Hjelpedokument for advokatfirmaer til å etablere internkontrollsystem - en sjekkliste og stikkord for utarbeidelse av internkontroll som påkrevet i personopplysningsloven § 14.
I personopplysningsloven § 14 pålegges den behandlingsansvarlige å etablere ”... planlagte og systematiske tiltak som er nødvendige for å oppfylle kravene i eller i medhold av [personopplysningsloven] ...”. I tillegg skal systemet ha som mål å ” ... sikre personopplysningenes kvalitet ...”
En oppsummering av de krav som stilles til virksomheten i personopplysningsloven er tilgjengelig på Advokatforeningens hjemmeside. Denne gjennomgangen er ment å være et mer praktisk hjelpemiddel til arbeidet med å etablere internkontroll som påkrevet i personopplysningsloven. Dokumentene bør imidlertid sees i sammenheng.
Internkontroll betyr ”intern styring”. Kravet til å etablere internkontroll innebærer at virksomheten skal etablere et styringssystem/kvalitetssystem med mål å sikre at virksomheten oppfyller alle relevante bestemmelser i personopplysningsloven.
Et styringssystem kan legges opp og inndeles på ulike måter. Datatilsynet har i sin veiledning anbefalt at internkontrollsystemet bør inndeles i, og omfatte, følgende dokumentasjon:
- Styrende dokumentasjon
- Gjennomførende dokumentasjon
- Kontrollerende dokumentasjon
Denne oppdelingen tar vi også utgangspunkt i nedenfor. I det følgende peker vi på noen sentrale punkter som bør inngå i internkontrolldokumentasjon. Gjennomgangen er ment som en hjelp til den enkelte virksomhet for å komme i gang med internkontrollarbeidet som er pålagt i personopplysningsloven.
Omfanget og detaljeringsnivå i et internkontrollsystem kan og vil ofte variere fra virksomhet til virksomhet. Internkontroll etter personopplysningsloven kan gjerne innarbeides i allerede eksisterende informasjons- og/eller kontrollsystemer i advokatvirksomheten, eks personalhåndbøker, opplæringsmaler mv. Det som er det viktige er at virksomheten har et bevisst forhold til innsamling og bruk av personopplysninger, de krav som følger av personopplysningsloven og hvordan kravene oppfylles i den konkrete virksomheten. Dette skal advokatfirmaet skriftlig dokumentere, og det er i realiteten dette som utgjør internkontrollsystemet.
Advokatforeningen har utarbeidet en oppsummering av kravene som stilles til advokatvirksomheten i eget notat. Dette notatet gir virksomheten en oversikt over hvilke krav som stilles for behandling av personopplysninger i advokatvirksomheten, og bør leses før arbeidet med internkontroll starter.
Datatilsynets har også utarbeidet gode veiledninger for hvordan de anbefaler at internkontrollsystemet skal utformes. Her finnes en omfattende gjennomgang av hva et internkontrollsystem er og hva det bør inneholde. Her finnes også maler som kan brukes som utgangspunkt for de enkelte rutinene som er påkrevet.
Det er viktig at virksomheten har et bevisst forhold til om og hvilke personopplysninger som innsamles og benyttes i advokatvirksomheten. Det er derfor viktig å starte med å skaffe seg oversikt over dette, eksempelvis ved en målrettet kartlegging. Denne kartleggingen bør rett og slett omfatte en oppsummering av konkret hvilke personopplysninger som behandles, til hvilke formål og hvilke rutiner som allerede er etablert.
Det som nærmere skal kartlegges er virksomhetens bruk av personopplysninger. Med personopplysninger menes opplysninger som direkte eller indirekte kan tilbakeføres til enkeltpersoner. Dersom advokatvirksomheten i all hovedsak har foretak som klienter, vil det derfor i mindre grad behandles personopplysninger enn om det er enkeltpersoner som utgjør hovedandelen av virksomhetens klienter.
Omfanget av virksomhetens behandling av opplysninger om enkeltpersoner vil derfor også være bestemmende for hvor omfattende internkontrollsystemet etter personopplysningsloven bør legges opp.
En måte å inndele kartleggingsarbeidet kan være følgende:
Etter å ha skaffet en oversikt over omfanget av personopplysningene som behandles i advokatvirksomheten må det nærmere konkretiseres hvilke krav etter personopplysningsloven som dette stiller til advokatvirksomheten. Dette er nærmere gjennomgått i dokumentet, link til gjennomgangen av 22.02.2008.
Nedenfor har vi gjennomgått hvordan dokumentasjonen kan legges opp for å dokumentere at kravene i personopplysningsloven er oppfylt.
