Personopplysningar på avvege

Om personopplysningar kjem på avvege, har den tilsette sjølv ei plikt til å melda frå til personvernombudet (PVO) i kommunen. 

Handtera personopplysningar på avvege

Kva er personopplysningar på avvege?
  • Personopplysningar på avvege er eit avvik.
  • Med avvik blir meint utilsikta eller ulovleg tilintetgjøring, tap, endring eller spreiing av personopplysningar.
  • Dersom brotet er av slik karakter at det kan medføra skade for dei registrertes rettar og/eller fridommar, skal det meldast til datatilsynet.
  • Kvart og eit brot må uansett blir dokumentert og denne dokumentasjonen skal innehalda omstenda rundt hendinga, omfang (volum), kva effektar hendinga har medført og korleis verksemda har handla for å korrigera hendinga.
  • Det gjeld òg mindre hendingar som eigentleg ikkje har påverka dei registrerte
Hva gjer eg? (tilsett)
  • Meld avviket inn i Compilo og beskriv hendinga.
  • Det er viktig at dette blir så snart gjort som mogleg då det kanskje må sendast til Datatilsynet, og ein har berre 72 timar på å melda det inn. 
  • Det er personvernombodet i Sauda Kommune som vurderer dette, og du vil bli kontakta for vidare utbedring av avviket om det trengst.
  • Personopplysningar i saka blir liggjande i Compilo, og dessutan på sikker sone i mappe for Personvernombudet og avvikssystemet i eit excel ark. 
  • Ta kontakt med personvernombod i Sauda Kommune om du er usikker på kva du skal gjera.
  • Dette gjeld når det er personopplysningar som er på avvege
Kva gjer eg? (personvernombud, PVO)
  • Avviket kjem inn i Compilo, og ein vurderer om det er eit internt avvik som leiar kan lukka, eller om ein må gjera ein rapport til Datatilsynet.
  • Ein må vurdera risiko knytt til avviket for den registrerte for å vurdera om avviket skal sendast.
  • Les vidare under for vurdering av risiko
Sende rapport til datatilsynet (PVO)
  • Dette blir gjort via Altinn, og personvernombodet er den med rettane til å utføra dette.
  • Bruk arbeidsmal for varsling til Datatilsynet som ligg på K: mappa Personvernombud - GDPR Sauda - 12 Avvik i Sauda Kommune.
  • Dette kan sendast til andre partar involvert i avviket utanom den registrerte (enkeltpersonar som er rørte av avviket).
  • Her må ein sjå an alvorsgrada og mengde berørte for korleis ein best går fram.
  • Det kan vera lurt å ha møte med leiar for avviket, ein frå IT som kjenner til informasjonstryggleik rundt avviket og andre som kan ha innverknad. 
  • Etter at avviket er sendt til Datatilsynet via Altinn, lagar ein ei mappe med dato for avviket og eit gjenkjennbare namn (sjå tidlegare mapper), og legg inn kvittering frå send melding, og dessutan svar frå Datatilsynet når dette kjem.
  • Avviket blir så registrert i ei oversikt på K, i same mappe som arbeidsmalen for varsling til Datatilsynet.
  • Fyll ut skjema. (Lag ny fane for kvart år, denne blir brukt til årsmelding og statistikk)
Korleis vurdere risiko og høg risiko for dei om berørte?
  • Med ein gong ein er klar over at det har skjedd eit brot, skal ein handtera og avgrensa det, men ein må samtidig avgjera kva risiko det kan ha medført for dei som er berørt av brotet.
  • Dersom det er usannsynleg at brotet vil føra til risiko for dei registrertes rettar og fridommar, er det ikkje behov for å melda frå til Datatilsynet, eller til dei berørte.
  • Dersom det er ein risiko, men han ikkje blir vurdert til å vera høg er det nødvendig å melda frå til Datatilsynet, men ikkje informera dei berørte.
  • Dersom det er høg risiko, er det nødvendig å melda frå til Datatilsynet og informera dei berørte
Korleis vurdera kor høg risiko avviket har?

Høg risiko

  • når personar blir profilert/blir vurdert på ein systematisk og omfattande måte, og ei automatisk avgjerd kan få rettslege følgjar eller på annan måte påverka ein person i betydeleg grad
  • når det finst behandling av sensitive opplysningar i stor skala
  • når det gjeld systematisk overvaking av ein offentleg stad i stor skala
  • når det gjeld andre handlingar som sannsynlegvis resulterer i ein høg risiko for rettane og fridommane til enkeltpersonar.
  • Vêr spesielt oppmerksam når du bruker ny og relativt uprøvd teknikk!


 Middels risiko

  • når han registrerte sjølv ikkje har kontroll på opplysningane sine
  • når sensitive opplysningar blir behandla
  • når han registrerte blir til dømes profilert for direkte reklame
  • når det gjeld personar som er spesielt utsette i samfunnet
  • når det gjeld behandling av ei svær stor mengde personar
  • når det finst risiko for diskriminering
  • når det finst risiko for identitetstjuveri eller bedrageri
  • når det finst risiko for økonomisk tap
  • når det finst risiko for skade på nokons rykte
  • når det er risiko for at konfidensiell informasjon blir avdekte
  • når det er risiko for at pseudonym informasjon blir identifiserbar
  • når det er risiko for betydeleg økonomiske eller sosiale ulemper


  Låg risiko

  • Sett Låg risiko på andre behandlingar der risikoane for den registrerte er låg.
  • Tryggleiksnivået for personopplysningar og annan beskyttelsesverdig informasjon bør likevel alltid gå ut frå at det er ein viss risiko kopla til behandlinga