Næringsliv

Jus

Sletter norske bedrifter for mye data?

Grav ned gullet slik at skatter kan finnes og brukes igjen.

Advokat/partner Magnus Ødegaard, Bing Hodneland advokatselskap. Foto: Selskapet

Advokat/partner Magnus Ødegaard, Bing Hodneland advokatselskap DA. Foto: Selskapet

Artikkel av: Advokat/partner Magnus Ødegaard, Bing Hodneland advokatselskap DA
9. mars 2019 - 00.10

Etter at EUs personvernforordning (GDPR) trådte i kraft 20. juli 2018 i Norge har mange bedrifter brukt en god del ressurser og penger på å slette verdifull data (personopplysninger) — helt uten grunn. Trusler om rekordhøye gebyrer for brudd på GDPR og tap av omdømme har ført til en frykt for å bli tatt for brudd på de nye slettepliktene.

Den ansvarlige virksomheten ønsker å «være på den sikre siden med tanke på GDPR». Siden bedriftens data kan være verdt millioner av kroner for senere og annen bruk, er det det viktig at bedriften også tar vare på data som lovlig kan beholdes.

Selv GDPR medfører ikke automatisk sletteplikt når en ansatt slutter

I GDPR artikkel 5 står prinsippene for behandling av personopplysninger som må ivaretas av alle som behandler personopplysninger. Disse generelle personvernprinsippene er viktige å hensynta både før, under og etter at personopplysninger behandles. Prinsippene utgjør generelle plikter som beskriver hvilke grenser den behandlingsansvarlige må hensynta.

Det er trolig kunnskap hos bedriftene om disse prinsippene som fører til at bedrifter i dag sletter mye mer data enn de gjorde før de nye reglene kom på banen. Bedriften vil forsikre seg om å overholde bl.a. lagringsbegrensningsprinsippet, dataminimeringsprinsippet og formålsbegrensningsprinsippet.

Formålsbegrensningsprinsippet betyr at personopplysninger skal samles inn for spesifikke, uttrykkelig angitte og berettigede formål. Det er ikke lov å viderebehandle personopplysninger på en måte som er uforenlig med disse formålene.

Et ensidig fokus på slike prinsipper kan føre til at GDPR blir praktisert for strengt. Et eksempel er at en bedrift sletter all korrespondanse mellom en ansatt og den ansattes kunder den dagen den ansatte slutter hos arbeidsgiver. De nye reglene innebærer ikke en så streng sletteplikt for arbeidsgiver.

Arbeidsgiver kan ha lovlig grunnlag til å bevare eget gull

Norske bedrifter må vurdere når sletteplikten oppstår. Dessverre er det ikke en bestemt frist som gjør det enkelt å forholde seg til de nye reglene.

Arbeidsgiver kan ha grunnlag i lov for å ta vare på mye data, f.eks. vil lovpålagte plikter i regnskapslovgivning om bevaring av regnskapsdokumentasjon gå foran de generelle reglene om personvern.

Et annet grunnlag er at bedriften har innhentet samtykker fra de involverte som kan gjøre det mulig å ta vare på data i en lengre periode. Når det gjelder samtykke til behandling for forskningsformål, kan den registrerte gi et bredt samtykke. Årsaken er at det ofte ikke er mulig fullt ut å identifisere formålet med behandlingen av personopplysninger på tidspunktet for innsamlingen av opplysningene.

Et tredje eksempel er at bedriften kan ha en berettiget interesse til en behandlingsaktivitet som veier tyngre enn personvernet til de registrerte.

I praksis vil bedriftens avtaler være et viktig grunnlag for at bedriften lovlig kan vente med å slette data i egne systemer. Bedriften kan til og med ha en plikt til å ta vare på bestemte data for å kunne overholde avtaler med kunder og andre samarbeidsparter. Slike plikter kan vare i flere år etter en ansatt slutter.

Et eksempel er i relasjonen mellom et forlag og dets redaktør. Selv om redaktøren har hatt direkte dialog med en eller flere forfattere, kan forlaget la være å slette all korrespondanse slik redaktør har hatt med forfatterne på tross av at redaktøren ikke lenger er ansatt i forlaget. Ofte har forlaget en tidsubegrenset rett til å utgi en bok, og det kan føre til at forlaget sender avregninger for sekundærutnyttelse og andre henvendelser til forfatteren eller dens arvinger mange tiår etter boken først ble utgitt. Dette tilsier at forlaget kan ha det nødvendige behandlingsgrunnlag for oppbevaring av forfatterens personopplysninger gjennom avtalen om bokutgivelse.

Arbeidsgiver kan ha mulighet til å bevare eget gull også for andre formål

Bedrifter kan viderebehandle personopplysninger for andre formål enn de opprinnelig ble samlet inn for. Dette kan fremgå av lov eller forskrift.

Arkivloven har som formål å sikre at arkiv med betydelig kulturell eller forskningsmessig verdi kan bli tatt vare på og gjort tilgjengelige for ettertiden. Offentlig virksomhet plikter å levere rettslig eller viktig forvaltningsmessig dokumentasjon for arkivformål. Et annet eksempel er at statistikkloven gir myndighetene hjemmel til å kreve at borgere avgir ikke-taushetsbelagte opplysninger til SSB til statistiske formål. Statistikkloven gir også SSB rett til å innhente opplysninger fra Folkeregisteret selv om slike opplysninger er taushetsbelagte. 

Det finnes også andre hjemler som offentlig og privat virksomhet kan bruke for å bevare data selv om disse kan inneholde personopplysninger. GDPR artikkel 89 og den nye personopplysningslov §§ 8 og 9 oppstiller lovlig grunnlag for viderebehandling av personopplysninger for formål knyttet til vitenskapelig eller historisk forskning, for statistiske formål eller for arkivformål i allmennhetens interesse.

Tilleggskrav for viderebehandling til forskning, statistikk eller arkiv

Både personopplysningslov §§ 8 og 9 forutsetter at viderebehandling for slike formål skjer i samsvar med GDPR artikkel 89. Bedriften må sørge for organisatorisk og tekniske tiltak som sikrer at de generelle prinsippene i GDPR artikkel 5 fortsatt oppfylles for personopplysninger som bevares for slike andre formål.

Med organisatorisk sikkerhet menes at hver virksomhet skal ha interne roller for hvem som har ansvaret for ulik behandling av personopplysninger. Med teknisk sikkerhet menes tiltak som pseudoanonymisering for å redusere risikoen ved at slike opplysninger leses av uvedkommede.

Andre tekniske tiltak kan f.eks. være økt informasjonssikkerhet ved at virksomheten sørger for at opplysninger som bevares for andre formål kun lagres på datamaskin i egne lokaler som er kryptert. En annen mulighet er å sørge for tofaktorautentisering for tilgangskontroll til de personer som senere skal forske på opplysninger som bevares for forskningsformål.

Bruk de muligheter lovverket åpner opp for

Det er ikke slik at GDPR medfører at Norge skal miste nasjonale kulturskatter. Det er heller ikke slik at bedrifter må slette alle data straks det opprinnelige formålet ikke lenger foreligger ved fortsatt bruk av slike data.

Det er viktig at norske virksomheter blir gitt en praktisk innføring i hvilke muligheter GDPR åpner opp for, slik at de faktisk kan benytte alle reglene som trådte i kraft i fjor – også de litt bortgjemte unntaksreglene som gir grunnlag for å bevare korrespondanse og annen informasjon som kan være gull verdt for ettertiden.

Artikkelen er skrevet av advokat/partner Magnus Ødegaard, Bing Hodneland advokatselskap DA.