1. Styrende dokumentasjon
Dette innebærer at virksomheten må etablere mål og strategi for behandling av personopplysninger i virksomheten, for gjennom dette å sikre at kravene i personopplysningsloven er oppfylt.
Oppfyllelse av kravene i personopplysningsloven er et ledelsesansvar. Foretakets ledelse bør utøve dette ansvaret ved å utarbeide mål og strategi for personvernarbeidet, samt påse at mål/strategi er implementert i organisasjonen.
Sentrale vurderingstemaer ved etablering av mål for virksomhetens personvernarbeid?
Målene bør angi kort hvordan virksomheten forholder seg til sentrale begrep i personopplysningsloven og hvordan den registrertes rettigheter oppfylles. Det bør også kort angi hvilke behandlinger som organisasjonen foretar.
Sentrale forhold som bør vurderes:
- Angir personvernmålet føringer for organisasjonens bruk av personopplysninger?
- Bør de angi hvordan organisasjonen grunnleggende forholder seg til sentrale bestemmelser i personopplysningsloven, f.eks bruk av samtykke?
- Bør det angis hvordan organisasjonen sikrer at opplysninger er tilstrekkelige, relevante, korrekte og oppdaterte (kvalitetskriteriene), herunder retting og sletting av opplysninger?
- Bør målene få føringer for hvordan enkeltmennesker gis rett til innsyn og informasjon, samt mulighet til å reservere seg mot behandlinger?
Personvernstrategen skal angi hvordan personvernmålene som er besluttet, skal oppnås. Strategien kan/bør angi overordnede valg og prioriteringer i personvernarbeidet:
- Er det tildelt arbeidsoppgaver knyttet til personvern og personvernlovgivning til en egen ”personvernkontakt”?
- Hvordan gjennomføres, og er det gitt, opplæring av medarbeidere?
- Hvordan sikres det at det gis tilstrekkelig informasjon til utenforstående?
Det er ofte fornuftig å integrere mål/strategi i andre målbeskrivelser eller erklæringer, som sikkerhetsmål og -strategi, serviceerklæring, personvernuttalelse mv.
Nedenfor finnes eksempel på hvordan mål og strategi for advokatvirksomhet kan utformes. Det finnes også andre mer generelle eksempler på Datatilsynets hjemmeside.
Eksempel på ”Mål og strategi for advokatvirksomhet”.
| 1 – Mål for virksomhetens personvernarbeid
Advokatfirmaet behandler personopplysninger om enkeltpersoner. Det kan være i oppdrag hvor enkeltpersoner eller virksomheter er oppdragsgiver. Personopplysningene benyttes kun i advokatfirmaets arbeid med å gjennomføre den enkelte oppdragsavtale.
All behandling og bruk av personopplysninger utføres i samsvar med personopplysningslov og – forskrift. Hjemmelsgrunnlag for behandling av personopplysningene er gjennom oppdragsbekreftelse eller annen avtale med den enkelte klient, jf. Personopplysninsglovens § 8 a, etter Personopplysninsgloven § 8 f, etter samtykke fra den/de registrerte eller med hjemmel i særskilt lov.
Advokatfirmaet har iverksatt tiltak for å sikre samsvar mellom opplysningenes kvalitet og det formål de behandles for, dvs. gjennomføre det enkelte advokatoppdrag. Målet er at de opplysninger som behandles skal være tilstrekkelige og relevante for formålet, samt korrekte og oppdaterte for det enkelte oppdrag.
Enhver som henvender seg til Advokatfirmaet og ber om det, vil bli informert om de behandlinger av personopplysninger som foregår i virksomheten. Dersom opplysninger om vedkommende inngår i behandlingene vil det som hovedregel bli gitt innsyn i disse. Eventuelle unntak fra innsynsretten vurderes ut fra personopplysningsloven § 23.
Advokatfirmaet har utpekt en medarbeider som overvåker og veileder i arbeidet med behandling av person- og klientopplysninger.
Alle medarbeidere hos Advokatfirmaet som er involvert i behandling av personopplysninger, gis informasjon om relevante deler av regelverk som gjelder for slik behandling, og opplæring i de retningslinjer og rutiner som Advokatfirmaet har implementert. 2 – Strategi for virksomhetens personvernarbeid
En medarbeider hos Advokatfirmaet er utpekt for å overvåke at personopplysninger behandles i samsvar med kravene i personopplysningsloven og personopplysningsforskriften. Denne vil påse at personopplysningslovens krav oppfylles til enhver tid, samt gi relevant opplæring til de ansatte og har ansvar for at henvendelser om informasjon og innsyn besvares fullstendig og innenfor de tidsfrister som gjelder.
