Hender det at du på jobben gjør notater eller stikkord på post-it-lapper fra samtaler med andre? Lar du disse ligge på bordplaten eller fester dem på veggen? Eller hender det at andre dokumenter med personopplysninger blir liggende på pulten din når du ikke er der? Ja, da kan det være brudd på personvernreglene i GDPR og medføre bot. En dansk kommune unngikk bot fordi de makulerte post-it-lappene etter kort tid.
Datatilsynene i Norden har avtalt å ha et tett samarbeid etter at EUs personvernforordning (GDPR) er innført i de nordiske landene. En viktig del av denne avtalen - også kalt København-erklæringen - er erfaringsutveksling. Det betyr at de regelmessig skal dele informasjon om praktiseringen av regelverket, saker som behandles og bøter som utstedes. Et slikt samarbeid vil trolig bety at saker behandlet i ett av landene, kan gi veiledning om praksis i de andre landene.
Slik sett kan behandlingen i det danske datatilsynet av en klage mot en kommune, gi en pekepinn på hva som blir praksis ved liknende tilfeller i Norge.
GDPR gjelder personopplysninger på post-it-lapper
Klagen mot den danske kommunen kom fra en person som hadde hatt samtaler med en av kommunens medarbeidere. Klageren registrerte at den ansatte gjorde notater på post-it-lapper fra samtalene. På lappene ble det notert personopplysninger som personnummer, navn, bydel og opplysninger om ledighetsperiode. Disse opplysningene ble i følge klageren liggende synlig på arbeidsplassen slik at uvedkommende kunne se dem. Dessuten skal klageren ha observert at de bla kastet i papirkurven etterpå og derfra gikk i vanlig søppelbeholder.
Datatilsynet slår på generelt grunnlag fast at opplysninger på klistrelapper, som de nevnte, faller inn under bestemmelsene i GDPR. Derfor vil kravet om at slike opplysninger ikke skal komme på avveie og nå fram til andre, gjelde.
I selve kjennelsen la imidlertid datatilsynet til grunn at notatene på lappene var til midlertidig bruk før informasjonen ble lagt inn digitalt. I følge kommunen var de ikke tilgjengelige for andre. Før de ble lagret digitalt var de innlåst i skap og etterpå ble de lagt i en låst beholder og sendt til makulering. Dette godtok tilsynet, og bot ble ikke ilagt.
Makulering hindret bot
Selv om det ikke ble bot denne gangen, kan redegjørelsen fra datatilsynet tolkes som at bot kunne blitt ilagt dersom innholdet på klistrelappene kunne ses av uvedkommende blant annet som en følge av at de ikke ble makulert.
Hvordan er det hos dere? Hender det at slike lapper eller andre dokumenter med sensitive opplysninger blir liggende på skrivebordet når du ikke er til stede? Har dere fortsatt papirkurv, hvor disse dokumentene kastes? Låser dere PCene når dere forlater arbeidsplassen, eller kan det tenkes at andre kan se hva som finnes på skjermen? Hva med kopimaskinen og printere eller møterom? Hender det ofte at dokumenter glemmes igjen der? Ja, da er det ikke utenkelig at det kan medføre bøter hvis Datatilsynet kommer på besøk.
Dette er det i så fall mulig å gjøre noe med. NG Secure tilbyr en løsning med sikker makulering av sensitiv informasjon. Vi setter ut forseglede beholdere som papirdokumentene kan kastes i. Beholderne hentes av sikkerhetsgodkjent personell som kjører dem i låste biler til makuleringsanlegget vært. Anlegget er låst og har videoovervåking med utrykning. Dokumentene i beholderne kvernes slik at innholdet ikke kan gjenskapes. Det er en sikker og enkelt måte å unngå GDPR-bøter på.