan være ansatte, kunder, klienter eller pasienter. Årsaken til at det behandles personopplysninger er at virksomheten har et formål med behandlingen. Et eksempel på formål kan være å administrere og betale ut lønn til de ansatte, mens et annet formål kan være å ha oversikt over kundene til virksomheten, samt administrasjon av kjøp og salg.

Kriterier for å behandle personopplysninger

En virksomhet som behandler personopplysninger gjør dette vanligvis etter samtykke fra den det samles informasjon om. I noen tilfeller kreves det likevel ikke et eksplisitt samtykke, da det er åpenbart for begge parter samhandlingen forutsetter bruk av gitte personopplysninger, og det er relativt klart hva behandlingen omfatter. Behandling av opplysninger om ansatte til administrasjon og lønnsutbetaling hører til i den kategorien. I andre tilfeller kreves det utfyllende og konkretisert informasjon som setter den registrerte i stand til å vurdere om han eller hun ønsker å samtykke at personopplysningene blir brukt.

Hvem har ansvaret, og hvordan ivaretas det?

Det er virksomhetens leder som er ansvarlig for korrekt håndtering av personopplysninger. Virksomhetens leder benytter ofte et  kvalitetssystem (internkontroll) der det settes opp regler og rutiner de ansatte må følge. Virksomhetens ledelse kan da konsentrere seg om å følge med på om det oppstår avvik fra det som er bestemt.

Les mer om hvordan internkontroll kan organiseres i din virksomhet.

Hvorfor er ansvaret så viktig?

Når noen tildeles ett ansvar, samt en eller flere plikter i et lovverk, er det fordi samfunnet gjennom lovgiver har vurdert at det er tungtveiende grunner for det. Behandling av informasjon om andre mennesker forutsetter aktsomhet, ryddighet og respekt for den registrerte. Ingen ønsker at informasjon om seg selv skal misbrukes eller komme på avveie. Det er din virksomhets ansvar å sørge for at informasjon fra virksomheten ikke er utsatt for lekkasjer.

Hva kreves for at opplysninger om andre kan behandles?

I juridisk forstand kreves det et behandlingsgrunnlag for at det skal være tillatt å behandle personopplysninger. Med dette menes at den det skal registreres opplysninger om, har samtykket til dette. Alternativt kan det være fastsatt i lov at det skal behandles personopplysninger, noe som er tilfelle i for eksempel skattelovgivningen. Det kan også behandles personopplysninger i forbindelse med:

  • Å oppfylle en avtale med registrerte
  • For å ivareta en rettslig forpliktelse
  • For å ivareta den registrertes vitale interesse
  • For å utføre en oppgave av allmenn interesse
  • Under utøvelse av offentlig myndighet
  • At en interesseavveining tilsier en slik behandling

Legg imidlertid merke til at samtykke er hovedregelen.

Hva er misbruk av personlig opplysninger?

Hva som vil bli regnet som misbruk av personopplysninger vil være avhengig av hvem man spør. Noen har nærmest ingen forhold til begrepet og engasjerer seg lite i spørsmålet. Vær likevel oppmerksom på at selv uengasjerte personer fort kan bli illsinte kunder om de faktisk opplever et misbruk. Et misbruk kan nemlig være svært alvorlig for den som blir rammet av det.

Rettslig sett er all bruk av personopplysninger som ikke har gyldig behandlingsgrunnlag misbruk. Datatilsynet møter ofte virksomheter som ikke kan forstå at de ikke kan benytte innsamlede opplysninger til andre formål de senere ønsker å bruke opplysningene til. Årsaken til det er at virksomheten ikke ”eier” den innsamlede informasjonen, de har kun etter avtale (samtykke) med den registrerte fått anledning til benytte informasjonen til spesifikke formål. Det handler altså om respekten og rettighetene til den som avga opplysningene. Hvis det oppstår behov for et nytt formål, tilsier både vanlig høflighet og regelverket at man går tilbake og spør om endringen som gjøres er i orden.

Hvordan kan personopplysninger misbrukes?

Dette synes best illustrert med noen eksempler på konsekvenser av misbruk. Det er to hovedgrupper som konsekvenser kan sorteres inn under, henholdsvis hvor konsekvens er utilsiktet (uhell eller uaktsomhet) eller tilsiktet fra en kriminell:

Eksempler på uhell eller uaktsomhet

Ansatte lekker informasjon, bærbare datamaskiner kommer på avveier, sikkerhetskopier blir uforsvarlig håndtert, eller det begås innbrudd. Dette kan innebære brudd på forventet diskresjon og kan føre til alvorlig tillitsbrudd mellom individ og virksomhet, i noen tilfeller mellom samfunnet og sektoren din virksomhet tilhører som helhet. Helseopplysninger er et eksempel på sensitiv informasjon som gis under tillitt og fortrolighet – brudd på tillitt kan medføre alvorlig tillitskrise.

Eksempler på tilsiktet kriminell handling

  • Personopplysninger misbrukes til å fremme et illegitimt formål, slik som å skaffe seg tilgang til og kontroll over andres økonomiske midler, kredittinstrumenter eller eiendom.
  • Uvedkommende tar helt eller delvis kontroll på aktiva tilhørende en annen person (ofte kalt identitetstyveri)
  • Uautoriserte endringer eller disposisjoner i annens navn (eksempel: hevnmotiv).
  • Personopplysninger misbrukes til å skaffe seg tilgang til informasjon om enkeltmenneskers bevegelse, kommunikasjon og økonomiske disposisjoner, mot vedkommendes vilje og ønske.

Misbruk skjer ikke nødvendigvis umiddelbart

Personopplysninger som kommer på avveier blir ikke nødvendigvis misbrukt umiddelbart. Noen kriminelle miljøer har langsikte perspektiver, de samler inn relevant informasjon og misbruker det først når forholdene ligger til rette for det. En person som i dag er student, vil kanskje om noen år være et langt mer attraktivt bytte. Virksomheter som har lekket informasjon eller hatt datainnbruudd bør være særskilt oppmerksom på dette.

Virksomhetens juridiske ansvar

Brudd på personopplysningsloven kan medføre at virksomheten eller virksomhetens leder kan komme i straffeansvar. Det er også anledning for den registrerte å kreve erstatning fra virksomheten for krenkelse av eget personvern. Viktigst av alt er nok likevel at virksomheten kan tape viktig tillitt i markedet. Det kan få alvorlige følger for den videre drift.