Den enkelte medarbeider i Advokatfirmaet skal informeres om grunnkravene i personopplysningslov og -forskrift, og om hvordan kravene er oppfylt av virksomheten.
Det skal utarbeides rutiner som sikrer at Advokatvirksomhetens personvernmål nås, og at personopplysningsloven og personopplysningsforskriften følges. Det skal årlig vurderes om de rutinene som er etablert er tilstrekkelig til å oppfylle mål og de krav som er pålagt. |
Ledelsen skal jevnlig gjennomgå bruken av personopplysninger og forsikre seg om at nødvendige behandlinger er igangsatt og forsikre seg om at behandlingene er lovlige, jf. personopplysningsloven § 14 ”… etablere, og holde ved like”. Det er også nødvendig å følge opp om mål og strategi for personvernarbeidet etterleves i virksomheten.
Personverngjennomganger er en aktiv etterprøving av om foretaket opptrer i samsvar med bestemmelsene i personopplysningsloven. Gjennomgangen skal i tillegg avdekke om besluttede ”personvernrutiner” er implementert og fungerer. Personverngjennomganger vil således både dekke behovet for ledelsesgjennomgang av foretakets personvernarbeid og revisjon av arbeidet.
Personvernarbeid i samsvar med kravene i personopplysningsloven er et resultat av medarbeidernes handlinger. Hver enkelt ansatt i advokatfirmaet må derfor kjenne til de forutsetninger og krav som gjelder for organisasjonens behandling av personopplysninger, og gjennomføre arbeidet i samsvar med disse.
- Er det besluttet myndighet og ansvar knyttet til behandling av personopplysninger i virksomheten?
- Er beslutningene om myndighet og ansvar kjent av de ansatte i virksomheten?
- Er den enkelte medarbeider gitt opplæring i grunnleggende forhold/krav etter personopplysningsloven den enkelte trenger for å gjennomføre sitt daglige arbeid?
- Er det vurdert om det er hensiktsmessig å utnevne en personvernkontakt evt. et personvernombud?
Arbeidet med intern opplæring og informasjon knyttet til personvernspørsmål kan tillegges en medarbeider i organisasjonen, en ”personvernkontakt”. Denne medarbeideren kan også ha ansvar for kontakt med utenforstående, for eksempel dersom klienter eller andre henvender seg til virksomheten og ber om innsyn, retting, sletting mv. av opplysningene som lagres om vedkommende. Personvernkontakten kan også gis ansvar for å holde oppdatert oversikt over behandlinger av personopplysninger, og forestå personverngjennomgangene beskrevet foran.
Krav om etablering av planlagte og systematiske tiltak for å sikre oppfølging av personopplysningsloven krever at visse rutiner er på plass. I forskriften § 3-1 er det angitt noen rutiner som skal inngå som del av internkontrollen. Av kommentaren til forskriften fremgår det at denne oversikten ikke er ment å skulle være uttømmende. Det kan også være at enkelte av rutinene ikke er relevant for virksomheten. Dette må kartlegges i den hver enkelt virksomhet ut fra hvilke behandlinger av personopplysninger som gjøres.
Noen rutiner vil imidlertid ofte være relevante for de fleste advokatvirksomheter. Nedenfor følger en gjennomgang av noen rutiner som vi antar at vil være relevante for de aller fleste.
Rutine for innhenting og kontroll av samtykke er innhentet i tråd med personopplysingsloven
Når, og i hvilke tilfeller, samtykke er påkrevet å innhentes fra klinten er nærmere drøftet i gjennomgangen av 22.02.2008 (Advokaters plikter etter personopplysningsloven) . Basert på denne gjennomgangen må advokatvirksomheten nærmere gjennomgå i hvilke oppdrag særskilt samtykke er nødvendig å innhente, og når behandlingen følger av selve etableringen av oppdraget jf. i personopplysingsloven § 8a/8f.
Sentrale vurderingstemaer er:
- Skal personopplysningene benyttes/lagres til noe mer enn gjennomføringen av det konkrete oppdraget?
- Er det etablert maler for å klargjøre hva oppdraget gjelder, og derigjennom hva som er avtalt og har hjemmel i personopplysningsloven § 8 a?
- Dersom samtykke skal innhentes, er det utarbeidet maler for å sikre at samtykke er informert, uttrykkelig og frivilling jf. personopplysningsloven § 2
Utlevering av personopplysinger kan være en egen behandling av personopplysninger, f.eks dersom utlevering av informasjon er særskilt påkrevet i lov, f.eks hvitvaskingsloven. I andre tilfeller vil utlevering av opplysninger være påkrevet for å gjennomføre det oppdraget som advokaten har påtatt seg. Det kan være utlevering av informasjon til domstoler eller motparter.
Vesentlig i denne forbindelse er å sikre at utleveringen har nødvendig hjemmel, f.eks gjennomføring av oppdraget (pol § 8 a evt. § 8 f), særskilt samtykke eller særskilt lovhjemmel.
Relevante forhold som må vurderes i denne forbindelse kan være:
- Er det kartlagt nærmere i hvilke tilfeller virksomheten utleverer personopplysninger til utenforstående
- Har virksomheten i disse tilfellene sikret nødvendig hjemmel for utleveringen?
- Er det gitt eventuelt informasjon om dette til klienten?
Den registrertes (klienter og andre det er registrert opplysninger om i forbindelse med det enkelte oppdrag) har rett til innsyn og informasjon om de opplysningene som behandles, jf. Personopplysningslovens §§ 18 – 24.
Rett til informasjon og/eller innsyn etter krav fra en registrerte eller enhver annen, jf. Personopplysninsglovens § 18, første ledd:
- Har virksomheten etablert rutine som sikrer at ”enhver” som ber om det gis generell informasjon om virksomhetens behandling av personopplysninger jf. pol § 18 første ledd?
- Er det etablert rutine som sikrer at de registrerte gis innsyn i hvilke opplysninger som behandles om den enkelte, jf personopplysningsloven § 18 annet ledd? Herunder, er det rutine som sikrer vurdering av eventuelle unntak jf. personopplysningsloven § 23?
Virksomheten er videre pliktig til i en rekke tilfeller å gi informasjon på eget initiativ, jf pol § 19 og § 20:
- Er det etablert maler og rutiner for å sikre at nødvendig informasjon gis til den registrerte når det samles inn informasjon, jf personopplysningsloven § 19?
- Er det etablert rutiner for å sikre at nødvendig informasjon gis til den registrerte når det samles inn informasjon om den registrerte fra andre enn vedkommende selv, jf personopplysningsloven § 20?
Dette kan gjennomføres for de fleste tilfellene ved at relevant informasjon om behandling av personopplysninger gis i oppdragsbekreftelsen.
I advokatvirksomheten behandles personopplysninger om alle virksomhetens klienter. Den enkelte ansatte skal kun ha tilgang til personopplysninger som vedkommende har sakelig behov for gjennomføre sine pålagte arbeidsoppgaver. Det kan innebære at virksomheten må vurdere tilgangskontroll i forhold til hvem som har tilgang til hvilke personopplysninger i sitt arbeid.
Ut fra denne vurderingen skal det igangsette tiltak som sikrer at de som har saklig behov for opplysningene for å gjennomføre pålagte arbeidsoppgaver får tilgang til opplysningene. Virksomheten må derfor nærmere vurdere:
- Har alle ansatte i virksomheten sakelig behov for tilgang til alle typer klientopplysninger (personopplysninger) for å gjennomføre sitt arbeid i virksomheten? Det kan graderes ut fra type arbeidsoppgaver, type saksfelt mv.
- Er det visse type klientopplysninger som skal skjermes særskilt?
- Er disse forholdene vurdert opp mot oppdragsbekreftelsen fra den enkelte klient?
Taushetspliktsbestemmelsene i domstolloven § 234 vil også være sentral i denne vurderingen.
Hvordan advokatvirksomheten er organisert vil også ha betydning i vurderingen, og da spesielt om virksomheten er organisert i et kontorfellesskap eller innenfor et selskap.
Innsyn kan i en del situasjoner avdekke feil i lagrede personopplysninger. Virksomheten må ha rutiner for å rette opp slike feil. Rutinene skal ikke bare tre i kraft når andre påpeker feil, men også legge til rette for at virksomheten retter feil av eget tiltak. Krav til retting og sletting av personopplysninger er gitt i personopplysningsloven § 27 og § 28. Sentrale vurderinger anses å være.
Kravene til sletting/retting innebærer at virksomheten både må vurdere løpende i det konkrete hvilke opplysninger som skal oppbevares videre og hvilke som må slettes. Naturlig vil være å vurdere løpende om innsamlet informasjon er nødvendig for å gjennomføre det enkelte klientoppdrag. Hvis det f. eks. mottas informasjon om andre enn klienten, bør det vurderes om informasjonen skal oppbevares videre eller slettes.
Sentrale spørsmål i denne sammenhengen er:
- Er det etablert rutine for å sikre at opplysninger som er feil, foreldet eller ulovlig oppbevares rettes eller slettes av virksomheten?
- Er det klart hvem i organisasjonen som har ansvaret for slik retting/sletting? Er eksempelvis dette ansvaret gitt til den enkelte advokat som gjennomfører oppdraget, en arkivansvarlig, sekretær eller annen.
- Er det etablert rutine for å sikre at organisasjonen av eget tiltak gjennomgår registrerte opplysninger for å slette opplysninger som ikke lenger er nødvendig for å oppfylle formålet?
- Er etablert rutine for å sikre at organisasjonen oppdaterer og kvalitetssikrer lagret informasjon generelt?
Plikten til å slette, og eventuelt rette opplysninger, er et løpende arbeid som skal gjøres i virksomheten. Stikkord i denne forbindelse kan være:
- Etablere en rutine for gjennomgang når dokumentasjon innkommer og slette opplysninger/dokumenter som ikke er nødvendig når oppdraget etableres. Det vil typisk være opplysninger som ikke er nødvendig for å gjennomføre det konkrete oppdraget. Ofte vil det imidlertid være nødvendig å oppbevare de aller fleste opplysningene fordi en ikke vet klart hvordan oppdraget utvikler seg.
- Gjennomgå saken når denne er avsluttet og slette opplysninger som ikke er nødvendig etter at oppdraget er gjennomført. Det må her gjøres konkret vurdering for hva virksomheten anser nødvendig å oppbevare videre, og da først og fremst for å dokumentere hva som er gjort i saken. Det må også vurderes om oppbevaring er pålagt i annet lovverk.
- Etablere rutine for sletting/avslutting av sakene etter et vist tidspunkt, eks 10 eller 20 år. Her må det vurderes konkret hvor lenge informasjonen er nødvendig. For enkelte oppdrag kan det også hende at oppbevaring langt utover dette er nødvendig. Det som er viktig er at dette vurderes ut fra hvilken type oppdrag som er gjort for klienten. Det kan også være at det gis føringer på dette i det konkrete oppdraget.
- Sikre at sletterutinene gjennomføres både i elektroniske lagringssystemer og i manuelle arkiv.
Et alternativ til sletting kan være å sende dokumentene tilbake til klienten.
Kravet om internkontroll (og de øvrige pliktene og rettighetene) gjelder uavhengig av melde- og konsesjonsplikt. Melding eller konsesjonssøknad er kun et spørsmål om formatet på kommunikasjonen mellom Datatilsynet og virksomheten. Behandlinger kan være konsesjonspliktige, meldepliktige eller ingen av delene.
Advokatvirksomheter vil i de aller fleste tilfellene også behandle sensitive personopplysninger om sine klienter, jf. personopplysningsloven § 2. Hovedregel ved behandling av sensitive opplysninger er at behandlingen er konsesjonspliktig, jf. personopplysningsloven § 33. Det er imidlertid gjort unntak fra konsesjonsplikten for advokatvirksomhetens klientregistre på visse betingelser i forskrift til personopplysningsloven § 7-23. Det skal imidlertid sendes melding til Datatilsynet om behandling av personopplysninger.
Forhold som bør vurderes i forbindelse med nødvendige meldinger til Datatilsynet:
- Foreligger det en oversikt over virksomhetens behandlinger og om disse er meldepliktige, konsesjonspliktige eller unntatt fra krav om melde- eller konsesjonsplikt?
- Er nødvendige meldinger sendt til Datatilsynet? Og herunder er personopplysningslovens krav oppfylt før nødvendig melding er sendt?
- Er det etablert rutine for å sikre at ny melding sendes i riktig tid hvert tredje år? Herunder vurderes det om lovens krav da er oppfylt for behandlingen?
- Er det eventuelt sendt nødvendig konsesjonssøknad med dokumentasjon til Datatilsynet for behandlinger som er konsesjonspliktige?
Personvern og tilpassing til bestemmelsene i personopplysningsloven er ingen engangsforeteelse. Arbeidet er en kontinuerlig prosess hvor målet er å sikre nødvendig og tilstrekkelig ivaretakelse av personopplysningslovens krav, herunder håndtere avvik slik at de ikke gjentas.
- Har virksomheten etablert rutine for jevnlig å gjennomgå mål og strategi for behandling av personopplysninger? Herunder påser at mål og strategi oppfylles og er i overensstemmelse med det arbeid som faktisk gjøres i organisasjonen. (Jf. punktet om styrende dokumentasjon over).
- Er det etablert rutine for at avvik på rutiner rapporteres til rett person?
- Er det etablert rutine for å følge opp rapport om avvik?